什么是通用第二因素（U2F）身份验证以及如何使用它来保护您的帐户

您可能已经厌倦了听安全专家不断谈论双因素身份验证（2FA），以及我们应该如何全面启用它。你可能想知道为什么他们一直在关注这个问题。

答案很简单：人类对密码不是很好。即使您已决定让密码管理解决方案处理您的登录凭据，您也可以确定为您正在使用的服务提供商工作的人员没有。有人可能已将您的用户名和密码暴露在数据库中，而所有坏人需要做的就是找到所述数据库并登录。

双因素身份验证的目标是解决此问题。临时代码（称为基于时间的一次性密码或TOTP）由应用程序生成或通过短信发送，确保您的登录凭据不足以让骗子进入。而且您唯一需要的是do（在大多数情况下）看一下你的手机并输入几个符号。这是安全的，但也许更重要的是，它并不太复杂。但它完美吗？

传统双因素身份验证的问题

在线景观是一个充满活力的地方。例如，我们多年来就知道可以拦截短信，但就在几天前，我们了解到还有其他方法可以泄露其中的信息。 Voxox是一家美国公司，除其他外，处理公司发送的自动文本消息， 丢弃了数百万条此类消息，并将其留在面向Internet的数据库中，该数据库未受密码保护。

不知道数据库暴露了多长时间，但是调查它的安全专家说，任何知道在哪里看的人都能够“近乎实时地”看到短信流。一些文本包含2种针对各种在线服务的TOTO。

即使他们没有TOTP在无保护的数据库中等待他们，骗子也有其他方法可以抓住他们，网络钓鱼是最明显的选择。

换句话说，2FA，尤其是最常见的变体，并不完美。我们有解决方案吗？

U2F：可行的替代方案

Universal Second Factor，更广为人知的U2F，是一种由Google和一家名为Yubico的公司开发的认证标准。目前，它得到了更广泛的服务提供商联盟的支持，称为Fast Identity Online（或FIDO），其目标是使双因素身份验证不仅更安全，而且更方便。

这一次，您没有通过短信收到或在移动应用中看到的TOTP。 U2F依赖于通过USB端口连接到计算机的硬件设备和/或通过蓝牙或NFC与智能手机配对。这些设备中的大多数通常被称为按键，它们看起来像是可以连接到密钥环的小型USB拇指驱动器。根据制造商的不同，您可能需要按或点击设备上的按钮才能激活它，但除此之外，您无需执行任何其他操作即可使用它。

使用U2F设备完成双因素身份验证系统中的第二个因素是简单性的定义. 然而，它的实际工作方式却是一个不同的故事，因为这个过程非常复杂。

U2F设备和服务提供商的服务器之间的通信使用公钥（或非对称）加密算法进行加密，这意味着它依赖的不是一个而是两个密钥 - 公钥和私钥。根据设计，私钥永远不会离开U2F设备，这意味着黑客将难以复制它。

U2F可以有效地阻止几乎所有已知的双因素身份验证攻击。网络钓鱼，会话劫持和短信拦截尝试都是无用的，关于这个标准的最好的事情之一是，即使有人设法找到丢失的U2F设备，除非他们知道它用于哪个帐户（以及这些帐户的密码），他们无法做任何事情。

U2F确实是少数几种可以改善用户安全状态的身份验证协议之一，同时也使整体体验更轻松，更愉快。事实上，它是如此的好，在2017年初，谷歌告诉所有85,000名员工他们必须使用U2F设备来保护他们的工作账户。今年早些时候，搜索引擎巨头宣布 ，自从推出硬件密钥以来，它没有确认员工接管。

当然，如果它对Google来说足够好，它对您来说应该足够好了。不过，让我们考虑一些缺点。

U2F很好，但并不完美

我们怀疑你们中的许多人可以诚实地把握在他们的心上并说他们在生活中从未丢失过USB拇指驱动器。正如我们已经提到的，U2F设备的大小大致相同，虽然丢失它可能不会导致帐户受到损害，但它会使登录更加困难。

与所有硬件设备一样，U2F密钥也可能被损坏或被盗，这意味着您必须将其替换为另一个。这意味着为了能够使用您的在线帐户，必须支付一些额外的现金。

是的，不幸的是，U2F设备不是免费的。他们中的大多数都是以每个10美元左右开始流行，所以它们并不是很贵，但对于一些用户来说，即使这样也太多了。这在一定程度上抑制了采用，但其他因素也在发挥作用。

该标准已经存在了十多年，但它仍然没有像你期望的那样得到广泛的支持。 2014年，谷歌Chrome成为第一款支持U2F的浏览器，虽然它的竞争对手正在迎头赶上，但它们似乎并不太匆忙。例如，如果您使用Firefox，则需要在设置的深处启用U2F支持，而对于Safari，它根本不适用于硬件密钥。它不仅仅是浏览器。尽管每个开发人员都可以采用该标准并在不付一分钱的情况下实施该标准，但提供U2F作为双因素身份验证选项的在线服务数量仍然有限。

总而言之，U2F仍然不是我们在线生活的重要组成部分。这是否会改变以及改变的速度是时候说出来了。