問:由Windows 10的1809版更新開始,以往用於Gmail、Dropbox等服務的二步認證USB金鑰,可以直接用作登入Windows,以及Skype等戶口,到底是怎樣做?
李建軍:由Windows 10的1809版開始,支援FIDO 2標準的USB金鑰,可以經設定後,直接登入Windows帳戶,或者在使用Outlook.com、Skype等的時候,配合Edge瀏覽器,做到無密碼登入,只要插入USB金鑰,以及按指示在金鑰上輕輕接觸一下,即可登入,令USB金鑰不單可以用於Gmail二步認證,更可以直接當成密碼使用,某程度上亦減輕因密碼外洩,而導致資訊外洩問題。
問:要做到不用密碼登入,USB金鑰有甚麼特別要求?是否有些USB金鑰,用不到微軟的新功能?
李建軍:由於這次微軟的新功能,是建基於FIDO 2技術標準,所以只有新一代使用FIDO 2標準的USB金鑰,才能做到在Windows無密碼登入。有部分人正使用FIDO標準,或者智能卡標準的金鑰,就不能夠享受微軟Windows新功能提供的好處;如果要使用新功能,就需要購買新一代支援FIDO 2標準的USB金鑰。
當然,微軟使用的FIDO 2技術標準,原理上與使用舊有智能卡認證為基礎的舊技術不同,因此舊有使用FIDO 1或智能卡技術作硬件認證的USB金鑰,享受不到新技術帶來的好處,亦可以理解。
另一方面,*如要在Gmail使用USB金鑰作二步認證,必須如Chrome一樣,要使用FIDO 2技術標準,在微軟的平台做到無密碼認證,除了要使用新一代Windows 10的1809版外,更要用Edge瀏覽器,因為暫時FIDO 1又好、FIDO 2又好,網站要與USB金鑰互動,多少要依靠瀏覽器一些獨有功能,因此現階段Gmail要做到硬體二步認證,以至微軟做到硬體無密碼登入,都要使用自家相關廠商的瀏覽器。
問:那會不會日後任何瀏覽器都可以做到在支援FIDO技術的網站無密碼登入?
李建軍:理論上可以,因為現時有一套通用技術標準去支援FIDO,連Firefox都相當程度支援FIDO標準的金鑰,目前未知Safari何時會支援相關標準,但由於Safari本身與Mac OS緊密相連,因此有可能要等到Mac OS有重大更新,才可能正式有Safari的支援。
只不過,由於無密碼登入將會是一個趨勢,再加上Safari與Chrome、Firefox等瀏覽器有相當程度的競爭,因此支援FIDO 2只是遲早問題,甚至有可能未來蘋果自家的雲端服務,都會作出相關的支援,回應用家的需要。
問:使用USB金鑰作無密碼登入,好處固然很清楚,但缺點又在哪裡,而聽眾又怎樣去克服這些缺點?
李建軍:使用USB金鑰作無密碼登入,最大的風險的USB金鑰物理上失竊,並且令匪徒有機可乘,可以在另一部電腦登入你的戶口。因此實體上的防盜變得更為重要,你隨身的USB金鑰,必須一如家中的鎖匙一樣,不可以讓陌生人保管,以及防止有盜賊在公眾地方偷走你的鎖匙。很多時,USB金鑰與家中鎖匙,都放在一樣的地方,也就是這個原理。
很多人都有預備後備金鑰,而且必須放於安全位置,例如家中夾萬,不要隨便擺放,因為後備金鑰的功能上,與你現時使用的金鑰是完全一樣,並不會有甚麼分別。
此外,如果你產生了一些備援密碼都不要隨便擺放,因為備援密碼可以提供途徑繞過USB金鑰,所以備援密碼,基本上不要存放在自己的電腦或未經加密U盤上,除非你的U盤放在夾萬一類的地方。
---
*目前,要在Gmail使用USB金鑰作二步認證,用戶必須安裝最新版的相容瀏覽器(例如 Chrome、Firefox、Opera 或 Edge),以及安全金鑰必須能夠支援「FIDO 通用第二要素」(U2F) 標準。