.

能够提供在线保护的五种硬件密钥

译者:陈峻

多年以来,我们最为熟悉的身份验证方式,莫过于用户名和密码这对组合了。但是,即使您已经养成了非常良好的密码设置与使用习惯,密码也始终是一种安全隐患。道理其实很简单,首先,我们人类本身就不擅长记住密码,更不擅长创建复杂的强密码。其次,大多数用户会倾向于为多个账户创建并使用相同的密码。因此,这就会导致:如果一个账户遭遇到了入侵,其余账户也将面临相同的风险。

为了应对此类风险,我们通常会建议大家使用硬件安全密钥(HardwareSecurityKeys)。不过,在目前的市场上,您会发现有着种类丰富的硬件安全密钥可供选择,那么究竟该如何选用哪一类中的哪一种密钥呢?下面,我将向您介绍和比较当前较为常见的、能够提供在线保护的5种硬件密钥。

1.YubiKey系列

Yubico是硬件安全密钥领域的行业领导者。由该公司所提供的安全密钥可满足从个人家庭用户到专业开发人员,从小微公司到大型企业等广泛的用户场景需求。目前,其最为流行的YubiKey版本包括:

YubiKey5NFC

YubiKey5NFC是一款紧凑、轻便且耐用的密钥。它可与包括Facebook、GoogleChrome、Dropbox、以及LastPass等许多应用服务相兼容。此外,YubiKey5NFC还支持包括OpenPGP、FIDOU2P、OTP、以及智能卡在内的多种安全协议。

YubiKeyCBio

YubiKeyCBio是少数具有生物特征认证功能的密钥之一。它使用三层芯片架构,将您的生物特征信息存储在单独的安全元件之中。当然,您也可以通过设置PIN码,在不支持生物识别的场景中使用它。该密钥采用了USB-A和USB-C两种外观类型,并能够支持U2F(Universal2ndFactor,通用第二因素)和FIDO2(FastIdentityOnline,线上快速身份验证服务)两种安全协议。不过,Bio系列并不适用于LastPass,因此对于某些用户来说,这可能会破坏其交易过程。

YubiKey5Nano

如果您需要的是一种紧凑型的硬件安全密钥的话,那么YubiKey5Nano会比较适合您。它同样采用了USB-A和USB-C两种外观类型,并能够支持包括OTP、FIDOU2F、OpenPGP、OATH-TOTP、以及HOTP在内的多种安全协议。当然,其微小的尺寸是有代价的。与其他YubiKey不同,Nano密钥既不耐压,又不适用于移动设备。

2.KensingtonVeriMark

插入笔记本电脑的Kensington安全密钥,图片来源:KensingtonVeriMark指纹密钥

KensingtonVeriMark指纹密钥使用的是,具有度可读性与防欺骗保护的生物识别技术。为了便于多个用户可以登录同一台设备,VeriMark最多能够支持10个指纹。

VeriMark是具有加密狗外形的紧凑式便携密钥。由于其长度只有1.2英寸,因此您可以将它系到钥匙链上,而不会觉得过于沉重。如上图所示,您甚至可以在上下班途中,将其保持与笔记本电脑的连接,并放入包中。

Kensington密钥不但支持多种协议,并且可以与Dropbox、GitHub、Facebook、以及Google等基于云端的账户,流畅地配合使用。不过,它缺乏对NFC的支持,以及与macOS和ChromeOS的兼容性。

3.GoogleTitan安全密钥

Google-Titan-Security-Key,图片来源:谷歌商店

作为Google的物理安全密钥版本,Titan密钥适用于那些希望通过多因素身份验证,来保护其账户的新手。由于它提供了USB-C和NFC支持,因此您可以与几乎任何设备一起连接使用。

虽然该密钥不会读取用户的指纹,但是您可以按住密钥的中心位置,来实现网站的登录。目前,Titan密钥仅支持FIDOU2F—这种较为陈旧的协议。因此与其他硬件安全密钥相比,它在此方面处于劣势。

此外,与KensingtonVeriMark密钥或YubiKeys不同,Titan密钥不支持生物识别,当然这也就免去了各种额外设置。因此,若要使用该密钥,您只需导航到支持此类硬件密钥的站点,将Titan密钥添加到您的账户中,按照其操作向导逐步操作完成即可。

4.CryptoTrustOnlyKey

CryptoTrust-OnlyKey,图片来源:CryptoTrustOnlyKey

如上图所示,CryptoTrustOnlyKey具有其他竞品所不具备的一些独特功能:从设计开始,OnlyKey便提供了一个区别于键盘记录器的板载键盘。由于您需要从密钥的本身输入密码字符,因此即便是网站应用遭遇到了入侵,您的账户仍然可以保持安全性。

当然,您也可以使用额外的PIN码,来保护自己的密码。据此,您可以让OnlyKey成为一种多因素身份验证的设备。值得一提的是,作为密码管理器,它还包含了自毁和加密备份等其他功能。此处的自毁功能是指,它会在多次错误尝试之后,自动擦除设备里的信息,以保护对应的账户免受暴力攻击的迫害。

话说回来,CryptoTrustOnlyKey唯一令用户失望的是,它比其他竞品在外观略显笨重,且界面较为简陋。

5.ApplePasskeys

面向开发人员的ApplePasskeys主页,图片来源:Apple

Passkeys是Apple版本的安全密钥,可用于提供快速安全的身份验证方法,即依靠TouchID和FaceID技术,对用户进行身份验证,而无需输入密码。虽然此项功能并不会涉及任何USB记忆棒,但它需要依赖于您的设备(如电脑)来完成身份验证。以下便是ApplePasskeys的工作原理:

在网站或应用程序启用了该项功能后,密钥将被存储在用于对其设置计算机或手机上。您可以使用iCloud密钥串在所有设备上与之同步。而当您想登录非Apple的设备、或是非PC设备时,您可以使用iPhone去扫描二维(QR)码,以完成整个身份验证过程。

Apple的Passkeys登录方法也可以被用在iOS16、iPadOS16、以及macOSVentura上。它将通过消除密码的使用,来保护用户免受网络钓鱼等攻击。

由于这项技术仍处于早期阶段,因此各大网站和应用尚无法强制要求用户立即使用Passkeys。它们往往需要与密码一起被使用。不过,我们预期凭借着Apple这样的大平台,它将来必将成为主流。

硬件安全密钥值得采用吗?

如上所述,硬件安全密钥目前并不完善。并非所有的网站都能够支持它们,而且有时候我们设置起来也较为麻烦。此外,硬件密钥一旦丢失,用户将无法完成身份认证的必要环节。

当然,从技术上说,安全密钥仍然比传统的MFA(多因素身份认证)的方法更为安全。毕竟,基于SMS(短信)的认证方法,容易受到SIM卡劫持类型的攻击,而被普遍使用的身份验证器(authenticator)类型的应用,也有着其自身的局限性。可见,相比之下,基于硬件的安全密钥更易于提供更强的安全性。最后提醒您,请至少使用两个硬件安全密钥:一个日常使用,一个作为备用,以防丢失常用的那个密钥。




转载请注明:http://blog.hzbdfjk.com/sstx/7026.html

  • 上一篇文章:
  • 下一篇文章: 没有了