对你个人安全的最大威胁之一是攻击者控制了你的在线账户。有了它,坏人可以用你的名字做各种邪恶的事情,如果他们控制了你的电子邮件帐户,他们可以利用密码恢复功能控制更多的帐户。幸运的是,多因素身份验证(MFA)可以防止账户被收购。虽然有很多方法可以实现MFA,但最好的(绝对是最酷的)方法之一是使用安全钥匙——一个安装在钥匙链上的小设备。
Yubico YubiKey 5C NFC
最适合专家身份验证者
底线:
YubiKey 5C NFC将YubiKey系列的所有高级功能打包到一个价格实惠的包中,可以与所有桌面和移动设备一起工作。这是我们迄今为止评测过的最通用的安全密钥,也是我们编辑的选择。
优点
- 支持USB-C和NFC
- 没有电池或活动部件
- 抗压防水
- 支持FIDO2和U2F标准
- 众多高级功能
缺点
- 昂贵的
- 网站和服务的支持参差不齐
销售的 | 价格 | |
---|---|---|
亚马逊 | 57.48美元 | 检查股票(在一个新窗口中打开) |
Yubico YubiKey C Bio
最适合生物识别认证
底线:
YubiKey C Bio将生物识别多因素认证放在您的密钥环上。虽然在功能上有些限制,但它是生物识别技术的一个很好的实现,非常容易在日常使用。
优点
- 生物多因素认证
- 修身耐用的设计
- 支持广泛使用的标准
- 简单的新员工培训
缺点
- 昂贵的
- 没有NFC
- 缺乏其他yubikey中的身份验证功能
销售的 | 价格 | |
---|---|---|
Yubico | 85.00美元 | 看到它(在一个新窗口中打开) |
Yubico YubiKey 5 NFC
最适合USB-A连接的个人电脑
底线:
YubiKey 5 NFC比它的USB-C表亲稍微便宜一点,它拥有我们所期望的Yubico的所有功能,并且可以通过NFC与移动设备一起工作。如果你有旧的设备,或者只是喜欢USB-A,这是你的最佳选择。
优点
- 坚固耐用,结构可靠。
- 没有电池或活动部件。
- NFC能干。
- 不同的形状因素。
- 支持FIDO U2F、FIDO2。
- 可以生成六位数的一次性使用密码与伙伴应用程序。
- 支持不同安全角色的多种协议。
缺点
- 贵了。
- 需要努力和教育才能充分发挥其潜力。
- 有限的iOS集成。
销售的 | 价格 | |
---|---|---|
亚马逊 | 45.00美元 | 看到它(在一个新窗口中打开) |
肯辛顿VeriMark Guard USB-C指纹密钥
最适合小形状因子生物识别
底线:
肯辛顿VeriMark Guard USB-C指纹密钥是一个非常小的生物识别安全密钥,它有一个非常长的名字,添加了指纹认证。这把钥匙在无密码的环境中闪闪发光,而且足够小,可以完全连接到你的设备上,即使安装有点痛苦。
优点
- 与最流行的多因素标准一起工作
- 集成,可选,指纹传感器
- 小巧,设计精良
缺点
- 让新员工培训
- 没有NFC
- 这并不能说明何时使用生物识别技术
- 生物识别技术没有得到广泛支持
销售的 | 价格 | |
---|---|---|
肯辛顿 | 69.99美元 | 看到它(在一个新窗口中打开) |
Nitrokey FIDO2
最适合开源倡导者
底线:
Nitrokey FIDO2支持最常用的多因素身份验证标准,并通过开源硬件和固件实现。它比Yubico的入门级钥匙体积更大,价格也略贵,但对第一次购买的人来说也是一个不错的选择。
优点
- 开源硬件和固件
- 负担得起的
- 支持最新的多因素身份验证标准
- 耐用便携
缺点
- 不支持NFC
- 笨重的
- 缺乏其他硝化密钥设备的加密功能
销售的 | 价格 | |
---|---|---|
Nitrokey | 访问网站 | 看到它(在一个新窗口中打开) |
由Yubico设计的安全密钥NFC
最适合首次使用多因素身份验证者
底线:
Yubico的安全密钥具有Yubico的耐用设计,支持所有最常见的身份验证标准,通过NFC与移动设备通信,价格也很适合冲动购买。它缺乏花哨的功能,但对于想购买第一个安全密钥的人来说,它是最好的选择。
优点
- 负担得起的。
- 支持谷歌、Twitter、Facebook等使用的FIDO2和FIDO U2F。
- 耐用。
- 支持NFC。
缺点
- 由于缺乏移动设备的支持,特别是iPhone。
- 不支持其他2FA或加密功能。
- 不会与LastPass一起工作。
销售的 | 价格 | |
---|---|---|
亚马逊 | 25.00美元 | 检查股票(在一个新窗口中打开) |
Yubico YubiKey 5Ci
最适合同时使用安卓和苹果设备的用户
底线:
YubiKey 5Ci的双头设计可能会让你犹豫,它的价格标签可能会让你停滞不前,但对于任何想要YubiKey产品线的灵活性但不相信NFC的人来说,它是一个很好的选择。
优点
- 闪电连接器适用于几乎所有的iOS设备。
- USB-C连接Android和个人电脑。
- FIDO2 U2F (WebAUTHN)兼容。
- OTP的支持。
- 小,耐用,不需要电池或移动部件。
- 高度可定制的高级选项。
缺点
- 贵了。
- 没有NFC。
- 苹果的支持有限。
- 非常硬的USB-C插头。
Yubico YubiKey Bio
最适合遗留环境中的生物识别
底线:
Bio缺乏其他yubikey的灵活性,但它是一种极好的、设计良好的方式,可以将生物特征MFA添加到您的生活中。
优点
- 生物多因素认证
- 时尚耐用的设计
- 支持主要身份验证标准
- 比USB-C稍微便宜一点
缺点
- 比较昂贵的
- USB-A与许多设备不兼容
- 有限的用例
- 没有NFC
销售的 | 价格 | |
---|---|---|
Yubico | 80.00美元 | 看到它(在一个新窗口中打开) |
谷歌USB-C/NFC Titan安全密钥
最适合负担得起,耐用的硬件
底线:
价格非常实惠,谷歌最新的Titan产品线将与你拥有的几乎所有设备一起工作。它使用的是较老的MFA技术,所以它可能不像其他选项那样适合未来。
优点
- 负担得起的
- 支持USB-C和NFC
- 小巧、坚固的设计
- 受信任的谷歌名称
缺点
- 旧的FIDO U2F协议可能会限制其实用性
- 不完整的文档
销售的 | 价格 | |
---|---|---|
谷歌商店 | 35.00美元 | 看到它(在一个新窗口中打开) |
什么是多因素身份验证?
我们大多数人熟悉的身份验证方法是要求输入用户名和密码。但是密码有很多问题。首先,我们不善于记住它们,更不善于挑选独特而复杂的密码它经得起攻击。另一方面,人们倾向于重复使用密码,这意味着如果一个账户被泄露,所有其他拥有相同密码的账户也有风险。
多因素身份验证,有时称为双因素身份验证或2FA,寻求通过使用多个身份验证因素来改变这一点。这并不意味着要有第二个密码,但至少是三个可能因素中的任意两个:
你知道的东西;
你拥有的东西;而且
你就是你。
一些你知道通常是一个密码。它存在于你的头脑中,理想情况下只有你自己知道。一些你有可能是安全密钥,就像我们在这里找到的一样,也可能是身份验证应用程序你的手机。这是一个陌生人不容易获得的东西。最后,你要做的是是一种可以通过生物识别扫描读取的身体特征。这可能是指纹扫描或面部识别,尽管使用后者是最差的技术上的错误.
因为攻击者几乎不可能拥有不止一种身份验证形式,所以MFA使得坏人很难接管账户。这已经在现实世界中得到了证明。当谷歌要求员工使用硬件MFA键时,账户接管实际上消失了.
什么是安全密钥?
虽然安全密钥可以有多种形式,但大多数安全密钥都是小型的、密钥大小的设备,可以唯一地向站点和服务标识自己。记住,它们是你拥有的东西。
要使用安全密钥,首先必须将其注册到您想要保护的每个站点或服务。现在对安全密钥的支持越来越多,但如果你尝试的每个网站都不接受安全密钥,也不要感到惊讶。对于每个密钥和站点,注册密钥稍有不同,但通常是这样的:在站点或服务设置的某个地方,您会发现注册安全密钥的选项。点击它,插入键,当提示时点击键的按钮,然后给键的记录一个名称,以便您知道哪个是哪个。一些网站和服务只限制你使用一个密钥,而另一些则允许更多密钥。
下次登录时,在输入帐户的用户名和密码后,系统会提示您提供安全密钥。您通过某种数据传输连接(通常是USB-A或)连接密钥USB-C然后按下设备上的一个按钮,以验证你是一个真人,而不是一个冒充密钥的恶意软件攻击。如果密码和密钥都检出,则正常登录。
一些硬件键包括无线通信功能,通常通过近场通信(NFC),与移动设备交互。其他密钥有生物识别认证作为额外的保护层。
不是所有的因素都生而平等
虽然两个因素总是比一个因素好,但每个MFA方案都有潜在的优点和缺点。
通过短信短信接收一次性密码是最古老和最广泛的MFA形式之一。这很容易理解,因为许多网站和服务已经有你的联系信息,你甚至可能不需要注册。虽然方便,但短信代码有两个主要缺点。首先,它们需要一部功能正常的手机。如果你的手机没电了,或者你买不起自己的手机,你就无法登录。
第二,已经证明攻击者可以通过一个叫做SIM顶(在一个新窗口中打开).因此,我们建议读者尽可能避免使用短信MFA。希望联邦通信委员会能够做到应对这一威胁.
MFA的另一种常见形式是使用生成有时间限制的登录码的应用程序。虽然有许多验证程序应用程序的例子,但大多数人可能都熟悉谷歌authenticator。这种类型的MFA比短信代码更安全,允许单个应用程序为任意数量的网站和服务提供代码。
虽然认证程序不需要网络连接,但你的手机需要可用并通电。手机不是专门为其设计的身份验证器;它们是高度连接的设备,可以执行各种任务。这意味着恶意攻击有可能(尽管不太可能)获得您的安全代码。
基于硬件的安全密钥解决了其他MFA方案的大多数问题。硬件键不需要电池,也不需要网络连接。它们也没有活动部件,因此很难折断。因为它们在专门制造的硬件上工作,所以它们更难攻击。最后,有一个专门的登录工具也很有趣。
在MFA中使用硬件键也有缺点。与其他类型的MFA不同,硬件按键需要花钱——通常是20- 50美元。硬件键也可能丢失,而且不像基于应用程序的MFA代码那样得到广泛支持。
如果你是MFA新手,我们建议你从应用生成代码开始。它们是免费的、安全的、易于使用和理解的。但是如果您已经熟悉MFA,并且对升级您的安全游戏感兴趣,那么硬件安全密钥是下一步。
也就是说,重要的是要记住,任何类型的MFA都不能抵御现代世界呈现的所有危险。我们强烈建议使用杀毒软件以及密码管理器为您使用的每个网站和服务创建唯一和复杂的密码。
安全密钥如何工作?
目前最普遍的硬件安全密钥认证手段是基于标准的狗联盟(在一个新窗口中打开).所有这些标准基本上都做同样的事情:使用非对称密钥加密技术对站点或服务进行身份验证。
每个设备都可以从其私钥生成任意数量的公钥,而不暴露私钥。这允许一个硬件密钥用于多个站点和服务,但最重要的是,这意味着任何一个站点或服务的故障或更改都不会影响到其他站点或服务。您可以轻松地删除并重新注册您的硬件密钥,只要您愿意。
在购买硬件安全密钥时,您应该至少寻找狗U2F认证,因为这意味着密钥将在几乎所有基本安全密钥上下文中工作。FIDO2 /WebAuthn是下一代标准,它支持额外类型的身份验证。如果你想使用生物特征MFA或无密码登录,您需要FIDO2/网络认证。
安全密钥安全吗?
从一个(理想情况下)完全保密的密码到一个像安全密钥这样的小玩意,有时会让人感觉不太安全。毕竟,如果你的钥匙被偷了怎么办?还是你把钥匙丢了?
对于第一点,有人有办法追踪单个用户并窃取他们的安全密钥是极其不可能的。大多数网络犯罪都是犯罪集体有成千上万个被泄露的账户。一个安全密钥不值得付出努力。不过,这并不是不可能的,一个坚定的攻击者可以使用偷来的密钥进入你的账户。这就是为什么保持你的密钥安全是很重要的,但也要使用在密码管理器中安全的强密码。如果小偷拿到了钥匙,但无法破解你的密码,他们仍然无法进入。
你丢失钥匙的可能性要大得多,这可能是一个真正的问题。Yubico建议注册第二个密钥,并将其作为安全备份存储。许多支持安全密钥的服务还允许(有些还要求)注册多个MFA因子,因此您可以设置一个验证程序应用程序作为备份MFA选项。服务通常会让你生成备份代码,你可以离线写下这些代码,也可以在密码管理器中进行保护,从而在紧急情况下授予你访问权限。如果这些都不起作用,那就找一个仍然登录的设备,取消注册密钥,或者添加一个新的MFA因子。底线是丢了安全钥匙并不是世界末日.
如何选择安全密钥
选择安全密钥时要考虑的第一件事是该密钥如何与您的其他设备相匹配。如果你没有USB-C接口的设备,你应该坚持使用USB-A接口的按键。如果您打算将您的密钥用于移动设备(您应该),您应该选择一个具有适合您的手机连接器的密钥,或者一个具有NFC的密钥(如果您的手机支持NFC)。
你还需要考虑你的预算。我们评测过的最贵的钥匙价格高达85美元,这是一个很大的变化。如果您是硬件安全密钥的新手,我们强烈建议您从便宜的密钥开始,稍后再升级。Yubico的安全密钥NFC与更昂贵的密钥一样适用于MFA,为移动设备提供NFC,并且可以将USB-C与廉价的适配器相匹配。对于第一次购买的人来说,这是一个很好的选择。
大多数安全密钥只是验证您的身份,这就足够了。但有些还提供了更多的功能。肯辛顿有一系列生物识别密钥,需要正确的指纹来验证你的身份。高端YubiKeys还有许多其他功能:能够回放静态密码,与桌面或移动应用程序一起工作,提供应用程序生成的密码,PGP密钥管理,以及它自己的一次性密码形式。
对于最有眼光的买家来说,每把钥匙上更模糊的部分可能是重要的。NitroKeys和SoloKeys使用的都是开源的代码和硬件,这使得它们成为特定人群的有力选择。Yubico锁定了其所有设备的固件更改,以防止它们被篡改,而NitroKey则庆祝其可更新的固件。
安全的关键
硬件安全密钥是最好的,最安全的MFA方法,我们强烈推荐它们。但对一些人来说,花钱买密钥或每次登录都要取回密钥的想法太过沉重,这也没什么。最重要的是,你要找到一个适合你的MFA计划,而且你实际上是这样的使用它.如果忽视它,最好的安全也不会起作用。