自从密码首次被引入以来,它一直是安全的弱点。值得庆幸的是,Yubico YubiKey 5 NFC在这里保护我们最重要的账户和更多的东西。第五代YubiKey支持FIDO U2F进行安全的第二因素认证,并使用NFC与您的手机一起工作。但这只是这个非常强大、非常小巧的设备的开始。如果您只是寻找一个简单的硬件U2F选项,YubiKey 5 NFC可能是多余的-考虑更实惠的安全密钥由Yubico或谷歌Titan安全密钥代替。但如果你已经沉浸在安全问题中,你会喜欢5 NFC所提供的功能。
双因素身份验证是如何工作的
虽然硬件安全密钥(如YubiKey)可以做很多事情,但它的主要作用是作为身份验证的第二个因素。在实践中,双因素认证这意味着在输入密码后必须做第二件事来证明是你。但2FA背后的理论是将三种不同的认证系统结合在一起:
- 你知道,
- 你有的东西,或者
- 你就是。
比如:一个密码,就是你的某样东西知道,它应该只存在于你的头脑中(或在你的大脑里)密码管理器).生物识别技术——比如指纹扫描、视网膜扫描、心脏特征等等——可以算作你的东西是.YubiKeys和他们的同类是你的东西有.
使用这三个因素中的两个因素可以更好地保证您是您所说的那个人,并且您有权访问您试图访问的东西。坏人也更难攻破。攻击者可能会从暗网购买您的密码,但她可能无法获得您的安全密钥。2FA提供的身份验证也是短暂的:为了增加安全性,它只工作一次,通常只工作有限的时间。
类似的产品
谷歌Titan安全密钥包
两人移动
为什么Twilio Authy
Myki
LastPass验证器(适用于iPhone)
LastPass
Dashlane
本文主要着眼于硬件2FA,但还有许多方法可以添加第二个因素。许多网站会通过短信给你发送代码来验证你的身份。应用程序如二人组($0.00在Duo)(在新窗口打开)和Authy依赖推送通知,从理论上讲,推送通知比短信更难拦截。
无论您使用硬件或软件解决方案,还是两者兼而有之,请尽可能添加2FA。当谷歌部署了2FA密钥在公司内部,成功收购的账户数量降至零。就是这么好。
YubiKey的多种口味
Yubico一直提供多种大小和变化的安全密钥,以满足几乎所有需求。这很好,因为消费者和IT专业人士可以以不同的价格得到他们真正需要的东西。缺点是浏览Yubico商店经常是一种压倒性的体验。我会尽我所能把最基本的内容归纳出来。
YubiKey 5系列有四种型号,包括本文介绍的45美元的YubiKey 5 NFC,以及其他三种型号:50美元的YubiKey 5 Nano、50美元的YubiKey 5C和60美元的YubiKey 5C Nano。5 NFC是唯一一款提供无线通信的YubiKey,但除此之外,这些设备之间的唯一区别是尺寸、价格和USB连接器。
这两款Nano设备是这组设备中最小巧的,可以放在USB-A或USB-C插槽中,如果你经常需要它们,很容易就能拿得到。YubiKey 5C使用USB-C接口,比5 NFC略小,可以挂在5 NFC旁边的钥匙链上;它缺乏无线通信。不过,你可以将YubiKey 5C或5C Nano直接连接到你的安卓设备上。
让YubiKey 5系列在竞争中脱颖而出的不仅仅是各种各样的外形因素。这些设备是真正的数字安全瑞士军刀。每个都可以作为智能卡(PIV),可以生成一次性密码,同时支持OATH-TOTP和OATH-HOTP,并可用于挑战-响应身份验证。所有4台设备都支持三种加密算法:RSA 4096、ECC p256和ECC p384。这些设备可以同时扮演多种不同的角色——前提是你知道自己在做什么。
虽然这次评测的重点是YubiKey 5 NFC,但我过去也测试过YubiKey 4系列设备,这些设备在物理上与USB-C和Nano版本的YubiKey 5系列相同。它们都做工精良,外面包裹着黑色塑料,可以隐藏磨损,并配备了隐藏的绿色led,让你知道它们是连接在一起的,并且可以正常工作。USB-A设备有一个金条或磁盘,你点击,这取决于设备的大小。与此同时,USB-C设备有两个微小的金属标签,点击即可进行认证。USB-A Nano设备比USB-C Nano设备更难从插槽中取出,但USB-A Nano YubiKey有一个小洞,所以它可以挂在绳子上,而USB-C Nano则不能。
你购买哪种YubiKey设备很大程度上取决于你计划使用它的环境。如果你打算在一台可靠的电脑上使用这些Nano设备,而且你知道你需要经常访问YubiKey。全尺寸的钥匙更适合挂在钥匙圈上,放在手边。
手与YubiKey 5 NFC
为了帮助您入门,Yubico创建了一个方便的指导(在新窗口打开)对于新用户。只要选择你拥有的YubiKey设备,该网站就会显示出你可以使用YubiKey的所有地方和环境的列表。其中一些直接链接到网站或服务的上线页面,而另一些则提供你必须自己遵循的说明。
将YubiKey设置为U2F第二因素非常简单。按照网站或服务的说明,然后根据提示将YubiKey插入相应的插槽。只需轻按金色磁盘(或金属标签,取决于型号),服务就会登记你的钥匙。下次登录时,输入密码后会提示输入密钥并点击。就是这样!
Dashlane、谷歌和Twitter是支持U2F并接受YubiKey 5系列设备的众多网站中的少数几个。在我的测试中,我把它作为谷歌帐户的第二个因素。当我在台式电脑上登录时,我输入了我的登录凭证,然后谷歌让我插入并点击我的安全密钥。这没问题,不过我必须使用Chrome浏览器才能登录。
在我的Android设备上,这个过程同样简单。在登录测试时,我输入了我的凭证,然后我的手机提示我使用我的安全密钥。我从底部的菜单中选择了NFC,然后把5 NFC拍在我的手机背面。我试了好几次,但最终电话发出肯定的嗡嗡声,我登录了。
YubiKey 5系列可以通过多种方式验证您的身份,而不仅仅是通过U2F。与LastPass例如,您注册了YubiKey以生成一次性密码(特别是密码HMAC-based一次性密码,但为了简洁起见,我将使用OTP)。这与U2F不同,但在实践中感觉非常相似。登录LastPass,导航到设置菜单的相应部分,点击文本框,点击YubiKey。一串字母喷涌而出,就是这样!现在,当你想登录LastPass时,系统会提示你输入YubiKey,让它吐出更多的OTPs。
大多数人可能都熟悉谷歌Authenticator,这是一款每30秒生成6位密码的应用程序。这种技术,更一般地称为基于时间的一次性密码(TOTPs)这是目前最常见的2FA形式之一。伴随着桌面或移动应用程序,Yubico对TOTP系统进行了有趣的旋转。
插入您的YubiKey,启动Yubico Authenticator应用程序,然后导航到支持谷歌Authenticator或类似服务的网站。例如,为了保护谷歌账户,我点击了使用认证应用程序注册新手机的选项。此时通常会出现QR码,网站会提示您使用相应的认证应用程序扫描它。相反,我在Yubico authenticator桌面应用程序中选择了一个菜单选项,它会从我的屏幕上捕获QR码。再点击几下,应用程序开始每30秒提供唯一的六位数代码。
诀窍在于Yubico应用程序在没有YubiKey的情况下无法生成totp。Yubico Authenticator将数据直接存储在YubiKey上,而不是将创建这些代码所需的凭据存储在计算机上。把它拉出来,Authenticator应用程序就不能生成新的totp。如果你担心有人偷你用来生成totp的设备,这很方便。你也可以用密码锁定你的YubiKey,所以即使你的YubiKey被偷了,它也不能用来生成totp。
Yubico还提供了一个生成topp的Android应用程序,该应用程序与YubiKey 5 NFC配合使用,可以带着你的topp上路。当你打开应用程序时,它是空的,但在背后拍打你的5个NFC,它开始生成代码。退出应用程序,代码就会消失;你得再按一下5 NFC。这比将信息存储在应用程序本身更不方便,但安全得多。
这些是我看到的场景,但YubiKey 5系列可以做得更多。你可以把它当作智能卡来登录我的台式电脑。您可以使用它登录SSH服务器。您甚至可以生成一个PGP密钥,然后使用YubiKey进行签名或身份验证。然而坦白地说,让我的头脑沉浸在TOTP按键中已经很困难了。
虽然Yubico有很多文档和三个独立的桌面应用程序(还有三个移动应用程序),但如果没有足够的现有知识,很难使用YubiKey的每个方面。Yubico已经部署了一个网站,帮助客户了解他们可以使用钥匙做什么,并引导他们获得必要的信息。这种指导很好,但它只是指导,而不是通常由科技产品提供的牵手。在U2F中使用YubiKey也很简单,但是对于新手,甚至是安全记者来说,充分利用YubiKey并不容易。
YubiKeys vs.谷歌Titan安全密钥
Yubico有一个解决方案,几乎每一个情况与YubiKey 5系列,但成本是一个问题。每台YubiKey的价格在40美元到60美元之间。
谷歌的Titan安全密钥包另一方面,该公司提供两种设备,价格为50美元:一个USB- a钥匙和一个蓝牙/Micro USB钥匙扣。这就给了你一个备用的机会。另一方面,YubiKey有更多的安全性(假设你不知道如何使用它)。这两个Titan设备都可以使用NFC,但在撰写本文时,Android设备还没有启用NFC支持。谷歌还提供USB-C适配器,所以你可以在任何设备上使用Titan密钥。然而,泰坦密钥只支持FIDO U2F。这将适用于几乎所有网站或服务,但它们不能用于totp, OTPs,智能卡访问,以及YubiKey 5系列支持的其他协议。
价格敏感的读者,主要是寻找一个U2F设备,可能会更喜欢20美元的安全钥匙由Yubico。这款USB-A钥匙的轮廓与YubiKey 5 NFC相同,但可以通过它漂亮的蓝色塑料外壳、中心按钮上的键字形和顶部蚀刻的数字2来识别。顾名思义,这个设备支持FIDO U2F和FIDO2,但仅此而已。安全密钥不支持YubiKey 5系列的所有协议,因此不能与LastPass一起使用或作为智能卡使用,也不能进行无线通信。它的价格还不到Titan key bundle或5 NFC的一半。
成功的YubiKey ?
YubiKey 5系列是一个非凡的设备家族,填补了令人眼花缭乱的利基数量。它最基本的用途是作为FIDO U2F验证器或OTP生成器,但它可以做更多的事情。对于YubiKeys,以及Yubico,我们一直面临的问题是,在该公司目前提供的6个YubiKey中,要选择哪一个是一个挑战。弄清楚在U2F之外可以用它做什么是双重挑战。Yubico设备非常出色,文档也在不断改进,但它们的设计绝对是为安全专家和IT专业人士考虑的。
如果你浏览了一下YubiKey所拥有的功能清单,并且了解它们,或者至少对它们感到好奇,那么这就是适合你的设备。你不会对这个坚固的小设备感到失望。如果你知道你想更好地保护你的在线账户,但不知道如何去做,你可能最好使用谷歌泰坦安全密钥或Yubico更实惠的安全密钥。
YubiKeys是一项成熟的技术,但我们仍在探索这个领域。因此,我们给YubiKey 5 NFC四星,但在我们研究更多选项之前,暂不颁发编辑选择奖。
Yubico YubiKey 5 NFC是一款小巧的USB设备,通过在登录过程中增加第二个安全因素,可以防止坏人入侵你的账户。YubiKey还有很多功能——前提是你有足够的时间把它搞清楚。
