本文讲的是 PC如何接管手机的双因子身份验证 靠的是英特尔的CPU,口令管理器厂商Dashlane,是利用英特尔第8代Core芯片一个鲜为人知功能的首批公司之一。这个鲜为人知的功能是什么呢?在PC上启用双因子身份验证,不是手机,是PC哟~
被称为通用第2因子(U2F)身份验证的功能,存在于第8代Core架构中。双因子身份验证(2FA)作为电子邮件、在线储存及其他数据的额外安全措施已倡议多年的,通常需要通过App或短信给手机发送验证码来实现。英特尔第8代Core架构及其相关软件,则取消了对手机的依赖,仅需要你点击软件“按钮”来验证2FA事务。
技术上讲,U2F支持并不新鲜。英特尔第7代Core芯片Kaby Lake,就引入了被称之为软件防护扩展(SGX)的技术。SGX基本上就是芯片上的一个受保护区域,用于存储加密密钥。但只有2个服务宣称支持SGX:Dropbox和Duo Security——今年早些时候刚放出了概念验证。
Dashlane战略合作经理艾莉森·贝克称,一旦第8代Core芯片发售,Dashlane将马上可以利用该内置功能,将U2F用作额外的身份验证形式。她确认,U2F在第8代Core芯片中对消费者可用,无需英特尔的商用vPro技术。
除了一台兼容英特尔的PC,你不需要手机或者其他什么东西。
为什么这很重要?PC被入侵是件很糟糕的事,这也是 Windows Hello、用户PIN码和Windows口令存在的原因。然而,随着Web服务随处可得,我们需要第2安全层来将自己与坏人区别开来。双因子身份验证有助保护这些在线交易的安全;U2F承诺让它们不再那么恼人。
U2F在英特尔Core芯片中怎么运作
FIDO联盟发展了开放身份验证标准U2F,旨在帮助简化双因子身份验证。要注册类似Dashlane这样的在线服务,需要创建两个“密钥”:一个公钥——注册到服务本身;一个私钥——存储在客户PC的Core芯片中。
贝克称,客户端用私钥签署一个断言,供该服务验证其来自客户端PC。但仅在用户点击英特尔“在线连接(Online Connect)”中间件在屏幕上显示的按钮,验证了其存在之后,该签名才会发布。英特尔数年来都忙于研究PC安全解决方案;去年,英特尔推出了其Authenticate技术,综合了指纹、PIN码、配对手机和其他技术。
Dashlane用于展示该过程的一幅GIF动图显示,用Dashlane进行身份验证,需要输入你的口令。然后,英特尔Online Connect会查找安全密钥。触发密钥发送动作后,需要点击另一个窗口中随机出现的一个按钮,该点击要在15秒内完成。该窗口采用了英特尔“受保护交易显示”技术,直接从英特尔芯片本身生成屏幕显示。用户能看到该按钮,而中间人攻击者则只能看到一个空白黑框,不知道该点击哪里。
不过,U2F似乎更为强调用于防卫PC的第一道安全防线:Windows Hello、PIN码,或口令。即便攻击者能在你离开电脑去买咖啡期间成功猜出你的PIN码,他们依然需要知道你的Dashlane主口令才可以登录。但有了基于手机的传统双因子身份验证加持,像Dashlane这样的服务还会给手机发消息,提示你有攻击正在进行。
然而,无论如何,Dashlane一类的服务,正准备利用英特尔Core芯片内置的U2F功能。口令一度足以防护安全,但反复使用复杂难猜的口令会令人很是痛苦。在不造成用户太大负担的基础上提供安全,是安全服务的努力方向,而英特尔及其合作伙伴,正在走向快速方便的安全方法。