苹果终于接受了基于密钥的2FA

大约三年前，谷歌推出了其高级保护计划(APP)，这是一种针对高风险用户的安全计划，需要使用硬件密钥才能访问帐户，并且可以说，这是业内阻止帐户接管的最有效方法。但是直到现在，APP仍然存在一个重大缺陷：它的iPhone和iPad产品对大多数用户来说是有限的。现在，这种情况已经发生了变化(更多的变化)，我很乐意更广泛地推荐APP。

什么是应用程序?

通过要求用户每次使用新设备登录时除密码外还要求用户提供物理安全密钥，APP旨在阻止俄罗斯特工在发布敏感电子邮件时用来破坏2016年总统大选的那种帐户泄露行为民主党高级官员。

DNC违规事件背后与俄罗斯有关的网络钓鱼活动也袭击了Podesta，Powell

这些攻击据称是来自Google的令人信服的电子邮件的目标。他们错误地警告目标用户的帐户密码已由外部人员获得，应立即更改。当希拉里·克林顿(Hillary Clinton)的总统竞选主席约翰·波德斯塔(John Podesta)和其他民主党人合规时，他们实际上将密码交还给了黑客。尽管黑客有许多方法可以破坏帐户，但网络钓鱼仍然是最受欢迎的网络钓鱼之一，这既因为它很简单，又因为成功率很高。

APP使得这种攻击几乎不可能。即使有人获得了对密钥的物理访问权或对与之连接的设备进行了黑客攻击，APP所需的物理密钥上存储的密码秘密也无法被窃取，并且从理论上讲也无法被提取。除非攻击者窃取了密钥(这在远程上是行不通的)，否则即使他们获得了目标的密码也无法登录。

将APP视为类固醇上的两因素身份验证(2FA)或多因素身份验证(MFA)。

进一步阅读

选择2FA身份验证器应用可能很困难。Ars做到了，所以您不必

安全从业人员几乎一致认为物理密钥是身份验证器应用程序的一种更安全的MFA替代方案，该应用程序提供了一个不断变化的密码，用户将其作为第二要素输入。通过SMS文本消息发送时，临时密码甚至成为一个问题，它容易受到SIM交换攻击和手机网络的攻击。一次性密码也存在问题，因为它们可能被篡改并且在某些情况下可能会被盗。

进一步阅读

小偷通过滥用SS7路由协议耗尽2fa保护的银行帐户

2016年对50,000名Google员工进行了为期两年的研究，发现在安全性和可靠性方面，安全密钥优于其他形式的2FA。APP将物理密钥的安全性与用于锁定帐户的严格方法结合在一起。当首次设置APP，用户必须注册两个安全密钥，如由Yubico或泰坦安全制成。一旦注册了密钥，所有可能登录到该帐户的设备都会自动注销，并且只能使用其中一个密钥作为第二因素重新登录。

首次从任何新设备登录时，用户还必须使用这些键。(Google称此过程为自举)。设备通过身份验证后，默认情况下，在后续登录期间不再需要第二个身份验证因子。即使这样，如果公司员工看到来自可疑IP或其他迹象表明该帐户已经或即将被劫持的登录信息，Google可能再次要求第二个因素。APP可与所有Google应用程序及其Nest系列智能家居服务一起使用，但将第三方应用程序限制为少数应用程序。谷歌表示，APP提供了额外的保护措施，但除此以外再没有提供其他细节。

为了减轻引导负担，用户可以将其Android设备(以及最近的iOS设备)注册为附加的物理密钥，通过在引导过程中自动出现的屏幕上单击“ 是”可以激活该物理密钥。此选项的吸引力在于，用户通常将手机放在口袋里，这比传统的物理按键更方便。

这是在iOS和Android上的外观：

iPhone(左)和Pixel(右)中的内置安全密钥。

放大 / iPhone(左)和Pixel(右)中的内置安全密钥。

基于电话的密钥(符合最近引入的WebAuthn标准(稍后将进行详细介绍))仅在电话和正在引导的设备上都启用了蓝牙时才起作用。最重要的是，只有当电话和自举设备都非常靠近时，按键才起作用。此要求解决了早期基于推送的2FA中的安全漏洞，在该漏洞中，用户在成功输入帐户密码后点击电话上的“确定”按钮。

与来自身份验证器和SMS的临时密码类似，当攻击者精心安排的登录时间紧跟目标尝试登录到攻击者的假站点时，可以绕过推送身份验证保护。由于目标认为他们正在登录，因此没有理由不点击“ 是”按钮。蓝牙要求增加了一个额外的障碍-攻击者不仅必须拥有目标的帐户密码和正确的时间安排，而且攻击者还必须与目标设备具有物理距离。

非常适合Android，但iOS呢?

作为安全专家和不时使用匿名消息源的记者，我使用我的个人帐户和使用G Suite的工作帐户注册了APP。(我必须先要求管理员允许APP，但他能够轻松打开它。)每个帐户的处理过程不到5分钟，还不包括购买两个密钥所花费的时间。从那时起，物理密钥是提供第二个验证因素的唯一方法。

尽管APP并不是抵御违规行为的灵丹妙药，但它比我能想到的任何其他措施都能够发挥更大的作用，可以防止由于网络钓鱼和利用受感染密码而进行的其他类型的攻击而导致帐户受损。我喜欢保证，也喜欢可用性。使用支持NFC的Pixel XL，我可以轻松地在我拥有的所有设备上使用物理密钥，即使在APP初期，密钥选项受到更多限制的情况下也是如此。当我可以将手机用作安全密钥时，事情变得更加容易。

但是，到目前为止，我还没有建议在其他站点上普遍使用2FA的APP甚至物理密钥。我的理由：Apple长期严格限制对Lightning端口的访问，直到最近，iPhone和iPad NFC还是在这些设备上使用基于硬件的键进行了严格限制。几乎不值得推荐一种对世界上最流行，最有影响力的平台之一的用户而言不愉快或不合适的身份验证方法。

对于大多数APP而言，与iPhone和iPad配合使用的唯一物理按键是使用BLE的加密狗，它是BLE(蓝牙低功耗)的缩写。我发现这些加密狗易碎，笨重且容易出现故障，有时需要三次或更多次尝试才能成功登录。这些键与Apple的口头禅“恰好有效”相对立。

谷歌警告蓝牙泰坦安全密钥可能会被附近的黑客劫持

更糟糕的是，我对蓝牙安全性有疑问。一个漏洞筏，无论是在蓝牙规范，并在它的一些的实现，提出正当关切，他们没有经过严格的安全审核。谷歌去年披露的一个漏洞使附近的黑客有可能劫持Titan蓝牙配对过程，这并没有让我感到更好。(此缺陷已得到修复。)

缺乏可行的关键选项是Google无法控制的。苹果公司从内而外进行构建的传统以及对它认为未经测试的技术的厌恶，使该公司向基于硬件的密钥开放产品的速度很慢。结果，苹果拒绝了允许iPhone和iPad通过NFC或通过其Lightning端口连接到大多数设备的电话。

尽管基于USB的密钥可以在运行Chrome的Mac(以及Windows和Linux设备)以及后来的Firefox和其他浏览器上使用，但蓝牙仍然是将密钥连接到iPhone和iPad的唯一方法。最终，蓝牙键似乎从未流行。例如，钥匙制造商Yubico仍然不提供使用蓝牙的产品。在Google支持论坛上，诸如此类的评论抓住了一些用户因缺乏可行的选择而感到沮丧的机会。由于iOS和iPadOS基本上被排除在外，因此Google和一些行业合作伙伴尽了最大的努力来寻找替代方案。

FIDO2

尽管基于硬件的2FA已经存在了几十年，但Google还是第一个通过APP向大众推销它的公司。该计划最初是Google和Yubico在恩智浦的贡献下开发的一个联合项目，目的是让Google员工登录公司网络。它的核心是称为U2F的协议，它是Universal Second Factor的缩写。该协议允许通过USB-C，NFC和BLE进行基于硬件的身份验证。

最终，当Google和Yubico向FIDO Alliance提交U2F时，它成为了行业范围内的标准，该标准机构开发了使用生物识别技术和安全密钥来增强(有时在某些情况下替代)传统密码的身份验证方法。到Google推出APP时，它已经使用了最终的FIDO U2F标准。Facebook，GitHub，Dropbox和其他站点开始使用该标准来支持其站点上的安全密钥，尽管其形式远不如APP严格。

此后不久，FIDO将U2F名称更改为CTAP1- 客户端到身份验证器协议的简称(CTAP2扩展到漫游身份验证器用例，不在本文讨论范围之内)。CTAP1与称为WebAuthn的单独Web标准结合使用，该标准受到W3C机构的监督。随之而来的是FIDO2，这是一个开放的标准，它提供了一整套的身份验证协议，旨在比单独的密码更安全(在许多情况下更易于使用)。

例如，在2019年6月，谷歌开始允许APP账户持有人使用其Android手机作为安全密钥登录其iPhone和iPad，但此选项并不能使我确信APP已为iPhone和iPad准备就绪群众。一旦我克服了学习曲线，该选项就足够好了。但是即便如此，第二台移动设备的需求(至少要运行一个竞争对手的操作系统)意味着，它不太可能吸引大量的iOS和iPadOS用户。

在2019年8月，Yubico发布了Yubikey 5Ci，这是一种密钥，该密钥使用专有技术连接到Apple的Lightning端口，而全世界都在等待Apple添加本机支持。大多数人几乎没有注意到，因为5Ci只能与新贵浏览器的《勇敢传说》的iOS版本一起使用，然后只能用于数量很少的服务。更多主流浏览器和网站被完全排除在外。直到下个月(2019年9月)，用于macOS的Safari才添加了对物理密钥的支持，从而使其成为最后一个这样做的主要浏览器。

直到12月发布的iOS和iPadOS 13.3，Apple才通过称为FIDO2的身份验证标准添加了对NFC，USB密钥的本机支持。这些添加是一项重大改进，但是它们有其​​自身的局限性。七个月后，只有Safari和Brave(适用于iOS和iPadOS)可以使用身份验证密钥。提供基于硬件的2FA的各种站点都无法正常运行，或者根本无法在Brave中运行。当浏览器使用Yubico键时，根本不支持Titan的键。

令浏览器制造商和在线服务运营商感到沮丧的是，苹果尚未发布第三方浏览器使用最近添加的本机支持才能真正读取密钥的编程接口。(借助专有的Yubico接口， Brave可以读取5Ci密钥。为了支持Yubico NFC密钥，Brave使用Yubico接口和一组Apple API的组合，使iOS和iPadOS应用程序可以原始访问支持NFC的设备。)Apple发言人确认公司尚未提供支持，但表示不应将其解释为将来不会发生。

所有这些可用性限制使我根本没有广泛推荐物理密钥，这再次是因为我不想为iOS和iPadOS认可一种MFA方法，而对于所有其他平台都认可另一种MFA方法。