谷歌研发新型安全验证产品

北京时间3月13日消息，据国外媒体报道，全球最大的搜索引擎谷目前正在研发一项新型安全验证技术，使用该技术的用户或许可以利用珠宝等首饰登陆账户，而不用再输入繁琐的密码。

谷歌首次对外宣称要进行此项实验是在其一月份发表的学术文章中。谷歌此次的研发目标是生产出一个小型的“USB钥匙”，使用这种钥匙能将用户所有的验证资料输入电脑。除此之外，谷歌还提到有望产出嵌入智能芯片的戒指。

上个月在旧金山召开的RSA安全会议上， 谷歌一位专门负责安全的工程师阿帕德海耶(Mayank Upadhyay)首次对此项技术做了公开演讲。他表示，使用个人硬件设施登陆账户可以免除密码被重新使用或是被复制的危险。同时他还表示，人们对此项技术其实并不陌生。“每个人对ATM都很熟悉。为什么在电脑上不能使用同样的方法呢?”

阿帕德海耶表示谷歌正在研发一个小型的USB钥匙，当这个钥匙插入电脑后，用户可以通过网络对其进行身份验证。该钥匙还内置无触点芯片，在移动设备上也可以使用该钥匙。

像谷歌正在研发的此类密保令牌并不包含一个可以被复制的静态密码。每一个加密钥匙和设备都是相互匹配的，内置数据永远不会被传送到外界。当钥匙接入后，钥匙会对网站设置的问题作出正确反映以对其身份进行验证，确保同样的信息不会再一次登陆。

在会议结束之后，阿帕德海耶表示谷歌还将生产一个可以替代密码令牌的戒指，但他并没有透露其工作细节。“有些人对USB类的密码令牌可能会感到不太舒服。”

谷歌已经在和其他公司进行商谈使该技术能够运用到不同的服务和网站中。“该技术目前还处于早期阶段，”阿帕德海耶表示。谷歌已经开始和密码安全认证联盟FIDO合作。FIDO联盟在今年2月推出了一项新技术，能够让用户更安全的登入账户并更少的依赖键入密码。

“另外一件我们一直努力推进的是我们已经建立起了支持此项技术的浏览器，所以你不用担心在使用该钥匙时需要安装其他设备的问题。”阿帕德海耶说。“我们希望以后登陆账户就像是去朋友家一样，安全快捷。”

谷歌在之前曾推出过一个安全的登陆服务——“二元认证”(two-factor authentication)，即用户通过手机接受到的密码登陆账户。但在谷歌的用户中仅有1%的人采用了此种方法，阿帕德海耶表示不少人都认为这种方法太过繁琐。

阿帕德海耶并没有透露哪家公司会提供硬件设备以推广此项新技术，但他所描述的硬件设备似乎和加州密码保护公司Yubikey制造的USB密保钥匙“NEO”一模一样。用户能够以50美元的价格购买到NEO，而公司们可以以更低的价格大量采购到NEO。