ChatGPT在全球范围普及后,用户账户安全——尤其是敏感数据的保护——正成为行业越来越关注的焦点。钓鱼攻击是威胁账户安全的主要风险之一,尤其针对那些从事政治异见、新闻报道、科研或公职等敏感工作的用户,以及存储商业机密的企业用户。就在本周四,OpenAI推出了Advanced Account Security(AAS)——一套可选的账户保护措施,这套措施对所有用户开放,但尤其针对上述高风险群体设计。与此同时,OpenAI还和数字安全提供商Yubico合作,推出了两款联名YubiKey硬件密钥产品:YubiKey C NFC和YubiKey C Nano,进一步加强ChatGPT账户的安全防护。
此次推出的两款联名YubiKey产品都基于FIDO2和U2F国际安全标准,具备硬件级双因素认证能力。其中YubiKey C NFC用的是USB-C接口,还支持NFC功能,能同时兼容手机和电脑;YubiKey C Nano则是小型化设计,插在设备上可以长期不用拔下来,减少丢失的可能。硬件密钥的核心优势在于物理验证的特性:用户登录ChatGPT时,除了输入密码,还得用YubiKey做物理接触验证,这样攻击者就算用钓鱼网站也没法复制密钥信息或者窃取认证数据,能有效防住钓鱼攻击。
OpenAI提到,AAS方案和联名YubiKey产品主要针对政治异见人士、记者、研究人员、民选官员这类高风险群体,也适合企业用户用来保护ChatGPT会话里的商业机密。Yubico的CEO Jerrod Chong在合作声明里说,双方合作的最终目的是大幅减少全球OpenAI账户被未授权访问敏感数据的风险。从技术层面来说,这套方案把硬件和软件结合起来,建立了多层防护,刚好补上了传统短信或应用验证码容易被钓鱼攻击绕过的短板。
现在AI行业对账户安全的重视度一直在提高,微软Copilot已经支持FIDO2安全密钥认证,不过Anthropic这类同行还没推出类似的联名硬件安全方案。随着用户对数据安全的需求越来越大,行业里说不定会出现更多类似的安全防护措施,让用户对AI工具更放心。
快报