問︰谷歌公布了最新實體金鑰(亦即物理安全金鑰)的安排,連iPhone都可以做作為二步認證谷歌賬戶的實體金鑰,iPhone怎樣可以充當實體金鑰,還需要搭配用短信嗎?還是有其他方法,不知能否介紹一下?
李建軍︰這次谷歌用iPhone做實體金鑰,原理和Android 7以上版本的手機可用做實體金鑰的原理相類似,都是透過藍芽通訊來實現實體金鑰功能。因此,你的iPhone無須另外用短信實現實體金鑰功能。與Android機唯一不同是你需要在iPhone上裝載谷歌Smart Lock程式。另外,你的iPhone的作業系統需要在10以上才可以用作實體金鑰。換言之,一些很舊的iPhone,像iPhone 5,只要作業系統在iOS 10以上,都可以充當實體金鑰,但iPhone 4S就不成,因為iPhone 4S並不支援iOS 10或以上版本,安裝不了谷歌的Smart Lock程式。
具體操作時,只要你電腦上使用的瀏覽器是Chrome,再聯通iPhone和電腦之間的藍芽,就可以令你的iPhone手機充當實體金鑰,進行谷歌二步認證。
問︰用iPhone做實體金鑰,確實減少了在海外郵購實體金鑰的麻煩,但手機做實體金鑰有甚麼缺點?
李建軍︰首先,手機體積遠比實體金鑰為大,這個缺點是十分之明顯不過。如果要隨身攜帶,手機不見得特別有優勢。
另一方面,一般實體金鑰是可以不用額外電力下操作,但無論以Android還是iPhone手機作為實體金鑰,因為依靠藍芽交換資料操作,如果你手機無電,就得等到你手機充了電啟動後再作有關動作。
但更大問題在於,如果你手機壞了,或者你的手機被偷,你就等於少了一個金鑰,而手機被偷的機會遠大於實體金鑰——除了對國安這類特殊竊匪會有針對性地偷取金鑰以獲取情報,對大部分竊匪而言,實體金鑰偷來並無太大價值,但手機可以轉售套現。因此,手機被偷的風險遠大於一般實體金鑰。
單純用手機做金鑰,有如將所有雞蛋放同一個籃內,其實是風險很大的事,要這樣做之前,應該審慎評估自身的保安風險。如果你曾經被偷手機,或者有手機被公安、國安拘留的紀錄,我個人並不建議你用手機充當保安金鑰,就算是作為後備保安金鑰都不大建議。
至於一般的用戶,以手機作為後備金鑰,或者是可以考慮的安排,但主打仍然需要配備不用電的傳統USB加上NFC的金鑰,以策安全。而國內用戶假如無法郵購海外的實體金鑰,建議不要購買谷歌在中國生產支援藍芽的金鑰,可以手機充電實體金鑰,但建議選購時選擇非中國製造的Android手機。
問︰用藍芽和電腦相互通訊來實現保安金鑰功能,會不會有保安風險?藍芽設備之間的加密夠不夠?
李建軍︰藍芽現代版本協議,都是使用AES加密方式通訊,其實AES的加密強度十分足夠,在量子電腦未流行前,都不用太擔心加密的問題,因為AES 128位元加密,都要十分強大的運算力才能暴力破解。
另一方面,由於藍芽功率細,發射距離十分短,一般只有十米,而且不具備穿牆能力,除非對方十分之接近你,例如在同一間房,否則正常都不會截取得到你的藍芽通訊,這亦是現時主流保安金鑰,除了用NFC外,便是用藍芽通訊的原因。現時藍芽是十分之安全可靠,至少未有嚴重資料失竊事件發生過。
0:00 / 0:00