多年来,Yubico的YubiKey系列一直是简单的硬件双因素认证的首选。Yubico的最后一个领域是iPhone最终的地址使用YubiKey 5Ci。这款小巧的双端设备一端是USB-C连接器,另一端是与苹果兼容的Lightning连接器。这把“九头蛇”式的硬件钥匙功能完全正常,配备了竞争对手无法比拟的功能,但却受到iOS支持有限和价格相对较高的限制。
什么是双因素身份验证
在实践中,双因素身份验证(2 fa)就是用两样东西登录一个网站或服务,但这不是这个名字的来源。相反,它指的是一种认证理论,在该理论中,你证明你应该访问:你的东西知道,你是,或者其他有.
你知道的东西就像密码,人类在这方面很糟糕,我们真的应该让密码管理照顾。你是什么就像生物特征数据,比如用你的指纹解锁手机。您可以使用硬件验证器,例如YubiKey。2FA是使用列表中的两个而不是一个身份验证器,因为攻击者不太可能拥有这三个身份验证器中的两个。这是一种非常有效的登录安全方法。以至于之后谷歌需要在内部使用2FA硬件键在美国,成功的网络钓鱼攻击降至零。
2FA有很多方法。通过短信接收一次性密码可能是人们最熟悉的一种方式,尽管出于安全考虑,这种方式正在消失。尤比科率先创建了FIDO2协议(在一个新窗口中打开)和WebAuthn(在一个新窗口中打开)标准,该标准使用公钥加密技术进行安全身份验证。近年来,W3C认证的WebAuthn标准将这种身份验证风格带到了越来越多的浏览器和服务中,这可能是我们进行身份验证的未来。例如,微软一直在尝试使用像YubiKeys这样的网络认证设备进行完全无密码的认证。
类似的产品
Yubico YubiKey 5 NFC
Nitrokey狗U2F
两人移动
由Yubico设计的安全钥匙
谷歌Titan安全密钥包
为移动
YubiKey家族已经有了很大的发展,有七种不同大小的密钥,以及大量的插头和协议。的USB-AYubico安全关键只支持FIDO2/WebAuthn,售价20美元,而USB-A安全密钥NFC增加了无线支持,售价27美元。
YubiKey 5系列,如上图所示,涵盖了多种设备。从左边开始,USB-AYubiKey 5 NFC售价45美元,可能是所有设备中性能最好的。USB-C YubiKey 5C售价50美元,其轻薄短粗的设计与5Ci最为相似。5 Nano和5C Nano的售价分别为50美元和60美元,它们被设计成可以半永久地驻留在端口中。YubiKey 5Ci是这个家族中最贵的钥匙,售价70美元。
与USB-A YubiKey的设计相比,5Ci显得非常小巧。它是12毫米x 40.3毫米,只有5毫米厚。这是USB-A键盘宽度的一半多一点,略短一些。它是用耐用的黑色塑料铸造的,有一个金属加固的中心孔,可以连接到你的钥匙圈上。5Ci比YubiKey 5 NFC更厚。额外的周长加上它的中心孔,使它有点奇怪适合钥匙扣,但它是有效的。它轻如羽毛,只有3克,但仍然感觉良好。
靠近装置中间的地方有两个凸起的金属节点。当您插入5Ci时,当提示您完成验证时,您轻按这些节点。和所有YubiKey设备一样,5Ci没有内部电池,所有的电力都来自与之相连的设备。值得注意的是,YubiKey 5Ci不支持NFC,而Yubico Security Key NFC和YubiKey 5 NFC支持。
YubiKey 5Ci具有独特的双端设计。一端是USB-C连接器,另一端是苹果闪电连接器,你在iPhone和iPad充电器上已经看到很多年了。讽刺的是,我对5Ci最大的抱怨是它的连接器。首先,我很难找到一台带USB-C接口的电脑来测试5Ci的各种功能。从计算机注册密钥也比从移动设备注册要容易得多。如果你使用的是最新的硬件,找到一个USB-C端口可能不是问题,但如果你像我一样使用电脑,直到它们完全散架,你可能需要一个适配器。
其次,这款设备的USB-C端并不适合我在测试中使用的诺基亚6.1或华硕UX360c ZenBook Flip。我不得不使劲把5Ci塞进去,每次我都觉得我要弄坏什么东西了。也有一些情况下,设备似乎没有正确坐姿,因为它没有连接。从任何意义上说,这都不是一个交易破坏者,在几次推拉之后,连接器开始感觉更适合。也许它只是需要破门而入。
另一方面,Lightning连接器工作得非常好。它顺利地进入并牢固地插入。它完全是苹果的风格,我没有任何抱怨。Yubico指出,5Ci上的USB-C连接器不适用于带有USB-C端口的iPad机型。
手与YubiKey 5Ci
在使用5Ci或任何其他硬件验证器之前,必须在每个服务中注册它。问题是,并不是每个浏览器或应用程序都支持硬件验证器密钥。我第一次测试Yubico's时就遇到了这个问题安全关键NFC.那时(和现在一样),苹果对NFC的支持在大多数情况下都没有扩展到安全密钥。我发现5Ci在iOS上的应用情况比在iphone上测试NFC按键时要多,但相对较小的支持让人有些沮丧。
为了测试FIDO2/WebAuthn支持,我在Brave浏览器中打开了Twitter, Yubico建议我使用这个浏览器,因为它支持基于浏览器的身份验证。我像往常一样登录,导航到设置窗格,注册了YubiKey 5Ci。当我再次登录时,Twitter提示我输入密钥并点击它。我照办了,迅速打开了网页应用。
不幸的是,我不能用Safari或Twitter iOS应用程序登录Twitter。我也不能用我的谷歌帐户注册Yubikey 5Ci在Brave, Safari,甚至Chrome。
YubiKey 5Ci还支持一次性密码(OTP)。在这种配置中,您插入密钥并轻敲金属节点,就会产生一个冗长而独特的代码。这里有一个:ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb。一些服务,如LastPass,使用这个功能而不是FIDO2/WebAuthn。这样做的好处是键被读取为键盘,因此非常简单,不需要来自浏览器的额外支持。
为了测试OTPs,我首先必须用LastPass帐户。我无法在iPad或iPhone上做到这一点。在浏览器的情况下,我没有选择使用替代方法,而且浏览器不能使用NFC读取我的YubiKey 5 NFC。LastPass应用做了读取我的NFC密钥,但该应用程序不包括编辑您注册的硬件密钥的选项。最后,我不得不找一台带USB-C接口的笔记本电脑注册5Ci。一旦我这样做了,通过应用程序或通过LastPass应用程序或Brave浏览器登录LastPass是件很容易的事。我像往常一样输入了用户名和密码,然后系统提示我插入密钥,然后点击密钥上的金属节点。一秒钟后,我就登录了。
这些只是YubiKey可以使用的服务中的一小部分,Yubico维护了一个接受FIDO2/WebAuthn或YubiKey ott的网站和服务的全面列表。一名公司代表提到,1Password、Bitwarden、Idaptive和Okta是已经支持使用YubiKeys的特定iOS应用程序。
YubiKey 5Ci有其他所有方式的技巧,但它们在某种程度上都需要计算机。例如,您可以自定义密钥的各个方面,例如让它在您长按金属节点时吐出预先设置的密码。它还可以配置为智能卡,并可以在桌面验证器应用程序的帮助下像谷歌Authenticator一样吐出有时间限制的密码(totp)。Yubico的一位代表向我证实,除了NFC通信,YubiKey 5Ci可以做任何YubiKey 5 NFC可以做的事情。
YubiKey 5Ci vs. Competition
有许多硬件身份验证器的竞争者,其中不乏谷歌。花50美元,公司会送你一个USB-A谷歌泰坦安全密钥使用FIDO2/WebAuthn和可充电蓝牙适配器。这是一套不错的设备,但我一直对在安全设备上使用蓝牙持怀疑态度。
如果你拥有运行Android 7.0或更高版本的移动设备,你就可以将它用作硬件验证器谷歌账户也是如此。它的优点是完全免费,并且使用您已经拥有的现有硬件,但目前它的范围有限。与所有YubiKey设备不同的是,它还需要电池和收音机才能工作。
如果你对谷歌品牌不感兴趣,你可以直接去飞天公司(Feitian),这家公司用谷歌白色标记了泰坦钥匙。这些设备有各种各样的尺寸、配置和价格。唯一的缺点是不太可能发生供应链攻击,就像飞天在中国一样。Yubico总是很快指出,它在美国和瑞典生产钥匙。
有些人可能更喜欢开源的替代品,比如NitroKey狗U2F.这款德国设备售价22欧元,使用开源硬件和软件。开源硬件的好处在于它的安全性可以被任何第三方独立验证。我发现硝化钥匙很好用,但很笨重。虽然其他安全密钥都很薄,比如,嗯,密钥,但硝化密钥很粗,使用全尺寸USB-A连接器。我向Yubico的一名代表询问使用开源组件的情况,他们回答说,目前最好的安全元件芯片都不是开源的。
要记住的一点是,2FA不需要硬件密钥。谷歌Authenticator、Duo Mobile和其他服务通过应用程序免费提供2FA。谷歌和Apple通过从另一个受信任的设备进行身份验证的选项来保护其服务上的帐户。硬件钥匙的优点是,它们可以在没有电源或手机服务的情况下工作,但如果您认为使用物理钥匙太麻烦,我建议您简单地使用最适合您的2FA方法。
太多,太快
我对YubiKey 5Ci唯一的抱怨是它的价格和它黏糊糊的USB-C插头(可能会随着时间的推移而改善)。真正的问题是对iOS设备的支持,虽然有所改善,但仍然有限。这并不是Yubico的错,但它确实令人沮丧,因为USB-C YubiKey要便宜20美元。如果苹果和其他开发者开始认真工作,扩展对各种硬件按键的支持,我将非常高兴。一旦这种情况发生,YubiKey 5Ci将真正大放光芒。在那之前,我们的编辑选择徽章将与Yubico的安全钥匙一起使用,它的售价仅为20美元,可以在任何你插入USB-A插头的地方使用。
