实体的安全密码锁（security key）真有比其它身份认证方式更加安全吗？何不听听 Google 怎么说。根据专注于网路犯罪、安全题材的新闻博客 Krebs on Security 报导，自从 2017 年，Google 要求旗下 85,000 名员工使用实体的安全密码锁取代传统密码作为身份认证手段，至今所有的帐户都未受到任何网路钓鱼攻击的侵害。Google 的发言人除了证实这项消息也解释，基于处理不同应用程序所涉及的机密程度，和使用者当下可能面临的风险，员工的确会在特定的环节中，被要求使用实体的安全密码锁来进行身份认证。

使用这类实体的安全密码锁其实十分简单，像 Yubikey 这样的产品，你只需要在登录网站时将其插入，按下按钮，就完成了，免去你输入冗长的密码麻烦。虽然这类实体产品依然有它的缺点，例如你可能会弄丢它，但安全性上，它甚至比现在常见的「双重认证」（像是输入密码＋简讯认证）还更有保障，毕竟对于骇客来说，拦截发送到手机的讯息并非不可能的事。

遗憾的是，这类 Universal 2nd Factor（U2F）实体安全性密码锁，目前支援仍十分有限。时至今日， Chrome 已提供支援，而 Firefox 需经过设定才能使用，微软的 Edge 预计在今年稍晚的更新后提供支援，Apple 的 Safari 则是没有任何相关消息。况且，即使你搞定了浏览器，目前也仅有少数网站和服务可以透过它进行身份认证，包括 Facebook 和 Keepass、LastPass 等密码管理服务。Google 的正面经验是否能帮助这项技术顺利发展，目前仍有待观察，但这消息对相关厂商来说，想必已经是一剂久违的强心针啦。