从 Google 的角度来看,防范网络钓鱼是保护员工和客户帐户的关键。 随着基于云的服务的普及,无论是在消费者中还是在企业内部,用户名和密码通常是阻止恶意行为者破坏数据的唯一方法。 使用FIDO协议进行身份验证时,身份验证器提供用户正在与合法服务交互的加密证明,即使身份验证器的响应在传输过程中被捕获,恶意参与者也无法成功重播以模拟用户。


自从需要 使用 物理安全密钥以来,还没有针对其 85,000+ 员工的网络钓鱼攻击成功。

两年多前,谷歌公布了其内部实施FIDO U2F安全密钥的结果,并报告了令人印象深刻的结果。 据该公司称,自从需要使用物理安全密钥以来,尚未成功针对其 85,000+ 名员工的网络钓鱼攻击。 自本报告发布以来,Google 还采取了许多其他值得注意的步骤,将 FIDO 协议集成到其消费者和企业身份验证流程中。

最近,谷歌发布了他们自己的 U2F 硬件安全密钥,称为 Titan 安全密钥。 Titan 安全密钥提供熟悉的 USB 安全密钥和蓝牙版本,使安全密钥能够通过用户的智能手机进行身份验证。 虽然 Titan 安全密钥通常可供购买,但它主要面向企业用户,尤其是那些已经使用 Google 云服务的用户。

随着 Chrome 70 的发布,Chrome 将支持 W3C 最近发布的 WebAuthn 标准中指定的凭据管理 API。 这允许 Web 应用程序创建和使用加密证明的凭据来对用户进行身份验证。 至关重要的是,这为使用各种强凭据在浏览器中进行完全无密码身份验证奠定了基础,从 U2F 安全密钥(如 Google 自己的 Titan 密钥或内置于 Google 的 Pixelbook 中的密钥)到本地生物识别身份验证(如 Apple 的 TouchlD)。

最终,目标是让尽可能多的用户使用防网络钓鱼身份验证协议,无论他们使用安全密钥、设备上的生物识别身份验证器,还是与用户的移动设备进行加密握手。

该案例研究最初出现在 Javelin Strategy & Research 的“2019 年强身份验证状况”报告中