硬事件是谷歌在 2023 年 11 月的发布和分发承诺。该公司表示,最新的 Titan 安全密钥将支持 NFC,取代之前的 USB-A 和 USB-C 型号,存储超过 250 个通行密钥,并通过合作伙伴在 2024 年免费分发给高风险用户。谷歌还将这项工作与高级保护计划(APP)联系起来,该计划是其为高知名度或敏感信息人士提供的账户安全计划。
账户安全控制面
控制面并非密钥作为零售配件。而是从谷歌账户注册、高级保护计划政策、FIDO/ 通行密钥身份验证、硬件持有和合作伙伴主导的分发这一链条。安全密钥通过要求加密证明用户正在与合法服务交互并持有已注册硬件,从而降低网络钓鱼风险。新的 Titan 型号增加了通行密钥存储层,因此同一种硬件既可作为第二因素,又可作为便携式无密码凭证持有者。
依赖与滥用机制
对于高风险用户,账户接管不是个人不便。竞选工作人员、记者、活动人士、选举工作人员和民间社会团体依赖于电子邮件、云文件、社交账户和协作工具作为运营基础设施。如果这些账户被钓鱼,攻击者可以冒充可信人员,重置下游服务,泄露消息来源或竞选材料,并破坏公民工作。硬件支持的身份验证提高了攻击者的成本,但也围绕注册、备份密钥、恢复、合作伙伴物流和用户培训创造了运营依赖。
证据边界
公共证据支持发布日期、密钥功能、FIDO/ 通行密钥安全上下文、与高级保护计划的契合度、指定的合作伙伴渠道以及 2024 年承诺的 10 万枚密钥。它并未证明 2024 年承诺的最终交付数量、合作伙伴间的分配、保护效果、采纳率、用户留存率,或者每个接收者在分发后是否正确使用了密钥。
观察点
- 谷歌是否报告 2024 年 10 万枚密钥承诺的完成情况、地理分布和接收者构成。
- 合作伙伴分发后,选举、媒体和民间社会用户的高级保护计划注册是否增长。
- 随着同步通行密钥在主流账户中变得更加普遍,硬件通行密钥是否仍然是高风险用户的默认选择。
- 谷歌如何处理备份密钥、账户恢复和设备丢失工作流,而不削弱防钓鱼能力。
- 攻击是否从凭据钓鱼转向会话盗窃、OAuth 滥用、帮助台社会工程或端点入侵。

