什麼是通用第二因素（U2F）身份驗證以及如何使用它來保護您的帳戶

您可能已經厭倦了聽安全專家不斷談論雙因素身份驗證（2FA），以及我們應該如何全面啟用它。你可能想知道為什麼他們一直在關注這個問題。

答案很簡單：人類對密碼不是很好。即使您已決定讓密碼管理解決方案處理您的登錄憑據，您也可以確定為您正在使用的服務提供商工作的人員沒有。有人可能已將您的用戶名和密碼暴露在數據庫中，而所有壞人需要做的就是找到所述數據庫並登錄。

雙因素身份驗證的目標是解決此問題。臨時代碼（稱為基於時間的一次性密碼或TOTP）由應用程序生成或通過短信發送，確保您的登錄憑據不足以讓騙子進入。而且您唯一需要的是do（在大多數情況下）看一下你的手機並輸入幾個符號。這是安全的，但也許更重要的是，它並不太複雜。但它完美嗎？

傳統雙因素身份驗證的問題

在線景觀是一個充滿活力的地方。例如，我們多年來就知道可以攔截短信，但就在幾天前，我們了解到還有其他方法可以洩露其中的信息。 Voxox是一家美國公司，除其他外，處理公司發送的自動文本消息， 丟棄了數百萬條此類消息，並將其留在面向Internet的數據庫中，該數據庫未受密碼保護。

不知道數據庫暴露了多長時間，但是調查它的安全專家說，任何知道在哪裡看的人都能夠“近乎實時地”看到短信流。一些文本包含2種針對各種在線服務的TOTO。

即使他們沒有TOTP在無保護的數據庫中等待他們，騙子也有其他方法可以抓住他們，網絡釣魚是最明顯的選擇。

換句話說，2FA，尤其是最常見的變體，並不完美。我們有解決方案嗎？

U2F：可行的替代方案

Universal Second Factor，更廣為人知的U2F，是一種由Google和一家名為Yubico的公司開發的認證標準。目前，它得到了更廣泛的服務提供商聯盟的支持，稱為Fast Identity Online（或FIDO），其目標是使雙因素身份驗證不僅更安全，而且更方便。

這一次，您沒有通過短信收到或在移動應用中看到的TOTP。 U2F依賴於通過USB端口連接到計算機的硬件設備和/或通過藍牙或NFC與智能手機配對。這些設備中的大多數通常被稱為按鍵，它們看起來像是可以連接到密鑰環的小型USB拇指驅動器。根據製造商的不同，您可能需要按或點擊設備上的按鈕才能激活它，但除此之外，您無需執行任何其他操作即可使用它。

使用U2F設備完成雙因素身份驗證系統中的第二個因素是簡單性的定義. 然而，它的實際工作方式卻是一個不同的故事，因為這個過程非常複雜。

U2F設備和服務提供商的服務器之間的通信使用公鑰（或非對稱）加密算法進行加密，這意味著它依賴的不是一個而是兩個密鑰 - 公鑰和私鑰。根據設計，私鑰永遠不會離開U2F設備，這意味著黑客將難以復制它。

U2F可以有效地阻止幾乎所有已知的雙因素身份驗證攻擊。網絡釣魚，會話劫持和短信攔截嘗試都是無用的，關於這個標準的最好的事情之一是，即使有人設法找到丟失的U2F設備，除非他們知道它用於哪個帳戶（以及這些帳戶的密碼），他們無法做任何事情。

U2F確實是少數幾種可以改善用戶安全狀態的身份驗證協議之一，同時也使整體體驗更輕鬆，更愉快。事實上，它是如此的好，在2017年初，谷歌告訴所有85,000名員工他們必須使用U2F設備來保護他們的工作賬戶。今年早些時候，搜索引擎巨頭宣布 ，自從推出硬件密鑰以來，它沒有確認員工接管。

當然，如果它對Google來說足夠好，它對您來說應該足夠好了。不過，讓我們考慮一些缺點。

U2F很好，但並不完美

我們懷疑你們中的許多人可以誠實地把握在他們的心上並說他們在生活中從未丟失過USB拇指驅動器。正如我們已經提到的，U2F設備的大小大致相同，雖然丟失它可能不會導致帳戶受到損害，但它會使登錄更加困難。

與所有硬件設備一樣，U2F密鑰也可能被損壞或被盜，這意味著您必須將其替換為另一個。這意味著為了能夠使用您的在線帳戶，必須支付一些額外的現金。

是的，不幸的是，U2F設備不是免費的。他們中的大多數都是以每個10美元左右開始流行，所以它們並不是很貴，但對於一些用戶來說，即使這樣也太多了。這在一定程度上抑制了採用，但其他因素也在發揮作用。

該標準已經存在了十多年，但它仍然沒有像你期望的那樣得到廣泛的支持。 2014年，谷歌Chrome成為第一款支持U2F的瀏覽器，雖然它的競爭對手正在迎頭趕上，但它們似乎並不太匆忙。例如，如果您使用Firefox，則需要在設置的深處啟用U2F支持，而對於Safari，它根本不適用於硬件密鑰。它不僅僅是瀏覽器。儘管每個開發人員都可以採用該標準並在不付一分錢的情況下實施該標準，但提供U2F作為雙因素身份驗證選項的在線服務數量仍然有限。

總而言之，U2F仍然不是我們在線生活的重要組成部分。這是否會改變以及改變的速度是時候告訴我們了。