目录:
视频: Yubico YubiKey 5 NFC Security Key (七月 2024)
自从首次引入密码以来,密码一直是安全性的薄弱环节。 值得庆幸的是,Yubico YubiKey 5 NFC的存在是为了保护我们最重要的帐户,以及更多。 第五代YubiKey支持FIDO U2F进行安全的第二因素验证,并使用NFC与您的手机配合使用。 但这仅仅是这种功能强大且非常小巧的设备可以做的开始。 如果您只是在寻找简单的硬件U2F选件,则YubiKey 5 NFC可能会适得其反-考虑使用Yubico或Google Titan Security Keys更实惠的Security Key。 但是,如果您已经沉迷于安全性方面的知识,那么您会喜欢5 NFC所提供的。
两因素身份验证如何工作
尽管可以使用YubiKey之类的硬件安全密钥进行很多操作,但其主要作用是身份验证的第二个因素。 实际上,两因素身份验证(2FA)意味着在输入密码以证明是您之后必须做第二件事。 但是2FA背后的理论是从三种清单中结合两种不同的身份验证系统:
- 你知道的
- 您有的东西,或
- 就是你
例如:密码,是您所 知道的 ,它应该只存在于您的头部(或密码管理器中)。 生物特征识别-指纹扫描,视网膜扫描,心脏签名等-算是您 本人 。 Yubico YubiKeys及其类似物是您 拥有的 。
这篇评论主要着眼于硬件2FA,但是有很多方法可以添加第二个因素。 许多网站都会通过短信向您发送验证码,以验证您的身份。 Duo和Authy等应用程序依赖于推送通知,从理论上讲,推送通知比SMS消息更难以拦截。
无论您使用的是硬件解决方案还是软件解决方案,或同时使用这两种解决方案,都应尽可能添加2FA。 Google在内部部署2FA密钥后,成功接管帐户的次数降为零。 就是那样
YubiKey的多种风味
Yubico一直提供多种尺寸和其安全密钥的变体,以满足几乎所有需求。 这很棒,因为消费者和IT专业人员可以以各种价格获得他们所需要的东西。 不利的一面是浏览Yubico商店经常会让人感到压倒性的体验。 我会尽力整理基础知识。
YubiKey 5系列设备有四种口味,包括此处评论的$ 45 YubiKey 5 NFC以及其他三种外形尺寸:$ 50的YubiKey 5 Nano,$ 50的YubiKey 5C和$ 60的YubiKey 5C Nano。 5 NFC是唯一提供无线通信的YubiKey,但除此之外,这些设备之间的唯一区别是尺寸,价格和USB连接器。
这两个Nano设备是该组中体积最小的设备,它们位于USB-A或USB-C插槽中,如果您经常需要它们,则可以轻松够到。 YubiKey 5C使用USB-C连接器,比5 NFC稍小,可以挂在5 NFC旁边的钥匙串上; 它缺乏无线通信。 但是,您可以将YubiKey 5C或5C Nano直接连接到您的Android设备。
使YubiKey 5系列在竞争中脱颖而出的不仅仅是各种外形尺寸。 这些设备是真正的数字安全瑞士军刀。 每个人都可以充当智能卡(PIV),可以生成一次性密码,同时支持OATH-TOTP和OATH-HOTP,并且可以用于质询响应身份验证。 所有这四个设备都支持三种加密算法:RSA 4096,ECC p256和ECC p384。 只要您知道自己在做什么,这些设备通常就可以同时担任许多不同的角色。
尽管YubiKey 5 NFC是本评论的重点,但我过去已经测试过YubiKey 4系列设备,这些设备与YubiKey 5系列的USB-C和Nano型号在物理上相同。 它们全部都是精心制作的,黑色塑料覆盖的,可隐藏磨损的部件,并配备有隐藏的绿色LED,以让您知道它们的连接和功能。 根据设备的大小,您可以点击USB-A设备的金条或磁盘。 同时,USB-C设备具有两个很小的金属卡舌,您可以点击它们来进行身份验证。 USB-A Nano设备比USB-C Nano设备更难从插槽中卸下,但是USB-A Nano YubiKey有一个小孔,因此可以挂在绳子或电线上,而USB-C Nano才不是。
您购买哪种YubiKey设备在很大程度上取决于您打算在何种情况下使用它。 如果您打算在受信任的计算机上使用Nano设备,并且知道您将需要经常访问YubiKey,则Nano设备将非常有用。 全尺寸的钥匙更适合挂在钥匙圈上并紧贴手边。
动手使用YubiKey 5 NFC
为了帮助您入门,Yubico为新用户创建了一个方便的指南。 只需选择您拥有的YubiKey设备,站点就会显示您可以使用YubiKey的所有场所和环境的列表。 其中一些直接链接到网站或服务的入职页面,而其他一些则提供您必须遵循的说明。
将YubiKey设置为U2F第二要素非常简单。 按照网站或服务的说明进行操作,然后在出现提示时将YubiKey插入相应的插槽中。 只需点击金盘(或金属标签,具体取决于型号),该服务就会注册您的密钥。 下次登录时,输入密码,然后提示您插入密钥并点击。 而已!
Dashlane,Google和Twitter是支持U2F并接受YubiKey 5系列设备的众多站点中的一些。 在测试中,我将其注册为Google帐户的第二要素。 在台式计算机上登录时,我输入了登录凭据,然后Google要求我插入并点击我的安全密钥。 没问题,尽管我确实必须使用Chrome浏览器登录。
在我的Android设备上,过程非常简单。 登录测试时,我输入了凭据,然后手机提示我使用安全密钥。 我从底部的菜单中选择了NFC,然后将5 NFC拍在手机背面。 尝试了很多次,但最终电话响起了肯定的声音,我已登录。
YubiKey 5系列可以通过多种方式对您进行身份验证,而不仅仅是通过U2F。 例如,使用LastPass,您只需点击一下即可注册YubiKey生成一次性密码(特别是基于HMAC的一次性密码,但为了简便起见,我将使用OTP)。 这不同于U2F,但在实践中感觉非常相似。 登录到LastPass,导航到“设置”菜单的相应部分,单击文本字段,然后点击YubiKey。 一串字母喷出来了,就是这样! 现在,当您要登录LastPass时,系统将提示您插入YubiKey,以使其吐出更多的OTP。
你们中的大多数人可能都熟悉Google Authenticator,该应用程序每30秒生成六位数的密码。 这项技术通常被称为基于时间的一次性密码(TOTP),它是当今使用的2FA最常见的形式之一。 除了桌面或移动应用程序外,Yubico还对TOTP系统进行了有趣的改进。
插入您的YubiKey,启动Yubico Authenticator应用程序,然后导航到支持Google Authenticator或类似服务的网站。 例如,为了保护Google帐户的安全性,我单击了使用身份验证器应用注册新手机的选项。 通常会在此时显示一个QR码,网站会提示您使用适当的身份验证器应用程序对其进行扫描。 相反,我在Yubico Authenticator桌面应用程序中选择了一个菜单选项,它会从屏幕上捕获QR码。 再点击几下后,该应用程序开始每30秒提供唯一的六位数代码。
诀窍在于,如果没有YubiKey,Yubico应用程序将无法生成TOTP。 Yubico Authenticator无需将创建这些代码所需的凭据存储在您的计算机上,而是将数据直接存储在您的YubiKey上。 将其拔出,Authenticator应用程序将无法创建新的TOTP。 如果您担心有人会窃取用于生成TOTP的设备,那将非常方便。 您还可以使用密码锁定YubiKey,因此即使它被您窃取,也无法用于生成TOTP。
Yubico还提供了可与YubiKey 5 NFC一起使用的可生成TOTP的Android应用,以使您的TOTP上路。 当您打开该应用程序时,它是空的,但是将5 NFC拍向背面,它开始生成代码。 退出应用程序,代码消失; 您将不得不再次点击5 NFC。 这不如将信息存储在应用程序本身中那样方便,但是要安全得多。
这些是我看过的场景,但是YubiKey 5系列可以做更多的事情。 您可以将其用作智能卡来登录我的台式计算机。 您可以使用它登录到SSH服务器。 您甚至可以生成一个PGP密钥,然后使用YubiKey进行签名或验证。 坦率地说,仅仅让我的头缠在TOTP键上已经足够困难了。
尽管Yubico有大量文档和三个单独的桌面应用程序(以及三个其他移动应用程序),但要在没有大量现有知识的情况下使用YubiKey的各个方面非常困难。 Yubico已部署了一个网站,以帮助告知客户他们可以使用其密钥的用途,并引导他们获取必要的信息。 该指导很棒,但这只是指导,而不是高科技产品通常提供的帮助。 将您的YubiKey用于U2F也非常简单,但是要充分利用YubiKey,对于新手甚至是安全记者来说都不容易。
YubiKeys与Google Titan安全密钥
Yubico的YubiKey 5系列几乎可以针对每种情况提供解决方案,但是成本是一个问题。 单个YubiKey的每个单独设备的价格在40到60美元之间。
Google的Titan安全密钥套件提供两种价格为50美元的设备:一个USB-A密钥和一个蓝牙/微型USB密钥卡。 这为您提供了备用的权柄。 另一方面,YubiKey的安全性更高(假设您不知道如何使用所有功能)。 两种Titan设备都可以使用NFC,但在撰写本文时,尚未在Android设备上启用支持。 Google还提供了USB-C适配器,因此您几乎可以在任何设备上使用Titan钥匙。 但是,Titan键仅支持FIDO U2F。 这几乎适用于每个网站或服务,但不能用于TOTP,OTP,智能卡访问以及YubiKey 5系列支持的其他协议。
对价格敏感的读者,主要只是在寻找U2F设备,他们可能会更喜欢Yubico的20美元安全钥匙。 该USB-A钥匙的轮廓与YubiKey 5 NFC相同,但是可以通过其美观的蓝色塑料外壳,中心按钮上的钥匙标志符号以及顶部刻有第二个数字来识别。 顾名思义,该设备支持FIDO U2F和FIDO2,仅此而已。 安全密钥不支持YubiKey 5系列的所有协议,因此您不能将其与LastPass或智能卡一起使用,也不能进行无线通信。 它的价格还不到Titan钥匙包或5 NFC的一半。
Yubi成功的关键?
YubiKey 5系列是非凡的设备系列,可满足众多令人眼花ni乱的需求。 它最基本的用途是用作FIDO U2F身份验证器或OTP生成器,但它可以做更多的事情。 与YubiKeys以及Yubico总体上我们一直遇到的麻烦仅是在公司目前提供的六种产品中,找出选择YubiKey的挑战。 弄清楚除了U2F之外您可以做什么,这是双重挑战。 Yubico设备非常出色,其文档也在不断完善,但是在设计时绝对考虑了安全性和IT专业人员。
如果您浏览YubiKey拥有的功能清单并了解它们,或者至少对它们感到好奇,那么这就是适合您的设备。 您不会对这款坚固耐用的小型设备感到失望。 如果您知道自己想更好地保护在线帐户的安全,但是不确定如何去做,那么最好使用Google Titan安全密钥或Yubico负担得起的安全密钥。
YubiKeys是一项成熟且成熟的技术,但我们仍在探索这一领域。 因此,我们给YubiKey 5 NFC四颗星,但在我们研究了更多选项之前,将不授予编辑选择奖。
