安全金鑰保安最好？　Google 8.5萬員工帳戶零入侵

用家要登入電腦帳戶，除了一般密碼、簡訊雙重認證，近年也有新的「U2F安全金鑰（Universial 2nd Factor Security Key」方法確認身份，安全金鑰為一實體USB裝置，在需要輸入密碼時將其當作鑰匙插入電腦，就可登入。資訊保安人員一直稱安全金鑰為現時較為安全的登入方式，而Google逾8.5萬員工自2017年起全面使用安全金鑰，直至現在仍未有帳號被入侵，或能證明此方法確實較安全。

專門撰寫有關網絡安全文章的網誌Krebs on Security於23日發文，引述Google發言人指，自從2017年初旗下逾8.5萬名員工轉用安全金鑰，至今無收到有關員工帳戶被入侵的報告，又補充，依據不同App或系統的敏感程度，員工登入時會被要求使用安全金鑰。

Google在使用安全金鑰作為登入工具前，員工主要使用Google Authenticator雙重認證app，員工每次登入會在app收到一次性密碼，輸入帳戶密碼及該碼即可登入。

而安全金鑰的原理則像鎖與鑰匙，員工的電腦要先於支援安全金鑰的網站註冊，成為「鎖頭」，當用家要登入時需把USB安全金鑰插入電腦，並於電腦按下確認「開鎖」，不需輸入密碼就可登入。由於此方法需要物理鑰匙才能登入，可降低帳戶被入侵風險。

不過，此方法仍未十分普及，目前只有Google Chrome和Opera直接支援，而Firefox則要特別設置才能使用，Microsoft Edge預計今年內開始支援，而蘋果Safari則未有計劃。即使瀏覽器支援，現時仍只有少數網站如Facebook支援金鑰登入。