香港反送中的抗爭至今已延燒四個月,隨著街頭衝突越發頻繁,網路上的資安保衛戰也不曾停歇。打從抗爭剛開始,示威者就已採用Telegram加密即時通訊程式確保資訊不外露。隨著歐美社會的主流輿論顯示對示威者的同情,瑞典保安科技公司Yubico也伸出援手,捐獻了500支安全金鑰「YubiKey」給香港的示威者。
硬體雙重認證確保資訊安全,Yubico向香港抗爭者提供支援
此事的緣起,要從九月中時一群來自香港、在美國就讀研究所的碩士生一同成立了「香港海外研究生民主聯盟」說起。這個聯盟核心成員有17人,以爭取香港的民主自由發展,以及促進香港與國際之間的學術和民間交流為成立宗旨。
成員之一的陳婉容在Facebook上表示,他們在八月時曾聯繫Yubico,解釋香港警察侵犯被捕者及抗爭者私隱的問題,希望他們可以贊助香港抗爭者500條Yubikey。而Yubico也在核實他們的身份後大方寄出了500條YubiKey。
至於YubiKey是什麼?陳婉容表示,它可能是全球最有名的硬體雙重認證(hardware 2-step authentication)方式。回想一下你試圖在桌機上登入你的LINE帳號時,你需要透過手機掃碼認證後才可登入,這就是雙重認證。而硬體雙重認證,則是要求用戶要將有著USB外型的安全金鑰插入電腦(或手機),並按下金鑰上的按鈕,才可以順利登入帳號。
美國知名科技媒體The Verge曾在今年二月的文章中評測了多間廠商的安全金鑰,並稱YubiKey為「最佳安全金鑰」。YubiKey支援多個網路服務如Facebook、Google、Instagram,同時也能當做作業系統如Windows、MacOS及Linux等的開機鎖。
最「無法攻破」的防護方式,連英美政府都採用YubiKey
以現有技術來說,安全金鑰可說是最「無法攻破」的防護方式。對此,Yubico的創辦人艾倫斯佛德(Stina Ehrensvard)曾表示,過去十年來駭客的攻擊方式越來越多樣,而且更具規模性,而防禦人們資訊安全的,一直以來都只有一串薄薄的密碼。透過YubiKey,她試圖彌補兩者之間的技術落差。
雖然過去幾年越來越多公司採用雙重認證機制來加強密碼驗證的防護等級,但在實際應用上卻仍舊有一段路要走。根據Google在2018年所做的一份研究, Gmail用戶中只有少於10%的人真的啟用了透過SMS簡訊或者手機App傳送驗證碼的雙重認證機制 ,因為大部分的人都因為嫌麻煩而選擇關閉該功能。
透過YubiKey,艾倫斯佛德希望能降低用戶採用雙重認證的門檻,因為它不要求用戶額外輸入密碼,只要他們能夠將金鑰插入電腦,再按一下金鑰上的按鈕即可。目前採用YubiKey的公司及政府遍及全球160多國,其中連英國及美國的政府機構,還有Google、Facebook、Dropbox等國際級科技公司都已採用YubiKey,並持續開發個人用戶的市場。
陳婉容表示,Yubico捐贈給香港的這500條安全金鑰型號為基本型,具備基本雙重認證功能,但不包含近距離無線通訊(NFC)功能。未來這500條金鑰將依循不同管道發放給民間記者及抗爭者。對於捐贈一事,Yubico並無特別發布聲明。
責任編輯:蕭閔云
