启用多因素身份验证是防止攻击者接管您的在线帐户的最佳方法。Yubico YubiKey 5C NFC等硬件多因素密钥提供了竞争系统的所有安全性,但它们不需要移动部件、电池或互联网连接。5C NFC还具有多种身份验证功能,几乎可以与你最近拥有的任何设备兼容。55美元的价格并不是最便宜的选择,但它的全面功能使它成为编辑之选的新赢家。
什么是多因素身份验证?
术语"多因素身份验证这句话源于这样一种观点,即有三种方法来证明你是谁,至少要表现出以下其中一种知道,一些你有,或者其他是.
我们大多数人在日常生活中使用密码认证,这是你知道的。一些你是可能包括生物识别技术,比如指纹扫描。您可以使用Yubico YubiKey之类的硬件验证器。至少使用其中两种意味着您正在使用多因素身份验证。双因素身份验证(有时缩写为2FA)是您可能遇到的最常见的多因素身份验证形式。正如你可能猜到的那样,2FA要求你使用两个因素来访问它所保护的东西。
多因素身份验证的优点是攻击者很难同时访问多个因素。一个试图接管你的账户的坏人可以很容易地下载被盗的登录凭证,但对于同一个坏人来说,要窃取你的指纹、YubiKey或移动设备就困难得多了。数据也证明了这一点。谷歌开始的时候要求员工使用硬件多因素键在美国,账户收购实际上降至零。最近,Twitter宣布(在新窗口打开)“虽然任何形式的2FA都比没有2FA要好,但物理安全密钥是最有效的。”
类似的产品
Yubico YubiKey 5Ci
Yubico YubiKey 5 NFC
谷歌Titan安全密钥包
Nitrokey Fido U2F
安全钥匙由Yubico设计
转动钥匙
YubiKey 5C NFC是YubiKey 5系列产品中的一款。这5个系列键之间的唯一区别是它们如何与您的设备通信。例如,5Ci有Apple Lightning和USB-C连接器。的5 NFC它有一个USB-A连接器,可以通过NFC进行无线通信。这里评测的5C NFC有一个USB-C接口而且NFC功能。
当我上次评测硬件多因素密钥时,USB-A仍然是王者,但我的PCMag分析师同事告诉我USB-C现在已广泛使用。事实上,我用来写这篇评论的苹果电脑没有USB-A端口,但有两个USB-C端口。由于近期许多电脑和移动设备都采用了USB-C接口,而且NFC几乎无处不在,5C NFC几乎可以与任何品牌的设备通信,这使它成为我评测过的最多功能的硬件多因素键。
5系列的定价各不相同。的双头5词价格为70美元,而5 NFC仅为45美元。值得注意的是,售价50美元的5 Nano和售价60美元的5C Nano被设计成半永久性地使用USB-A或c端口。5C售价55美元,介于前两款之间,仍属于高端机型。谷歌Titan安全密钥包提供一个无线fob和一个USB-A NFC密钥,价格为50美元,或一个不含NFC的USB-C密钥,价格为40美元,而NitroKey FIDO2价格仅为29欧元,但不支持USB-C或NFC。虽然5C的价格比这些都高,但它提供的功能也更多。
与大多数5系列同类产品一样,育碧key 5C NFC由坚固的黑色塑料制成,表面有纹理。它很小——比房门钥匙短一点,厚度差不多。金属加固的开口意味着它可以在钥匙扣上保存很多年。比起笨重的设计,我更喜欢这个Nitrokey FIDO2.
YubiKey 5C NFC没有电池,也没有活动部件,耐用且防水。它的单一接口是一个印有“Y”的金色磁盘,通过USB-C连接时发出绿色的光。与没有NFC功能的YubiKeys不同的是,它使用了无线通信符号。磁盘是电容性的,会对你的点击做出反应,但它是不指纹识别器。5C NFC可以做很多事情,但生物识别并不是其中之一。
供应链安全是Yubico长期关注的一个问题,该公司自称其设备是在美国或瑞典制造的。这意味着它不是中国制造,这可能是出于安全考虑的明智之举,也可能仅仅是营销,这取决于你与谁交谈。作为安全防范措施,YubiKey固件不可升级(在新窗口打开).这可以防止攻击,但这也意味着任何有兴趣入侵YubiKey以添加自定义功能的人都可能会受到阻碍。
使用Yubico YubiKey 5C NFC
任何硬件安全密钥的主要用途都是作为第二因素验证器。在这种情况下,你输入用户名和密码,然后系统会提示你输入并点击键盘。YubiKey 5C NFC支持多种标准:WebAuthn、Fido1或2、CTAP2或通用第二因子(U2F)。我还没有看到一个支持硬件密钥的网站或服务与YubiKey不兼容。更便宜的Yubico安全密钥NFC和大多数竞争对手只支持这种点击验证形式的2FA。
我使用Twitter测试了这个功能,它支持多因素硬件密钥。注册很简单:只需导航到相应的设置面板,将键插入USB-C端口,并在出现提示时轻按键。大多数网站和服务的体验都是一样的,尽管有些网站和服务会让你注册多个密钥作为备份。然后我注销了Twitter,然后重新登录,输入了我的用户名和密码。该网站提示我插入并点击我的密钥。这样做让我有权进入这个账户。我还成功地登录了一部安卓设备,一次是通过5C NFC连接到我Pixel 3a的USB-C端口,一次是通过NFC。我成功地在Twitter手机网站和Twitter Android应用程序上使用了5C NFC。
我在测试中确实遇到了一些注意事项。我在MacBook Pro上用火狐浏览器使用YubiKey 5C NFC没有问题,但安卓版的浏览器无法识别密钥。由于我的设置,Android使用Firefox在Twitter应用程序中显示登录屏幕(谷歌的Android版Chrome是默认的),在这种情况下也无法识别密钥。它也不识别与Firefox的NFC通信。不过,当我把默认浏览器换成Chrome后,一切都很顺利。
一个小问题是,通常很难在移动设备上找到读取YubiKey的最佳位置。这是我在NFC和移动设备上长期存在的一个问题,我必须在手机的背面到处摩擦和敲击按键,直到发生什么事情。我不能因此责怪YubiKey;相反,它提醒我们,近场通信技术仍然有点挑剔。的谷歌Titan安全密钥包除了USB-A NFC安全密钥外,还包括一个电池供电的蓝牙验证器fob。蓝牙肯定比NFC更可靠,但它也需要电池。
YubiKeys还可以在某些情况下完全取代密码登录。只有少数网站和服务支持无密码登录,但我可以用我的微软账户测试这个功能。我仍然需要用户名和密码来创建账户,但当我注册了YubiKey 5C NFC时,系统提示我点击键盘,并在键盘上输入密码。下次我登录我的账户时,我不需要输入我的用户名或密码。我只是点击了安全键选项,根据提示插入了5C NFC,点击,输入我的密码,就成功了。这个功能只有在Windows 10电脑上的Edge浏览器上才能使用,但这是一个令人信服的没有密码的生活愿景。
不幸的是,无论何种类型,对硬件多因素设备的支持仍然有限。像Facebook、谷歌和Twitter这样的大公司都有安全密钥选项,但网站更有可能支持不同的多因素选项。例如,大多数金融机构仍然固执地坚持SMS 2FA。Yubico拥有一个运行清单(在新窗口打开)支持其设备的网站和服务,但它比看起来要复杂得多。即使一个网站还没有完全推出支持,只支持企业客户的YubiKey,或者支持YubiKey的某些功能,但不支持核心的点击验证功能,它也可能被列出。
钥匙之外
YubiKey 5系列的“关键”卖点是这些设备可以执行的身份验证操作范围。例如:Yubico已经部署了一种巧妙的方法,将YubiKey 4和5系列设备与一次性代码生成验证器应用程序集成。您可以将此用于任何支持谷歌验证器的站点(特别是,誓言-你觉得),每30秒生成一次使用密码。Yubico Authenticator应用程序将数据存储在YubiKey的安全元素中,而不是将生成这些代码的信息存储在手机上。
在测试YubiKey 5C NFC时,我在macOS上使用了YubiKey Authenticator应用程序来激活Twitter的2FA。这很简单:当Twitter提示我扫描二维码时,我点击应用程序中的一个按钮,信息就会从我的屏幕上捕捉下来。接上5C NFC后,YubiKey身份验证应用程序可以生成登录Twitter所需的一次性使用代码。移除YubiKey会导致TOTP代码从屏幕上消失。我也能够使用Android上的Yubico Authenticator应用程序检索并成功使用TOTP。您可以方便地通过USB-C连接到您的移动设备,或只需轻按通过NFC传输信息。YubiKey Authenticator应用程序偶尔会提示你点击键盘查看TOTP代码,这是一层额外的保护。
为totp使用YubiKey的额外安全性是有代价的。支持的YubiKeys只能存储32个站点的TOTP数据。对于普通消费者来说,这可能足够了,但我的认证应用程序中存储了42个站点。你也不能备份存储在YubiKey上的TOTP数据。LastPass验证器自动备份您的TOTP数据。相反,Yubico建议您保存用于生成TOTP的QR码(或文本代码),以便与另一个YubiKey一起使用。这是一个非常酷的功能,但也有很多摩擦,我很难想象大多数人会容忍这些限制。
您还可以配置YubiKey 5密钥作为piv兼容的智能卡,生成或存储一次性密码(YubiKey 5C NFC支持Yubico OTP, OATH-HOTP和TOTP),或者简单地让它按命令吐出静态密码。YubiKey 5系列使用OpenPGP(在新窗口打开),尽管实际使用PGP是一个复杂的过程。钥匙还有更多深奥的技巧(在新窗口打开)也藏在袖子里。
这个选项列表是由YubiKey Manager桌面应用程序配置的,它还允许您禁用某些功能。例如,如果你担心无线通信的安全性,你可以禁用YubiKey 5C NFC的名义上的NFC功能。如果你是好奇的,修补类型,多功能的YubiKey 5系列使它成为一个不可抗拒的选择。如果没有,您最好使用Yubico安全密钥NFC。这款设备的价格只有它的一半(24.50美元),但只支持轻敲认证功能(这是大多数人都会使用的功能),而且只能通过USB-A连接器或NFC进行通信。
主要关键的安全性
Yubico的YubiKey 5C NFC几乎可以实现你想要的多因素按键的所有功能。它有一个很长的功能列表,但它也支持简单的点击验证系统,并且不需要陡峭的学习曲线。5C NFC存储TOTP数据的能力很方便,但可能太有限了。它几乎坚不可摧,无论在哪里,它都完美无缺。YubiKey 5C NFC的最佳功能是其同名USB-C连接器和NFC功能,这可以让它与你拥有的几乎任何组合的设备进行通信。
我对YubiKey 5C NFC最大的抱怨与密钥本身无关,而是多因素身份验证和硬件密钥采用缓慢而潦草。作为最终用户,您无法选择自己喜欢的方法并在任何地方使用它。即使在购买了YubiKey之后,毫无疑问,你仍然会有网站需要验证应用程序,或者,上帝保佑你,短信密码.这种摩擦比任何安全密钥的任何怪癖更容易让日常用户感到困惑和沮丧。
YubiKey 5C NFC延续了Yubico在硬件多因素认证密钥领域的卓越记录。随着NFC和USB-C的广泛应用,这是我们最新的硬件多因素键编辑的选择。不过,如果你对5C NFC所能做的一切感到不知所措,而不是兴奋不已,还有很多实惠的替代品。虽然我们还没有测试它们,谷歌泰坦安全密钥USB-C似乎是一个可靠的USB-C选项。如果USB-A更适合你的风格,25美元的Yubico安全密钥NFC看起来是一款优秀产品的有价值的更新。
YubiKey 5C NFC提供了一系列功能,可以更好地保护你的生活,这把方便的小钥匙几乎可以用在你拥有的任何设备上。
