火狐,安全密钥,U2F,和谷歌高级保护

高级保护谷歌帐户将使用在Firefox中仅部分支持传统的网络技术。这里是到您开始与物理安全密钥和额外的保护您的谷歌帐户的Firefox浏览器。

你应该使用谷歌高级保护吗

有很多原因,你会想保护的额外层添加到您的谷歌帐户。也许你已经有了个人电子邮件,重要文件的十年值得,或者你保存你的信用卡和密码,在谷歌Chrome或收费,或者您是AdSense发布商,并想保护你的收入和帐户信誉。

谷歌建议,只有谁需要“额外的保护”别人,使他们先进的保护方案。更具体地讲,谷歌建议以此作为公众人物和其他人谁可能是在对他们的谷歌帐户有针对性的攻击风险较高的选项。但是,我认为,该方案是适合的人谁相信他们的谷歌帐户包含什么样的邮件,个人信息,以及整个数字生活的价值。

高级保护走向更强的安全转移谷歌的安全模型形式的用户便利性。您将无法登录到使用谷歌帐户的一些第三方应用程序和网站,这意味着。这主要影响到第三方访问或管理在谷歌云端硬盘的谷歌邮件和非应用程序特定的数据。

对类固醇的双因素登录

普通谷歌账户可以通过添加一个次要因素来提高安全性,通常是通过谷歌Authenticator移动应用程序,它可以生成基于时间的一次性密码,对你的账户是唯一的。如果你丢失或重置你的手机,你可以通过一些额外的步骤从你的账户断开链接,这样你就可以再次登录。

高级保护(Advanced Protection)在登录过程中进一步增加了第二要素组件提供的额外安全层,它使用物理安全设备,而不是依赖于移动应用程序。这些安全设备,即安全密钥,有多种形式。它们建立在一种被称为通用第二要素(U2F)的开放行业标准上,并带有蓝牙或NFC、USB-A或USB-C接口的无线品种。

先进的保护需要你至少两个安全密钥添加到您的帐户。如果你想保持在增加了第三备份到你的两个主键以后,您可以招收更多的键。你要保持你的安全密钥照顾好,并至少有一个备份。

不同于常规的双因素认证方案,你不能只是一旦你加入了先进的保护计划中删除第二步认证要求。如果你失去了你的钥匙,你要联系谷歌的客户支持和经历一个较长的验证过程,并提供了很多详细的资料有关谷歌帐户解锁。可以预计,如果你失去了你的安全密钥无法访问您的帐户相当长的一段时间。

获取硬件安全密钥

之前,你可以在谷歌高级保护程序注册,你必须在准备至少两个安全密钥。您可以使用相同的密钥对多个谷歌帐户,甚至是重复使用不同的启用U2F的Web服务相同的密钥。

你应该记录下你的哪些密钥在哪些网站上注册。如果您丢失了一个密钥,或者想要使密钥失效,您将需要这个记录来了解需要更新的所有帐户。

您可以使用任何FIDO U2F安全密钥,只要它们与您的设备兼容。谷歌建议您获得一个普通的USB密钥作为备份令牌,以及一个移动支持无线蓝牙和NFC作为您随身携带的主密钥。具体来说,谷歌推荐YubiKey U2F(USB)和任何一个飞天多通道(蓝牙/ NFC / USB)或YubiKey新(NFC / USB)。蓝牙与更广泛的设备兼容,但蓝牙功能需要你给钥匙充电。NFC与便宜的智能手机和其他设备的兼容性较差。然而,无论是NFC模式还是USB模式都不需要你为它们的操作按键充电。

更新():飞天多通路模式1,2和3已被召回过一个安全问题。免费更换设备都是飞天提供的

我选择了一个YubiKey U2F和飞天EPASS(NFC / USB)作为其约三分之一的YubiKey新价格的,因为我没有需要蓝牙。(封面照片显示了YubiKey U2F在蓝色和飞天多道为白色。)

最新版本的Windows和macOS应该会立即识别你的U2F设备,所以你不需要安装任何驱动程序。但是,较老的和陈旧的Linux发行版可能无法识别您的U2F设备。您可以更新您的Linux发行版,也可以从新版本中为您的设备复制udev定义。

您也将无法使用硬件令牌与火狐Flatpak Linux版不降低默认的安全设置。

在Firefox中支持U2F

火狐版本60及更高版本内置了支持硬件安全密钥的新标准称为Web认证(WebAuthn)。谷歌不[但]使用这个标准,但可以启用在Firefox版本58和更新传统FIDO U2F协议的支持。

要启用U2F支持,请键入:配置进入Firefox的地址字段,并按下输入。关闭该警告,并寻找所谓的设置security.webauth.u2f在高级设置列表中。双击它以启用U2F支持,并重新启动Firefox以应用更改。

此设置只是为了让Firefox与尚未迁移到新的Web认证(WebAuthn)标准的遗留系统兼容。

不幸的是,您将无法使用Firefox向您的谷歌帐户注册任何新的安全密钥。Firefox只对U2F提供部分支持,而且它的实现不包括键注册。你必须使用谷歌Chrome浏览器添加安全密钥和启用高级保护。一旦你在谷歌Chrome中添加了你的安全密钥,你就可以在Firefox中使用你的密钥进行身份验证。

报名参加谷歌高级保护

你要做的第一件事就是把火狐放到一边,安装或者打开谷歌Chrome(如果你已经安装了的话)。如果你不想在你的系统上留下谷歌Chrome,你可以在完成安装过程后卸载它。你必须使用谷歌Chrome初始设置过程的谷歌高级保护,但你以后不需要它。

使用谷歌Chrome,头到谷歌高级保护在Google.com页面,然后点击开始使用,并完成注册步骤。你会在这个阶段既需要您的安全密钥。

在您完成安装过程后,请确保单独存储您的安全密钥。不要把他们两个都留在你身边,应该有一个做你的后援。如果你丢失了你的钥匙,一定要订购一个新的钥匙,并尽快登记。您可以添加额外的安全密钥和管理您的现有密钥在我的谷歌帐户:登录选项:两步验证页。你必须有,除非你选择禁用高级保护再次与您的谷歌帐户相关联的至少两个键。你需要使用谷歌浏览器来管理你的钥匙。

在Firefox中使用U2F进行身份验证

你将你的谷歌账户登出您启用高级保护之后无处不在。假设你已经启用在Firefox U2F支持,如上文所述,你会被提示,一旦你尝试登录到您的谷歌帐户在Firefox连接您的安全密钥。

Android版Firefox

不幸的是,你不能用Firefox使用U2F为Android作为的。然而,工作在这方面的进展缓慢;在从事物在Firefox的bug跟踪系统的外观最少。您启用了高级保护后,您将无法登录到谷歌服务在Android版Firefox。

你将不得不再次依赖于使用谷歌Chrome和谷歌身份验证器应用访问您的谷歌帐户。身份验证器应用只是用来方便Chrome浏览器和蓝牙或NFC安全密钥之间的通信。

值得注意的是,这可能是一个额外的安全和隐私增强功能。保持你的高价值谷歌帐户在Chrome和Firefox的一切将使谷歌难以关联你的谷歌帐户在线活动。这也会让一个网站更难模拟谷歌,因为你知道你不能登录到Firefox的谷歌。