Github 支援 U2F 認證,可以用 USB 密錀保護帳號安全

作者 | 發布日期 2015 年 10 月 06 日 15:24 | 分類 資訊安全 follow us in feedly

現在許多網站採用二階段認證方式,保護消費者不被釣魚訊息或者中間人攻擊的威脅。如今有業者要讓消費者更方便,甚至不用輸入安全碼,只要插入支援的 USB 硬體密鑰,讓上面的指紋辨識裝置辨識就能完成認證。社交 coding 網站 GitHub 與安全防護廠商 Yubico 一起合作,GitHub 在其年會 GitHub Universse 宣布支援 U2F 二階段認證,藉由 Yubico USB 密鑰提供的實體認證機制,按一下掃描指紋確認身份,更加保護使用者安全。




這次 GitHub 支援 FIDO 的通用二階段認證 (Universal 2nd Factor,U2F),採安全密鑰方式全方位保護。目前採用 U2F 機制的網站,像是入口網站、郵件網站、購物網站,通常登入後還會用手機傳送安全碼,使用者收到後要輸入這組安全碼才能繼續使用該網站。而用 Yubico 的服務不用手指輸入安全碼,只要插入有安全機制的 USB 密鑰,USB 會透過指紋確認身份,由於本身 USB 就有密碼,身份確認後就能登入服務,用實際的硬體方式完成二階段認證安全機制。

GitHub Supports Universal 2nd Factor Authentication from Yubico on Vimeo.

各位可能覺得很奇怪,GitHub 不是開源專案分享程式碼的地方,怎麼會怕有人冒用身分呢?這就要談到 GitHub 的商業模式了,GitHub 提供公司、個人訂閱服務功能,能夠在 GitHub 開私人專案,供開發者在上面開發程式,只有專案相關的人才能接觸。換言之,GitHub 可說是 PaaS,提供協同作業的平台,有公開的也有鎖權限的專案。在私人專案的狀況,保護使用者身分就變得很重要了,我們都不希望有不速之客闖入,偷改或是偷取程式碼。

GitHub 目前全體 1,100 萬用戶,有 30 萬用戶採用二階段認證機制。GitHub 希望提高二階段認證的使用人數,與 Yubico 合作,讓前 5,000 名買家能用優惠價格 5 美元,購買 Yubico 的實體安全鑰匙。

不過 U2F 認證機制有個問題,目前只支援 Chrome 瀏覽器,也不支援手機,而且也得購買 USB 密鑰才能使用。未來 U2F 能用在不同的平台才有可能更普及。

發表迴響