谷歌宣布,使用iOS设备访问Google帐户的用户现在可以使用单独的Android设备作为安全令牌。谷歌此前已为G Suite,云端身份和Google云端平台(GCP)客户以及个人Google帐户持有者推出了此功能。但是,物理令牌只能在使用Chrome浏览器运行Chrome OS,macOS X或Windows 10的设备上访问这些服务。
该公司现在设计了一个流程来移植此服务以与iOS设备配合使用,立即启动,并且默认情况下,在启用了2FA的组织中,Android手机可作为安全密钥的选项。
“通过利用公钥加密来验证登录页面的身份和URL,FIDO安全密钥可以最有效地防止自动机器人,大量网络钓鱼和有针对性的攻击,”谷歌软件工程师Kaiyu Yan和产品经理Christiaan Brand表示。身份和安全,在博客文章中。
设备之间的通信机制与使用Chrome浏览器作为中间设备的Windows 10的工作方式不同。当提示用户在iOS上进行确认时,Android手机遥控器会链接到Google的Smart Lock应用程序。“即使您被欺骗提供用户名和密码,攻击者也无法访问您的帐户。到目前为止,在iOS设备上使用FIDO2安全密钥的选项有限。现在,您可以获得最强大的2SV方法,方便一款随时随地放在口袋里的Android手机。“
当在iPhone或iPad上登录Google服务时,该应用程序将通过蓝牙与Android设备通信,以便用户可以确认其身份。然后通过另一种方式发回确认,他们就可以登录了。
然而,谷歌自己的Titan密钥验证器曾被称为“当今市场上最强大,最抗钓鱼两步验证(2SV)的方法”,上个月被发现包含利用错误配置的蓝牙配对的漏洞。尽管该公司认为该漏洞难以复制,要求黑客距离目标30英尺以内,但新闻仍然促使人们召回这些设备。
谷歌的最新举措有助于提高多因素身份验证(MFA)的使用范围,逐步取消对密码的依赖,以验证用户身份。与此同时,微软一直致力于完全取消密码,转而采用面部识别和指纹扫描等生物识别技术。
然而,即使在2FA领域,也不能保证安全性。例如,1月份的一位研究人员发布了一种可以绕过流行文本或基于代码的2FA方案的工具,这些方案在Gmail和雅虎等平台上使用。