问︰谷歌（Google）的Advanced Protection Program推荐的其中一款FIDO二步认证金钥，发现有保安问题，需要停用，以及更换相关的金钥，是哪一款金钥出问题，又出了甚么问题？

李建军︰这次需要更换的金钥，是谷歌委托中国深圳一间公司代为生产，以泰坦（Titan）为型号名的无线蓝芽金钥，而金钥的机身，印有T1或T2字样。谷歌指由于蓝芽设定上的失误，只要有人在你三十尺范围内，对方在可以有你的密码和帐户名称情况下，暗中取得你的资料。因为这次失误，无法透过软件升级解决，所以唯一方法是谷歌公司更换没有问题，但同公司所生产的蓝芽金钥，虽然这个做法并不理想，但为保障自己仍然合资格使用Advanced Protection Program，这是暂时可行的方法，或再花一点钱，买另一间公司在美国和瑞典制造的NFC金钥取代，或改用由欧美公司生产的蓝芽金钥。

问︰在之前翻墙问答，已经对这公司生产的金钥有保留，如果并无使用相关金钥，是否仍然要更换金钥？

李建军︰纵使你平日主力并非使用这次受影响的无线金钥，但由于这次问题，涉及可能有人近距离遥控偷户口的问题（在中国这种高度敏感的环境，相信中国当局或个别黑客，有可能滥用漏洞行事），以及慎防一旦你要使用后备金钥时，可能面对的风险，因此，你平日有没有用也好，谷歌虽然已经暂停有关金钥，你仍然应该更换金钥，并将旧金钥交予谷歌公司处置，而不是在中国这种环境，随意丢弃相关有问题的金钥。

问︰那由谷歌手上换来的新金钥，又应否使用？

李建军︰如果仍然由相关中国公司生产，你做好配对后，就当成后备金钥使用，纵使未有发现任何问题，平日不应主力使用中国公司生产的新金钥。

问︰这次出问题的技术，在于被称为BTLE的低耗能蓝芽技术之上，其实这个技术安不安全？有否足够的加密，避免问题发生？

李建军︰理论上，如果相关金钥使用蓝芽4.0或以上的技术，因为已经有128位元的AES加密，不应该出现问题，但因蓝芽始终是比较旧的技术，再加上有些设计人员处理不当的话，就会出现问题。理论上，蓝芽用于二步认证金钥上是安全，但实际上要视乎相关公司有否妥善作出设计。特别是蓝芽本来并非用于保安相关的应用上，蓝芽的用途广泛，由最初用于耳机，到今时今日连广告都会用得上蓝芽，蓝芽二步认证金钥的安全度，实有赖生产商的谨慎行事。如果相关生产商，有生产银行等使用的保安或加密产品经验，会令使用者比较有信心使用。

问︰为何NFC技术，暂时又未有问题？

李建军︰NFC技术因为本来设计用于财务交易之上，设计时所需发射范围极短，而且加密方面十分之强，亦保留十分少的空间在一些未加密通讯之上，所以至今大部分信用卡等交易，仍然十分信赖NFC。如果你的手机是属于比较新或高阶手机，支援NFC功能，那你应该用NFC版的二步认证金钥，而避免用蓝芽版。蓝芽版是针对无NFC支援，比较低阶或旧型号手机，那只是一个技术上的过渡方案。

来源:RFA, 文章内容并不代表本网立场和观点。

推荐安卓翻墙APP：SpeedUp VPN

• 【翻墙问答】Telegram与腾讯合作引资安私隐疑虑
• 【翻墙问答】港府用原始DNS污染欲封JPEX被网民一日破功
• 【翻墙问答】Cloudflare 1.1.1.1遭封 中国翻墙越来越难
• 【翻墙问答】汽车收集数据 小心车上言谈行踪被当局监控
• 【翻墙问答】海外智能手机配搭eSIM成新翻墙手段

• 🔥法国犹太老板：神告诉我们，只有一位中国人能救人类
• 🔥华人必看：中华文化的飓风 幸福感无法描述
• 🔥解锁ChatGPT|全平台高速翻墙:高清视频秒开,超低延迟
• 🔥免费PC翻墙、安卓VPN翻墙APP

Android版SpeedUp VPN，基于ShadowsocksRb，与SSR和Shadowsocks协议兼容，内置免费SSR服务器。 如果您对内置SSR VPN服务器不满意，则可以自行添加或导入任何SSR和Shadowsocks服务器使用。

• Google Play下载：SpeedUp VPN
• Github下载：SpeedUp VPN