在所有供应商都应该效仿的出色网络安全举措中,谷歌正在慢慢将多因素身份验证 (MFA) 设为默认设置。 混淆问题的是,Google 并没有将 MFA 称为“MFA”; 相反,它称之为“两步验证 (2SV)”。
更有趣的是,谷歌也在推动使用嵌入手机的符合 FIDO 标准的软件。 它甚至有 iOS 版本,因此它可以在所有 Android 和 Apple 手机中使用。
谷歌账户安全产品经理 Jonathan Skelker 表示,需要明确的是,这个内部密钥并不是为了验证用户而设计的。 Android 和 iOS 手机正在为此使用生物识别技术(主要是面部识别和少量指纹认证)——从理论上讲,生物识别技术提供了足够的身份验证。 符合 FIDO 标准的软件旨在验证设备的非电话访问权限,例如 Gmail 或 Google Drive。
[通过 Computerworld 的时事通讯了解最新的 IT 思想领导力、见解、操作方法和分析。 ]
简而言之,生物识别技术对用户进行身份验证,然后内部密钥对手机进行身份验证。
出现的下一个问题是 Google 以外的其他公司是否能够利用此应用程序。 我猜,鉴于谷歌特意将主要竞争对手苹果包括在内,答案可能是肯定的。
这一切都始于 5 月 6 日,当时谷歌在一篇博客文章中宣布了默认更改,预示着这是消除无效密码的关键步骤。
一方面,使用几乎始终在附近的电话作为硬件密钥的替代品是智能安全。 它为过程增加了一点便利,用户应该欣赏这一点。 将它设为默认设置也很聪明,因为用户的懒惰是众所周知的。
默认情况下,它不会让用户深入了解设置以激活 Google 的 MFA 风格。 让少数不喜欢它的人——从安全性、定价和便利性的角度来看,真的没有什么不喜欢的——花时间仔细研究设置。
但在企业环境中,仍然有一个很大的理由坚持使用外部密钥:一致性。 首先,这些外部密钥已经被批量购买,为什么不使用它们呢? 此外,用户拥有多种不同类型的电话,员工和承包商的标准化只会让外部密钥变得更容易。
在采访中,Skelker 表示,与外部密钥相比,谷歌的内部密钥没有安全优势,因为两者都符合 FIDO。 再一次,那是截至今天。 谷歌很有可能很快——可能在几年内——大幅提高其内部软件密钥的安全性。 当发生这种情况时,CIO/CISO 的决定将大不相同。
突然之间,您拥有一个比现有硬件密钥更好的免费密钥。 几乎所有员工和承包商都将拥有它。
尽管我对谷歌消除密码的努力表示赞赏,但所有垂直行业都存在一个行业范围的问题。 只要绝大多数供应商和企业都需要密码,拥有一些没有多大帮助的地方。 在一个完美的世界中,用户会拒绝访问仍然需要密码的环境。 收入有办法引起高管的注意。
但是,可悲的是,大多数用户并没有足够在意这样做,而且很多人也不了解密码和 PIN 带来的安全风险,尤其是在单独使用时。
