Google : 安卓手機現可用作物理安全金鑰，需要Android 7.0以上

據外媒 The Verge 報導， 4 月 10 日， Google 宣佈，任何搭載 Android 7 或更高版本的手機現在都可以使用兩步驗證 （ 2FA ） 的物理安全金鑰，可以讓 Google 用戶用比現在提供的其他幾種現有 2FA 方法更安全地登錄 Google 應用程式和雲服務。且如果使用者想使用物理設備進行登錄資訊驗證，不需要再另購買實體加密鎖，而是可以直接用安卓手機進行操作。新的用戶安全方案適用於 Gmail 、 G Suite 、 Google Cloud 以及其他 Google 帳號服務。

要讓安卓手機成為物理安全金鑰，使用者只需要註冊 Google 帳戶並加入 Google 的安全服務佇列 （ 2SV ) ，擁有 Android 7.0+ 的手機和支援藍牙功能的作業系統、 Chrome OS 、裝有 Chrome 瀏覽器的 MacOS X 或 Windows 10 都可以。通過藍牙將手機連接到 PC ，再用 PC 上的 Chrome 瀏覽器來驗證登錄。新的身份驗證方案適用於 Gmail 、 G Suite 、 Google Cloud 以及其他 Google 帳戶服務，並使用 FIDO 身份驗證標準。 Google 表示，其他網站可能會在稍後添加這種方案。

如果使用者正在使用 Pixel 3 ，則能夠使用音量降低鍵來啟動安全金鑰，因為Google 表示它正在將 FIDO 憑據儲存在 Pixel 的 Titan M 晶片中，該晶片可以驗證按鈕是否合法。其他 Android 7 及更高版本的設備仍可用作兩步身份驗證方法，但需要登錄並點擊一個按鈕。

Google 方面認為，對抗網路釣魚攻擊是一項重大挑戰，雖然他們會自動阻止一些惡意的登錄嘗試（即使攻擊者擁有被害者的帳號與密碼），但額外的保護措施還是會有所幫助。因為基於FIDO標準的安全金鑰，是當今市場上最強大，最有抗釣魚能力的 2SV 方案。這些物理安全金鑰通過要求使用者在可疑或無法識別的登錄嘗試期間，使用用戶的金鑰來保護使用者的帳號免受網路釣魚者的攻擊。尤其建議有高級帳戶安全需求的人群，如記者、活動策劃人群、商業領袖和政治競選團隊。

目前， Google 的物理安全金鑰服務只適用安卓手機，並且專門用於登錄 Google 服務，而不是協力廠商網站。 Google 表示，由於新技術運行在相同的協定上，包括物理安全金鑰的 FIDO 標準，其他公司達成類似技術只是時間問題。除 Chrome 外，其他瀏覽器也可能獲得支援，其他服務最終也可能會擴展到使用安卓手機作為安全金鑰。 Google 宣稱，他們正在努力達成這一終極目標。

資料來源