Google通知Chromebook用戶重置其內部安全密鑰

雙因素身份驗證 （2FA）的發明是傳統用戶名和密碼系統固有的缺陷所必需的。安全專家多年來一直主張使用它，並且由於不斷的讚揚，有些人很想通過啟用2FA，他們幾乎消除了任何帳戶接管的機會。這就是為什麼他們打開2FA並減少對密碼的關注。

然而，這些用戶往往會忘記，如果2FA失敗，那麼簡單的密碼就是保證數據安全的唯一因素。最近Google披露的Chromebook漏洞提供了更多證據證明 2FA可能會失敗。在我們了解詳細信息之前，我們需要了解有問題的2FA系統的工作原理。

有些Chromebook配有內置2FA系統

您可能知道，2FA可以通過多種不同方式實現。專家認為圍繞U2F標準的系統最安全，因為第二個因素通常依賴於無法通過互聯網劫持的硬件令牌。此外，在其中，複雜的加密算法生成特殊密鑰，與通過文本消息或臨時密碼發送的代碼相比，可提供更高的安全性。

一年多以前，谷歌決定在其Chromebook中實施類似的2FA系統。不同之處在於它取消了額外的硬件令牌。相反，您只需按Chromebook上的電源按鈕即可激活第二個因素。最初，該系統僅在谷歌的Pixelbooks上可用，但過了一段時間，其他製造商也開始使用在其硬件上啟用它的芯片。谷歌稱該技術為“內置安全密鑰”，並且堅持認為它仍處於測試階段。顯然，有些事情需要解決。

谷歌2FA實施中的一個缺陷使安全密鑰面臨風險

易受攻擊的2FA系統的核心是橢圓曲線數字簽名算法（ECDSA），它應該生成隨機秘密值。這些值與在線服務註冊的加密簽名一起生成用於生成提供第二因素的密鑰。

谷歌的安全團隊發現，由於ECDSA的實施不正確，生成的值比預期的熵要低得多。這意味著攻擊者可以猜出這些值是什麼，並使用被盜簽名計算最重要的密鑰，在沒有訪問受害者Chromebook的情況下擊敗第二個因素。

必須要說的是，不是每個人都可以完成這樣的攻擊。首先，黑客需要獲得正確的簽名，這通常通過HTTPS傳輸並且難以攔截. 然後，他們將不得不弄清楚脆弱的ECDSA生成是如何工作的，併計算出最終將它們引向密鑰的確切值。

該漏洞已被修補

儘管對大多數人來說似乎不太可能發生攻擊，但谷歌做了正確的事並修復了安全漏洞。 Chrome操作系統版本75附帶補丁程序，Chromebook用戶（尤其是那些擁有Google公開信息 “受影響的設備”部分中列出的筆記本電腦的用戶）必須確保已安裝。使用易受攻擊的2FA系統的人也應該注意操作系統顯示的警報，並用新的警告替換他們的註冊簽名。

人們不能做的一件事就是因為上述漏洞而關閉2FA。是的，它確實有時無法正常運行，但即使是安全性較低的實現仍然會增加一層保護，如果沒有它，就不會存在。但是，不要忘記，第一個因素與第二個因素同樣重要。