|
问︰谷歌(Google)的Advanced Protection Program推荐的其中一款FIDO二步认证密钥,发现有保安问题,需要停用,以及更换相关的密钥,是哪一款密钥出问题,又出了甚么问题?n5D免费翻墙网
n5D免费翻墙网
李建军︰这次需要更换的密钥,是谷歌委托中国深圳一间公司代为生产,以泰坦(Titan)为型号名的无线蓝芽密钥,而密钥的机身,印有T1或T2字样。谷歌指由于蓝芽设定上的失误,只要有人在你三十呎范围内,对方在可以有你的密码和帐户名称情况下,暗中取得你的资料。因为这次失误,无法透过软件升级解决,所以唯一方法是谷歌公司更换没有问题,但同公司所生产的蓝芽密钥,虽然这个做法并不理想,但为保障自己仍然合资格使用Advanced Protection Program,这是暂时可行的方法,或再花一点钱,买另一间公司在美国和瑞典制造的NFC密钥取代,或改用由欧美公司生产的蓝芽密钥。n5D免费翻墙网
n5D免费翻墙网
问︰在之前翻墙问答,已经对这公司生产的密钥有保留,如果并无使用相关密钥,是否仍然要更换密钥?n5D免费翻墙网
n5D免费翻墙网
李建军︰纵使你平日主力并非使用这次受影响的无线密钥,但由于这次问题,涉及可能有人近距离遥控偷户口的问题(在中国这种高度敏感的环境,相信中国当局或个别黑客,有可能滥用漏洞行事),以及慎防一旦你要使用后备密钥时,可能面对的风险,因此,你平日有没有用也好,谷歌虽然已经暂停有关密钥,你仍然应该更换密钥,并将旧密钥交予谷歌公司处置,而不是在中国这种环境,随意丢弃相关有问题的密钥。n5D免费翻墙网
n5D免费翻墙网
问︰那由谷歌手上换来的新密钥,又应否使用?n5D免费翻墙网
n5D免费翻墙网
李建军︰如果仍然由相关中国公司生产,你做好配对后,就当成后备密钥使用,纵使未有发现任何问题,平日不应主力使用中国公司生产的新密钥。n5D免费翻墙网
n5D免费翻墙网
问︰这次出问题的技术,在于被称为BTLE的低耗能蓝芽技术之上,其实这个技术安不安全?有否足够的加密,避免问题发生?n5D免费翻墙网
n5D免费翻墙网
李建军︰理论上,如果相关密钥使用蓝芽4.0或以上的技术,因为已经有128位的AES加密,不应该出现问题,但因蓝芽始终是比较旧的技术,再加上有些设计人员处理不当的话,就会出现问题。理论上,蓝芽用于二步认证密钥上是安全,但实际上要视乎相关公司有否妥善作出设计。特别是蓝芽本来并非用于保安相关的应用上,蓝芽的用途广泛,由最初用于耳机,到今时今日连广告都会用得上蓝芽,蓝芽二步认证密钥的安全度,实有赖生产商的谨慎行事。如果相关生产商,有生产银行等使用的保安或加密产品经验,会令用户比较有信心使用。n5D免费翻墙网
n5D免费翻墙网
问︰为何NFC技术,暂时又未有问题?n5D免费翻墙网
n5D免费翻墙网
李建军︰NFC技术因为本来设计用于财务交易之上,设计时所需发射范围极短,而且加密方面十分之强,亦保留十分少的空间在一些未加密通讯之上,所以至今大部分信用卡等交易,仍然十分信赖NFC。如果你的手机是属于比较新或高阶手机,支持NFC功能,那你应该用NFC版的二步认证密钥,而避免用蓝芽版。蓝芽版是针对无NFC支持,比较低阶或旧型号手机,那只是一个技术上的过渡方案。n5D免费翻墙网
n5D免费翻墙网
n5D免费翻墙网
n5D免费翻墙网
n5D免费翻墙网
00:00/00:00
 
|
