問︰在新出的Firefox 60版本加設了一項新功能,在這項功能下,只要憑USB的加密金鑰,就可以即時登入戶口,那是怎樣的新技術,其實又安不安全?
李建軍︰Firefox 60是世上第一個支援Web Authentication標準的瀏覽器,這個由國際組織所制訂的新技術標準,在未來Chrome以及微軟的Edge瀏覽器都會支援,相信Safari將來也會。支援Web Authentication的瀏覽器,可以直接插入符合U2F或FIDO標準的加密金鑰、蘋果iOS上的生物認證機制等,都可以用來做登入之用,而不用任何密碼。
在網站而言,暫時Dropbox是第一個支援這個標準的網站,只要你在Dropbox設定USB加密金鑰做二次認證,當你在Firefox 60登入Dropbox時,就可以直接插入已經事前作了認證的金鑰,直接完成整個登入程序,不單方便,而且亦再不用記密碼。當然,由於USB加密金鑰主要支援USB,所以桌面電腦受惠。而在Android和iOS版的Firefox,暫時未見支援。Dropbox的App,亦暫未加入這項標準的支援。
這集翻牆問答,我準備了視頻,示範如何在Dropbox設定USB加密金鑰的二步認證,歡迎各位瀏覽本台網站,收看有關視頻。現時Dropbox仍要先設定傳統的二步認證,再設定USB加密金鑰,而我個人建議直接跳過手機短訊二步認證,下載手機二步認證程式去完成。因為中國當局控制的電訊公司,有機會利用手機二步認證碼的保安漏洞胡作非為,但像Google Authenticator一類的程式,就不大有機會被當局成功騎劫。
問︰那用USB加密金鑰取代密碼,又有甚麼好處?
李建軍︰密碼,除了容易忘記外,還有一個問題在於,現代的電腦運算力愈來愈強,而中國當局亦都將超級電腦,投放在監控人民,或暴力破解異見人士戶口密碼等用途上,由人設定的密碼,設得太複雜,就很容易忘記,但設得太容易,就很容易遭到當局暴力破解。因此,才有二步認證的出現。
硬件加密金鑰由於不容易拆解,而且硬件所代表的複雜代碼,用超級電腦進行暴力破解亦需時甚久,以幾年起計算,因此,現時硬件加密金鑰,以及各類不同的生物認證機制,漸漸被認為是作為二步認證,甚至取代一般密碼登入用途的最佳工具,因為都是難以拆解,而且亦難於被複製。像USB加密金鑰並非一般USB的儲存裝置,基本上亦不具備複製的可能性。
問︰其實不少人使用USB解密金鑰時,都有個疑問,這些金鑰會不會像USB手指般,很容易有不同硬件上的損耗,在數年後要用金鑰時,因為硬件物理上損壞,而在使用上出現麻煩?
李建軍︰USB解密金鑰一般製造和設計時,都考慮到這個問題,因為所用的金屬接觸面不易氧化,而亦耐磨和防水;而為了保安上的考量,亦不可能用任何器具撬開USB解密金鑰,相對安全的。
只不過,這些解密金鑰仍有一個敵人,那是一些會釋放高電壓的USB埠口,正如有些人會利用會發出高電流和電壓的USB裝置,摧毀電腦底板,類似原理的東西,一樣可以摧毀USB保安金鑰,因此如果要將USB保安金鑰插到其他裝置,唯一絕不可以插的就是類似火牛的東西,因為不知這些金鑰能否承受極高壓或極大電流的衝擊,這些USB保安金鑰,必需確保只能插在一些安全的裝置,例如一般的個人電腦或平板電腦,而不要貪玩亂插在充電火牛,或一些不明來歷的奇怪裝置之中。