英特尔酷睿芯片和联想PC让双因子身份验证无需手机参与
作者: 日期:2017年10月27日 阅:11,139

口令管理器Dashlane和PC制造商联想,是利用英特尔第8代酷睿芯片某鲜为人知功能的首批消费公司。英特尔芯片的这一隐藏功能,能让你的双因子身份验证仅使用PC即可完成,无需拿出你的手机。只需要确保你的第一道防线——Windows口令或PIN,同样安全。

该功能被英特尔称为“在线连接(Online Connect)”,这更常被称作通用第二因子(U2F)验证,存在于第8代酷睿架构中。

通常,双因子身份验证(2FA)——数年前就被作为电子邮件、在线存储和其他数据的额外安全措施而被推荐,需要通过App或短信向你的手机发送验证码。英特尔的第8代酷睿架构及其相关软件,去除了验证过程中对手机的需求,你只需要点击一个软件“按钮”来验证2FA事务就行了。

英特尔的“在线连接”,改进了在其第7代酷睿芯片中引入的一个相关技术——软件防护扩展(SGX)。SGX基本上就是芯片中的一个受保护区,用来存储加密密钥的。但仅有2个服务宣布支持SGX:Dropbox和 Duo Security (在今年早些时候发布了概念验证)。

宣布支持英特尔”在线连接”功能的第一家PC制造商,是联想,其新近推出的PC和某些老款PC都支持该功能。10月24日,联想宣布,其Yoga 920、IdeaPad 720S、ThinkPad X1 Tablet (第2代)、ThinkPad X1 Carbon (第5代)、ThinkPad Yoga 370、ThinkPad T570、ThinkPad P51s、ThinkPad T470s、ThinkPad X270 和 ThinkPad X270s,支持英特尔在线连接。该功能可从网上直接下载,也可以通过联想系统升级和联想应用管理器来安装。

为什么这很重要?PC被侵入就够糟的了,这也是为什么会有 Windows Hello、用户PIN码和Windows口令的原因所在。然而,随着Web服务几乎可从世界任何地方访问,我们便有了用第2层安全来将自己与坏人区分开来的需求。双因子身份验证可以帮助保护这些在线事务的安全;U2F则承诺让2FA不那么麻烦。

传统上,“双因子身份验证”假定用户使用手机,尽管专用的加密狗也能起到相同作用。

U2F在英特尔酷睿芯片中的工作机制

一旦第8代酷睿芯片发售,Dashlane就会立即采用该内置技术,并将U2F用作另一种验证形式——Dashlane战略合作伙伴经理艾莉森·贝克如是说。她证实,U2F内置在第8带酷睿芯片中供消费者使用,无需英特尔的商用vPro技术。

贝克说:“你不需要用手机或者其他什么东西,一台用英特尔芯片的兼容PC就行了。”

FIDO联盟开发了U2F开放身份验证标准,用于简化双因子身份验证。为注册Dashlane之类的在线服务,需要创建两个“密钥”:一个公钥,注册服务本身;还有一个私钥,存储在客户PC的酷睿芯片中。

贝克称,客户的私钥会签署“服务可被验证来自客户PC”的断言。但只有用户点击了由“在线连接”中间件呈现在屏幕上的按钮,验证了其存在后,该签名才会发布。英特尔在PC安全解决方案上已努力多年;去年,英特尔展示了其Authenticate技术,结合了指纹、PIN、配对手机等等。

Dashlane用于演示该过程的GIF动图表明,Dashlane验证需要你输入口令。英特尔的在线连接会随后找出安全密钥。发送密钥则需要在15秒内点中随机出现在另一个窗口中的按钮。该窗口使用了英特尔受保护交易显示(Protected Transaction Display)技术,直接由英特尔芯片自己来产生屏幕显示。用户可以看到该按钮,而中间人攻击者就只能看到一个空空如也的黑框,不知道该点击哪里。

不过,U2F似乎将更多的重点放在了防御PC的第一道安全防线上:Windows Hello、PIN码或口令。在你跑出去买杯咖啡,而把自己的第8代芯片PC敞在那儿的时候,即便攻击者可以猜出你的PIN码,他也依然需要知道你的Dashlane主口令才可以登录。但在传统基于手机的双因子身份验证帮助下,像Dashlane这种服务还会向你的手机发送警示,警告你有攻击正在进行。

无论如何,Dashlane这样的服务,似乎都在准备利用英特尔酷睿芯片中内置的U2F功能了。口令便已足够,但反复输入复杂难猜的口令简直令人心烦。如何在提供安全的同时又不给用户造成太多负担呢?英特尔及其合作伙伴,似乎将注意力放在了快速方便的安全方法上。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章