目录:
视频: Обзор Yubikey. Максимальная безопасность. (十月 2024)
过去几年中发生的许多数据泄露事件使一件事变得非常清楚:密码无法正常工作。 输入25美元的Nitrokey Fido U2F USB安全密钥。 Nitrokey通过向流行服务(例如Google,Twitter,Facebook等)添加第二步身份验证,使坏人更难以进入您的帐户。 Nitrokey之所以与众不同,是因为它是完全开源的,从硬件到软件。 它比同类产品贵一点,但是对于任何需要开源硬件和软件的人来说,Nitrokey都是无与伦比的。
两因素身份验证如何工作
尽管通常采用两因素身份验证(或2FA)来表示输入密码后再添加第二步,但这并不是该术语的实际定义。 相反,2FA意味着从可能的三种列表中采取两种认证方式:
- 你知道的
- 你有东西
- 就是你
您 知道 头脑中的密码(或者,最好是在密码管理器中)。 您 拥有的 是硬件密钥或身份验证器应用程序,而您 拥有的 是指纹或其他生物识别信息。 我们暂时只使用密码,所以这就是2FA的 实际 含义是在密码中添加另外两个密码之一的原因。 之所以起作用,是因为尽管您的密码可能因数据泄露而被篡改或暴露,但其他两个密码却很难获得或欺骗。
尽管有很多添加2FA的方法,但Nitrokey Fido U2F等硬件安全密钥具有一定的优势。 与通过短信发送的一次性代码不同,它们不会被截获。 与应用程序生成的代码不同,它们无法被仿冒。 Google向公司的所有85, 000名员工推出了安全密钥,并证明成功的网络钓鱼攻击已降至零,从而证明了这一点。 就是说,如果使用安全密钥听起来太麻烦了,则应以任何对您有意义的方式启用2FA。
动手使用Nitrokey Fido U2F
Nitrokey是一家德国公司,销售各种USB记忆棒安全设备。 这些设备大多数以安全存储和加密为中心。 他们可以存储电子邮件和磁盘加密密钥,其中一些甚至带有板载安全存储。 Nitrokey Fido U2F是一堆中最实惠的,价格为22欧元(约合25美元,具体取决于汇率),并且是唯一专门用于2FA的机型。
Fido U2F模型可作为许多流行网站(包括Google,Facebook,Twitter等)的第二个身份验证器。 这是一个细长的黑色USB设备,表面带有塑料质感,看上去有点像旧的闪存驱动器。 它很小,只有48 x 19 x 7毫米,重量很轻,仅重5克。 一端被切开以容纳钥匙圈,另一端的USB 1.1 A型连接器受到可移动外壳的保护,您肯定会在一周之内丢失。 除盖子外,它没有活动部件,因此可以抗水(但不能渗透)并抗水和压碎。
较大的USB连接器有点离群; YubiKey线和Google Titan按键完全平坦。 Nitrokey说,他们使用较大的USB连接器可确保与更多设备的兼容性,并且更耐用,但我认为,如果没有其他原因,则允许使用更小尺寸的设备,则我更喜欢扁平的样式。 与其他安全密钥相比,Nitrokey非常笨重,后者是薄薄的晶片和轻巧的羽毛。 也就是说,Nitrokey的外观完全平淡,不太会引起人们的注意。
将Nitrokey Fido U2F与网站进行配对很简单。 只需导航至受支持站点的登录选项,在出现提示时插入Nitrokey,然后在内部白色LED发光时点按机壳上的手指图标。 最初,这使我感到震惊,因为尽管Nitrokey的效果同样好,但我更习惯于Yubico和Google在其安全密钥中使用的金盘丝锥表面。
配对设备后,当您登录网站时,系统会提示您插入并点按Nitrokey Fido U2F。 为避免被锁定在注册站点之外,我强烈建议激活另一个2FA选项,例如可以打印出来并存储在安全位置的备用密码,或注册第二个安全密钥。
由于Nitrokey Fido U2F不支持任何无线通信,因此您将无法使用它来认证移动设备。 也许您可以使用时髦的USB适配器将其拔出,但是我没有测试这种奇怪的情况。 相反,在这种情况下,您必须使用其他2FA方法,例如身份验证器应用程序。 Yubico Security Key NFC仅售2美元,还支持Fido U2F,但包含NFC,因此您可以将其贴在手机上进行身份验证。
安全无遮掩
当某些东西是开源的时,它完全可以检查甚至更改。 这通常也意味着它是一个志愿者项目,并且可能是免费提供的。 这与所谓的“模糊不清的安全性”形成对比,后者以保护机密的名义隐藏了产品的关键方面。 这个想法是透明的有助于制造更好,更具弹性的产品。
Nitrokey完全围绕开放源代码理念构建。 该公司总结了自己的方法,并认为这样做的好处是:
“硬件和固件,工具和库都是开放源代码和免费软件,可以进行独立的安全审核。灵活的适应性,无供应商锁定,无从知晓的安全性,无隐藏的安全缺陷。”
对于公司和消费者而言,使用开源工具也是一种道德声明。 如果您是那种真正地真正相信公开信息的人,您可能会喜欢Nitrokey的立场。 开源硬件也是一种相对罕见的东西,有助于缓解人们对情报机构将后门打入工厂芯片的担忧。
这并不是说开源是抵御安全漏洞或攻击的灵丹妙药。 令人流血的原因是在不知情的情况下将错误添加到了开源OpenSSL加密软件中。 也就是说,如果OpenSSL不是开源的,则可能永远不会发现该错误。
Nitrokey与朋友和敌人
Nitrokey Fido U2F是目前出售的大约六种Nitrokey设备之一。 像Yubico的Yubikey 5系列一样,有多种配置可供选择。 与Yubico不同,Nitrokey产品线不仅仅提供身份验证。 Nitrokey Storage 2是最强大,最昂贵的产品,它支持S / MIME电子邮件和磁盘加密,OpenPGP / GnuPG电子邮件加密,一次性密码(OTP)和加密的机载存储。 它甚至可以在自定义密码管理器中存储多达16个密码。 它的成本为109EU或约124美元。
那是很多字母汤,如果您没有全部了解,那么它可能不是您想要的产品。 OTP支持是值得注意的,因为这是LastPass支持的唯一硬件2FA选项。
Nitrokey Pro 2摆脱了车载存储空间,仅售49欧元(约合56美元)。 独特地,它(或其更名的Purism Librem Key)可用于验证Purism笔记本电脑的固件和硬件的有效性。 这意味着他们可以检测是否有人试图篡改您的Purism笔记本电脑。 这是一个令人着迷的功能,但仅对那些首先购买开源Purism笔记本电脑的人来说很有趣。
奇怪的是,这里评论的Nitrokey Fido U2F是Nitrokey唯一的Fido U2F兼容验证器。 如果您购买价格更高,功能更强大的Nitrokey,则将无法使用此广泛采用的标准。
另一方面,Yubico在其所有的YubiKey 5设备中包括Fido U2F和更新的,更受未来检验的Fido2,以及OTP,OATH(HOTP和TOTP),OpenPGP和智能卡支持。 两个YubiKey 5设备也支持USB-C。 它的两种价格最低的产品,安全密钥和安全密钥NFC,仅支持Fido2和Fido U2F。 后者的价格比Nitrokey Fido U2F(27美元)略高,但它确实包括无线NFC通信,而Nitrokey则不。 就其本身而言,安全密钥仅需20美元,可将其置于冲动购买范围内。
Google的Titan捆绑包售价为50美元,介于两者之间。 这包括两个设备-USB-A钥匙和电池供电的蓝牙加密狗-两者都支持Fido U2F。 包括第二个设备肯定使它成为一个诱人的包装,但是我仍然对电池供电的加密狗的实用性持怀疑态度。
毫不妥协的安全性
Nitrokey Fido U2F并不比竞争对手更苗条,更苗条或更便宜,但它对开源硬件和软件的承诺是某些人的主要区别。 像许多开源硬件一样,它虽然笨重,但可能会更好。 我们仍然喜欢Yubico的“编辑选择”(Securityy Key),它比Nitrokey便宜一些,而且更苗条。 但是,如果您只是将脚趾插入2FA硬件中,尤其是如果您是开放源码的传播者,那么Nitrokey Fido U2F是一个不错的选择。
