問:一直以來,谷歌Gmail都是中國黑客偷竊資料的對象。而中國所有電訊公司都是國有企業,不少網民都擔心透過手機短信傳送確認碼的二步認證功能,是否真的保證中國網民的資訊安全。
而最近谷歌推出了可以繞過電訊網絡的二步認證方法,不知這方法是怎樣的?李建軍能否介紹一下?
李建軍:谷歌在美國新推出的USB二步認證功能,利用FIDO U2F硬件認證匙,只要將你買到的認證匙連結到你的谷歌戶口,每次登入Gmail或其他需要二步認證服務的谷歌服務時,插入相關認證匙到USB插口,再按認證匙上的按鍵一下,就完成整個二步認證程序,完全不用經任何中國國有電訊網絡,這有助解決中國當局攔截谷歌認證短信,或突然取消你的手機服務,令你無法收到二步認證確認信息等一連串問題。
問:那FIDO U2F支援什麼作業系統以及硬件平台?因為過往不少聽眾,使用中國國有銀行以U盤形式提供的二步認證服務,都受到十分大的限制?FIDO U2F又會否出現這種情況?
李建軍:FIDO U2F在任何有USB插口的電腦上都能運作,而且主流大部分作業系統,包括Mac、Windows都Linux都沒有問題,彈性比中國國有銀行那些只能在Windows上執行的U盤大得多。
只不過,在瀏覽器上就有限制,暫時只有谷歌自己推出的Chrome瀏覽器支援FIDO U2F二步認證,而且要Chrome 38版或以上才可以。使用Firefox或Safari的用家,如果想享受由FIDO U2F帶來的好處,就可能要下載Chrome瀏覽器,並透過Chrome瀏覽器來登入Gmail。
但由於FIDO U2F是開放源碼標準下運作,並不像中國國有銀行普遍使用封閉源碼方案,因此相信未來其他開放源碼的瀏覽器,包括Firefox,以及與Chrome技術相似的Safari,都會支援FIDO U2F。
問:FIDO U2F的加密匙會否在中國製造,令保安程度出現問題?
李建軍:現時所有FIDO U2F技術的加密匙,都在法國和美國製造,暫時未見中國製產品,這點可以放心。
問:那暫時那裡可以買到FIDO U2F USB二步認證加密匙?
李建軍:由於暫時在美國和歐洲先推出,因此中國,甚至香港暫時都未有出售相關產品,想用這種二步認證技術的人,可以透過亞馬遜在美國或歐洲的網站訂購,但需要聽眾有信用卡,以及只能送到美國或歐洲的地址。這可以委托在美國或歐洲的親友,或個別願意承受風險的代購公司代購。
問:現時FIDO U2F二步認證匙,只支援USB,那對流動電話、平板電腦等用家很不方便,因為這類硬件都不會有USB插口,那未來是否有可能出現支援手機、平板電腦甚至電視機頂盒的FIDO U2F二步認證匙?
李建軍:現時FIDO U2F聯盟各成員,包括谷歌在內,正研究能夠配合藍芽以及NFC技術的FIDO U2F硬件匙技術。在未來,只要將FIDO U2F硬件匙以藍芽連接到手機,甚至像深圳通卡、八達通卡一樣,只要將FIDO U2F硬件卡拍到支援NFC的設備上,就可以完成整個二步認證程序。相信未來有藍芽版和NFC版的FIDO U2F設備後,絕大部分裝置都可以支援透過硬件進行二步認證程序,未來二步認證程序對手機短信的依賴會越來越少。
問:是否意味著手機短信二步認證終有一天會被淘汰?
李建軍:可以這樣說,因為手機短信無加密功能,而且成本昂貴。Whatsapp一類應用程式興起後,人們使用手機短信機會大減。因此,尋求手機短信二步認證的替代方案,可謂大勢所趨。 (完)
0:00 / 0:00