译者 | 陈峻
审校 | 孙淑娟
多年以来,我们最为熟悉的身份验证方式,莫过于用户名和密码这对组合了。但是,即使您已经养成了非常良好的密码设置与使用习惯,密码也始终是一种安全隐患。道理其实很简单,首先,我们人类本身就不擅长记住密码,更不擅长创建复杂的强密码。其次,大多数用户会倾向于为多个账户创建并使用相同的密码。因此,这就会导致:如果一个账户遭遇到了入侵,其余账户也将面临相同的风险。
为了应对此类风险,我们通常会建议大家使用硬件安全密钥(Hardware Security Keys)。不过,在目前的市场上,您会发现有着种类丰富的硬件安全密钥可供选择,那么究竟该如何选用哪一类中的哪一种密钥呢?下面,我将向您介绍和比较当前较为常见的、能够提供在线保护的5种硬件密钥。
1. YubiKey系列
Yubico是硬件安全密钥领域的行业领导者。由该公司所提供的安全密钥可满足从个人家庭用户到专业开发人员,从小微公司到大型企业等广泛的用户场景需求。目前,其最为流行的YubiKey版本包括:
YubiKey 5 NFC
YubiKey 5 NFC是一款紧凑、轻便且耐用的密钥。它可与包括Facebook、Google Chrome、Dropbox、以及LastPass等许多应用服务相兼容。此外,YubiKey 5 NFC还支持包括OpenPGP、FIDO U2P、OTP、以及智能卡在内的多种安全协议。
YubiKey C Bio
YubiKey C Bio是少数具有生物特征认证功能的密钥之一。它使用三层芯片架构,将您的生物特征信息存储在单独的安全元件之中。当然,您也可以通过设置PIN码,在不支持生物识别的场景中使用它。该密钥采用了USB-A和USB-C两种外观类型,并能够支持U2F(Universal 2nd Factor,通用第二因素)和FIDO2(Fast Identity Online,线上快速身份验证服务)两种安全协议。不过,Bio系列并不适用于LastPass,因此对于某些用户来说,这可能会破坏其交易过程。
YubiKey 5 Nano
如果您需要的是一种紧凑型的硬件安全密钥的话,那么YubiKey 5 Nano会比较适合您。它同样采用了USB-A和USB-C两种外观类型,并能够支持包括OTP、FIDO U2F、OpenPGP、OATH-TOTP、以及HOTP在内的多种安全协议。当然,其微小的尺寸是有代价的。与其他YubiKey不同,Nano密钥既不耐压,又不适用于移动设备。
2. Kensington VeriMark
插入笔记本电脑的Kensington安全密钥,图片来源:Kensington VeriMark™ 指纹密钥
Kensington VeriMark指纹密钥使用的是,具有360度可读性与防欺骗保护的生物识别技术。为了便于多个用户可以登录同一台设备,VeriMark最多能够支持10个指纹。
VeriMark是具有加密狗外形的紧凑式便携密钥。由于其长度只有1.2英寸,因此您可以将它系到钥匙链上,而不会觉得过于沉重。如上图所示,您甚至可以在上下班途中,将其保持与笔记本电脑的连接,并放入包中。
Kensington密钥不但支持多种协议,并且可以与Dropbox、GitHub、Facebook、以及Google等基于云端的账户,流畅地配合使用。不过,它缺乏对NFC的支持,以及与macOS和Chrome OS的兼容性。
3. Google Titan安全密钥
Google-Titan-Security-Key,图片来源:谷歌商店
作为Google的物理安全密钥版本,Titan密钥适用于那些希望通过多因素身份验证,来保护其账户的新手。由于它提供了USB-C和NFC支持,因此您可以与几乎任何设备一起连接使用。
虽然该密钥不会读取用户的指纹,但是您可以按住密钥的中心位置,来实现网站的登录。目前,Titan密钥仅支持FIDO U2F—这种较为陈旧的协议。因此与其他硬件安全密钥相比,它在此方面处于劣势。
此外,与Kensington VeriMark密钥或YubiKeys不同,Titan密钥不支持生物识别,当然这也就免去了各种额外设置。因此,若要使用该密钥,您只需导航到支持此类硬件密钥的站点,将Titan密钥添加到您的账户中,按照其操作向导逐步操作完成即可。
4. CryptoTrust OnlyKey
CryptoTrust-OnlyKey,图片来源:CryptoTrust OnlyKey
如上图所示,CryptoTrust OnlyKey具有其他竞品所不具备的一些独特功能:从设计开始,OnlyKey便提供了一个区别于键盘记录器的板载键盘。由于您需要从密钥的本身输入密码字符,因此即便是网站应用遭遇到了入侵,您的账户仍然可以保持安全性。
当然,您也可以使用额外的PIN码,来保护自己的密码。据此,您可以让OnlyKey成为一种多因素身份验证的设备。值得一提的是,作为密码管理器,它还包含了自毁和加密备份等其他功能。此处的自毁功能是指,它会在多次错误尝试之后,自动擦除设备里的信息,以保护对应的账户免受暴力攻击的迫害。
话说回来,CryptoTrust OnlyKey唯一令用户失望的是,它比其他竞品在外观略显笨重,且界面较为简陋。
5. Apple Passkeys
面向开发人员的Apple Passkeys主页,图片来源:Apple
Passkeys是Apple版本的安全密钥,可用于提供快速安全的身份验证方法,即依靠Touch ID和Face ID技术,对用户进行身份验证,而无需输入密码。虽然此项功能并不会涉及任何USB记忆棒,但它需要依赖于您的设备(如电脑)来完成身份验证。以下便是Apple Passkeys的工作原理:
在网站或应用程序启用了该项功能后,密钥将被存储在用于对其设置计算机或手机上。您可以使用iCloud密钥串在所有设备上与之同步。而当您想登录非Apple的设备、或是非PC设备时,您可以使用iPhone去扫描二维(QR)码,以完成整个身份验证过程。
Apple的Passkeys登录方法也可以被用在iOS 16、iPadOS 16、以及macOS Ventura上。它将通过消除密码的使用,来保护用户免受网络钓鱼等攻击。
由于这项技术仍处于早期阶段,因此各大网站和应用尚无法强制要求用户立即使用Passkeys。它们往往需要与密码一起被使用。不过,我们预期凭借着Apple这样的大平台,它将来必将成为主流。
硬件安全密钥值得采用吗?
如上所述,硬件安全密钥目前并不完善。并非所有的网站都能够支持它们,而且有时候我们设置起来也较为麻烦。此外,硬件密钥一旦丢失,用户将无法完成身份认证的必要环节。
当然,从技术上说,安全密钥仍然比传统的MFA(多因素身份认证)的方法更为安全。毕竟,基于SMS(短信)的认证方法,容易受到SIM卡劫持类型的攻击,而被普遍使用的身份验证器(authenticator)类型的应用,也有着其自身的局限性。可见,相比之下,基于硬件的安全密钥更易于提供更强的安全性。最后提醒您,请至少使用两个硬件安全密钥:一个日常使用,一个作为备用,以防丢失常用的那个密钥。
译者介绍
陈峻 (Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验。
原文标题:The 5 Best Hardware Security Keys for Online Protection,作者:FAWAD ALI