本文讲的是 PC如何接管手机的双因子身份验证 靠的是英特尔的CPU，口令管理器厂商Dashlane，是利用英特尔第8代Core芯片一个鲜为人知功能的首批公司之一。这个鲜为人知的功能是什么呢？在PC上启用双因子身份验证，不是手机，是PC哟~

被称为通用第2因子(U2F)身份验证的功能，存在于第8代Core架构中。双因子身份验证(2FA)作为电子邮件、在线储存及其他数据的额外安全措施已倡议多年的，通常需要通过App或短信给手机发送验证码来实现。英特尔第8代Core架构及其相关软件，则取消了对手机的依赖，仅需要你点击软件“按钮”来验证2FA事务。

技术上讲，U2F支持并不新鲜。英特尔第7代Core芯片Kaby Lake，就引入了被称之为软件防护扩展(SGX)的技术。SGX基本上就是芯片上的一个受保护区域，用于存储加密密钥。但只有2个服务宣称支持SGX：Dropbox和Duo Security——今年早些时候刚放出了概念验证。

Dashlane战略合作经理艾莉森·贝克称，一旦第8代Core芯片发售，Dashlane将马上可以利用该内置功能，将U2F用作额外的身份验证形式。她确认，U2F在第8代Core芯片中对消费者可用，无需英特尔的商用vPro技术。

除了一台兼容英特尔的PC，你不需要手机或者其他什么东西。
为什么这很重要？PC被入侵是件很糟糕的事，这也是 Windows Hello、用户PIN码和Windows口令存在的原因。然而，随着Web服务随处可得，我们需要第2安全层来将自己与坏人区别开来。双因子身份验证有助保护这些在线交易的安全；U2F承诺让它们不再那么恼人。

U2F在英特尔Core芯片中怎么运作

FIDO联盟发展了开放身份验证标准U2F，旨在帮助简化双因子身份验证。要注册类似Dashlane这样的在线服务，需要创建两个“密钥”：一个公钥——注册到服务本身；一个私钥——存储在客户PC的Core芯片中。

贝克称，客户端用私钥签署一个断言，供该服务验证其来自客户端PC。但仅在用户点击英特尔“在线连接(Online Connect)”中间件在屏幕上显示的按钮，验证了其存在之后，该签名才会发布。英特尔数年来都忙于研究PC安全解决方案；去年，英特尔推出了其Authenticate技术，综合了指纹、PIN码、配对手机和其他技术。

Dashlane用于展示该过程的一幅GIF动图显示，用Dashlane进行身份验证，需要输入你的口令。然后，英特尔Online Connect会查找安全密钥。触发密钥发送动作后，需要点击另一个窗口中随机出现的一个按钮，该点击要在15秒内完成。该窗口采用了英特尔“受保护交易显示”技术，直接从英特尔芯片本身生成屏幕显示。用户能看到该按钮，而中间人攻击者则只能看到一个空白黑框，不知道该点击哪里。

不过，U2F似乎更为强调用于防卫PC的第一道安全防线：Windows Hello、PIN码，或口令。即便攻击者能在你离开电脑去买咖啡期间成功猜出你的PIN码，他们依然需要知道你的Dashlane主口令才可以登录。但有了基于手机的传统双因子身份验证加持，像Dashlane这样的服务还会给手机发消息，提示你有攻击正在进行。

然而，无论如何，Dashlane一类的服务，正准备利用英特尔Core芯片内置的U2F功能。口令一度足以防护安全，但反复使用复杂难猜的口令会令人很是痛苦。在不造成用户太大负担的基础上提供安全，是安全服务的努力方向，而英特尔及其合作伙伴，正在走向快速方便的安全方法。

原文发布时间为：九月 7, 2017
本文作者：nana
本文来自云栖社区合作伙伴安全牛，了解相关信息可以关注安全牛。
原文链接：http://www.aqniu.com/tools-tech/27926.html