能够提供在线保护的五种硬件密钥

译文 精选
安全 应用安全
本文向您介绍和比较当前较为常见的、能够提供在线保护的5种硬件安全密钥。

译者 | 陈峻

审校 | 孙淑娟

多年以来,我们最为熟悉的身份验证方式,莫过于用户名和密码这对组合了。但是,即使您已经养成了非常良好的密码设置与使用习惯,密码也始终是一种安全隐患。道理其实很简单,首先,我们人类本身就不擅长记住密码,更不擅长创建复杂的强密码。其次,大多数用户会倾向于为多个账户创建并使用相同的密码。因此,这就会导致:如果一个账户遭遇到了入侵,其余账户也将面临相同的风险。

为了应对此类风险,我们通常会建议大家使用硬件安全密钥(Hardware Security Keys)。不过,在目前的市场上,您会发现有着种类丰富的硬件安全密钥可供选择,那么究竟该如何选用哪一类中的哪一种密钥呢?下面,我将向您介绍和比较当前较为常见的、能够提供在线保护的5种硬件密钥。

1. YubiKey系列

Yubico是硬件安全密钥领域的行业领导者。由该公司所提供的安全密钥可满足从个人家庭用户到专业开发人员,从小微公司到大型企业等广泛的用户场景需求。目前,其最为流行的YubiKey版本包括:

​YubiKey 5 NFC​

YubiKey 5 NFC是一款紧凑、轻便且耐用的密钥。它可与包括Facebook、Google Chrome、Dropbox、以及LastPass等许多应用服务相兼容。此外,YubiKey 5 NFC还支持包括OpenPGP、FIDO U2P、OTP、以及智能卡在内的多种安全协议。

​YubiKey C Bio​

YubiKey C Bio是少数具有生物特征认证功能的密钥之一。它使用三层芯片架构,将您的生物特征信息存储在单独的安全元件之中。当然,您也可以通过设置PIN码,在不支持生物识别的场景中使用它。该密钥采用了USB-A和USB-C两种外观类型,并能够支持U2F(Universal 2nd Factor,通用第二因素)和FIDO2(Fast Identity Online,线上快速身份验证服务)两种安全协议。不过,Bio系列并不适用于LastPass,因此对于某些用户来说,这可能会破坏其交易过程。

​YubiKey 5 Nano​

如果您需要的是一种紧凑型的硬件安全密钥的话,那么YubiKey 5 Nano会比较适合您。它同样采用了USB-A和USB-C两种外观类型,并能够支持包括OTP、FIDO U2F、OpenPGP、OATH-TOTP、以及HOTP在内的多种安全协议。当然,其微小的尺寸是有代价的。与其他YubiKey不同,Nano密钥既不耐压,又不适用于移动设备。

2. Kensington VeriMark

插入笔记本电脑的Kensington安全密钥,图片来源:Kensington VeriMark™ 指纹密钥

Kensington VeriMark指纹密钥使用的是,具有360度可读性与防欺骗保护的生物识别技术。为了便于多个用户可以登录同一台设备,VeriMark最多能够支持10个指纹。

VeriMark是具有加密狗外形的紧凑式便携密钥。由于其长度只有1.2英寸,因此您可以将它系到钥匙链上,而不会觉得过于沉重。如上图所示,您甚至可以在上下班途中,将其保持与笔记本电脑的连接,并放入包中。

Kensington密钥不但支持多种协议,并且可以与Dropbox、GitHub、Facebook、以及Google等基于云端的账户,流畅地配合使用。不过,它缺乏对NFC的支持,以及与macOS和Chrome OS的兼容性。

3. Google Titan安全密钥

Google-Titan-Security-Key,图片来源:谷歌商店

作为Google的物理安全密钥版本,​​Titan密钥​​适用于那些希望通过多因素身份验证,来保护其账户的新手。由于它提供了USB-C和NFC支持,因此您可以与几乎任何设备一起连接使用。

虽然该密钥不会读取用户的指纹,但是您可以按住密钥的中心位置,来实现网站的登录。目前,Titan密钥仅支持FIDO U2F—这种较为陈旧的协议。因此与其他硬件安全密钥相比,它在此方面处于劣势。

此外,与Kensington VeriMark密钥或YubiKeys不同,Titan密钥不支持生物识别,当然这也就免去了各种额外设置。因此,若要使用该密钥,您只需导航到支持此类硬件密钥的站点,将Titan密钥添加到您的账户中,按照其操作向导逐步操作完成即可。

4. CryptoTrust OnlyKey

CryptoTrust-OnlyKey,图片来源:CryptoTrust OnlyKey

如上图所示,​​CryptoTrust OnlyKey​​具有其他竞品所不具备的一些独特功能:从设计开始,OnlyKey便提供了一个区别于键盘记录器的板载键盘。由于您需要从密钥的本身输入密码字符,因此即便是网站应用遭遇到了入侵,您的账户仍然可以保持安全性。

当然,您也可以使用额外的PIN码,来保护自己的密码。据此,您可以让OnlyKey成为一种多因素身份验证的设备。值得一提的是,作为密码管理器,它还包含了自毁和加密备份等其他功能。此处的自毁功能是指,它会在多次错误尝试之后,自动擦除设备里的信息,以保护对应的账户免受暴力攻击的迫害。

话说回来,CryptoTrust OnlyKey唯一令用户失望的是,它比其他竞品在外观略显笨重,且界面较为简陋。

5. Apple Passkeys

面向开发人员的Apple Passkeys主页,图片来源:Apple

Passkeys是Apple版本的安全密钥,可用于提供快速安全的身份验证方法,即依靠Touch ID和Face ID技术,对用户进行身份验证,而无需输入密码。虽然此项功能并不会涉及任何USB记忆棒,但它需要依赖于您的设备(如电脑)来完成身份验证。以下便是Apple Passkeys的工作原理:

在网站或应用程序启用了该项功能后,密钥将被存储在用于对其设置计算机或手机上。您可以使用iCloud密钥串在所有设备上与之同步。而当您想登录非Apple的设备、或是非PC设备时,您可以使用iPhone去扫描二维(QR)码,以完成整个身份验证过程。

Apple的Passkeys登录方法也可以被用在iOS 16、iPadOS 16、以及macOS Ventura上。它将通过消除密码的使用,来保护用户免受网络钓鱼等攻击。

由于这项技术仍处于早期阶段,因此各大网站和应用尚无法强制要求用户立即使用Passkeys。它们往往需要与密码一起被使用。不过,我们预期凭借着Apple这样的大平台,它将来必将成为主流。

硬件安全密钥值得采用吗?

如上所述,硬件安全密钥目前并不完善。并非所有的网站都能够支持它们,而且有时候我们设置起来也较为麻烦。此外,硬件密钥一旦丢失,用户将无法完成身份认证的必要环节。

当然,从技术上说,安全密钥仍然比传统的MFA(多因素身份认证)的方法更为安全。毕竟,基于SMS(短信)的认证方法,容易受到SIM卡劫持类型的攻击,而被普遍使用的身份验证器(authenticator)类型的应用,也有着其自身的局限性。可见,相比之下,基于硬件的安全密钥更易于提供更强的安全性。最后提醒您,请至少使用两个硬件安全密钥:一个日常使用,一个作为备用,以防丢失常用的那个密钥。 

译者介绍

陈峻 (Julian Chen),51CTO社区编辑,具有十多年的IT项目实施经验,善于对内外部资源与风险实施管控,专注传播网络与信息安全知识与经验。

原文标题:The 5 Best Hardware Security Keys for Online Protection,作者:FAWAD ALI

责任编辑:华轩 来源: 51CTO
相关推荐

2009-05-18 15:43:06

McAfeePC安全

2015-01-07 18:26:08

2012-05-21 13:57:42

Google搜索教育中心在线服务

2013-01-21 15:49:11

安全云东软

2022-01-25 11:23:40

云安全云计算

2023-07-04 15:11:30

TypeScript类型保护

2021-09-18 10:06:06

数据安全隐私计算大数据

2021-03-05 10:17:32

保护组织勒索软件网络安全

2021-09-14 08:00:00

云计算机器ID技术

2023-10-20 10:17:23

2021-08-27 16:26:11

敏感数据

2020-02-20 13:33:56

UCloud在线教育

2023-05-12 15:03:42

安全云平台加密

2009-07-03 18:48:00

综合布线屏蔽性能

2020-05-07 09:52:03

密钥KMS信息安全

2009-10-19 09:55:52

保护客户在线信誉网络安全

2023-05-17 13:46:14

2021-10-09 06:36:53

黑客攻击密钥

2011-11-14 16:07:22

2023-05-04 07:09:08

点赞
收藏

51CTO技术栈公众号