目录:
视频: Yubico YubiKey 5Ci: Fastest Key Yet! (iOS Support) (十月 2024)
Yubico的YubiKey系列多年来一直是简单的硬件两因素身份验证的首选。 Yubico的最后一个领域是iPhone,它最终通过YubiKey 5Ci解决了这一问题。 这种小型双端设备的一端带有USB-C连接器,另一端带有兼容Apple的Lightning连接器。 这种硬件按键的功能完全可以正常工作,并且具有竞争对手无法比拟的功能,但是由于iOS上的有限支持和相对较高的价格而受到阻碍。
什么是两因素身份验证
实际上,两因素身份验证(2FA)使用两种方法登录到站点或服务,但这并不是名称的来源。 相反,它指的是一种身份验证理论,在该理论中,您证明自己应具有以下权限:
你知道的
就是你
或您有的东西。
您知道的东西就像一个密码,人类很容易被盗,我们应该真正让密码管理者来照顾。 您所拥有的就像生物数据一样,例如使用指纹来解锁手机。 您所拥有的可能是硬件身份验证器,例如YubiKey。 2FA是您在列表中使用两个认证者而不是一个的地方,因为攻击者不太可能拥有三个认证者中的两个。 这是确保登录安全的非常有效的方法。 如此之多,以至于Google内部要求使用2FA硬件密钥后,成功的网络钓鱼攻击降为零。
有很多方法可以做2FA。 人们最熟悉的是通过SMS接收一次性密码,尽管出于安全考虑,这种方式已不复存在。 Yubico率先创建了FIDO2协议和WebAuthn标准,该标准使用公钥密码术进行安全身份验证。 经过W3C认证的WebAuthn标准近年来已将这种身份验证样式带给了越来越多的浏览器和服务,并且可能成为我们进行身份验证的未来。 例如,微软一直在尝试使用诸如YubiKeys之类的WebAuthn设备进行完全无密码的身份验证。
专为手机设计
YubiKey系列已经有了长足发展,具有七种不同尺寸的钥匙,以及大量的插头和协议。 USB-A Yubico安全密钥仅支持FIDO2 / WebAuthn,价格为20美元,而USB-A安全密钥NFC增加了无线支持,价格为27美元。
上图所示的YubiKey 5系列涵盖了几种设备。 从左开始,USB-A YubiKey 5 NFC的价格为45美元,可能是所有设备中功能最强大的。 USB-C YubiKey 5C的价格为50美元,最薄的外形设计与5Ci非常相似。 5 Nano和5C Nano的价格分别为50美元和60美元,设计用于半永久性居住在您的港口内。 YubiKey 5Ci售价70美元,是家庭中最昂贵的钥匙。
与USB-A YubiKey设计相比,5Ci很小。 它的尺寸为12mm x 40.3mm,厚度仅为5mm。 这比USB-A密钥的宽度略大一半,但略短一些。 它以耐用的黑色塑料铸造而成,带有金属加固的中心孔,可将其固定在钥匙圈上。 但是5Ci比YubiKey 5 NFC厚。 多余的周长加上中心孔使其与钥匙扣有点不合时宜,但它确实有效。 它只有3克的羽毛般轻盈,但仍然感觉很好。
在设备中间附近是两个凸起的金属节点。 插入5Ci时,当系统提示您完成验证时,请点击这些节点。 与所有YubiKey设备一样,5Ci也没有内置电池,并从与其连接的设备中汲取所有电能。 值得注意的是,YubiKey 5Ci不支持NFC,而Yubico安全密钥NFC和YubiKey 5 NFC则支持。
YubiKey 5Ci具有独特的双端设计。 一侧具有USB-C连接器,另一侧具有Apple Lightning连接器,您在iPhone和iPad充电器上使用已有多年。 具有讽刺意味的是,我对5Ci的最大抱怨是它的连接器。 一方面,我很难找到一台带有USB-C端口的计算机来测试5Ci的各种功能。 从计算机注册密钥比从移动设备注册密钥还容易得多。 如果您使用的是最新的硬件,找到一个USB-C端口可能不会有问题,但是如果您像我一样使用计算机,直到它们完全崩溃,您可能需要适配器。
另外,该设备的USB-C端不是我测试中使用的诺基亚6.1或华硕UX360c ZenBook Flip的理想选择。 我必须竭尽全力才能使用5Ci,而且每次我以为我要破坏某些东西时,都必须这样做。 在某些情况下,设备似乎没有正确就位,因为它无法连接。 从任何意义上说,这都不是破坏交易的事情,在几次推拉之后,连接器开始感觉更合适。 也许只需要介入即可。
另一方面,Lightning连接器的效果非常好。 它顺利进入并被牢固地夹住。 完全像苹果一样,我没有任何抱怨。 Yubico确实指出5Ci上的USB-C连接器不适用于具有USB-C端口的iPad型号。
动手使用YubiKey 5Ci
在使用5Ci或任何其他硬件身份验证器之前,必须将其与每种服务一起注册。 问题在于,并非每个浏览器或应用程序都支持硬件身份验证器密钥。 我第一次测试Yubico的Security Key NFC时遇到了这个问题。 当时(与现在一样),Apple对NFC的支持并没有扩展到大多数情况下的安全密钥。 我发现5Ci在iOS上可以使用的环境比我在iPhone上测试NFC密钥时要多,但是相对较小的支持却令人沮丧。
为了测试FIDO2 / WebAuthn支持,我在Brave浏览器中打开了Twitter,Yubico建议我使用它,因为它支持基于浏览器的身份验证。 我照常登录,导航到“设置”窗格,并注册了YubiKey 5Ci。 下次登录时,Twitter提示我输入密钥,然后点按它。 我进行了整理,并迅速提出了该网络应用程序。
不幸的是,我无法使用Safari或Twitter iOS应用程序登录Twitter。 我也无法使用Google帐户在Brave,Safari甚至Chrome中注册Yubikey 5Ci。
YubiKey 5Ci还支持一次性密码(OTP)。 在这种配置中,您插入钥匙并点击金属节点,就会吐出冗长的唯一代码。 这是一个:ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb。 一些服务(例如LastPass)使用此功能代替FIDO2 / WebAuthn。 优点是可以将键作为键盘来读取,因此非常简单,不需要浏览器的任何其他支持。
要测试OTP,我首先必须使用LastPass帐户注册密钥。 我无法在iPad或iPhone上执行此操作。 对于浏览器,我没有选择使用替代方法的选择,并且浏览器无法使用NFC读取YubiKey 5 NFC。 LastPass应用程序 确实 读取了我的NFC密钥,但是该应用程序不包含用于编辑已注册硬件密钥的选项。 最后,我必须找到一台带有USB-C端口的笔记本电脑来注册5Ci。 完成后,通过该应用程序,LastPass应用程序或Brave浏览器登录LastPass变得非常简单。 我像往常一样输入了用户名和密码,然后被提示插入密钥,然后点击密钥上的金属节点。 一秒钟后,我登录了。
这些只是YubiKey可以使用的一些服务,Yubico维护着相当全面的站点和服务列表,这些站点和服务接受FIDO2 / WebAuthn或YubiKey OTP。 公司代表提到1Password,Bitwarden,Idaptive和Okta是已经支持使用YubiKeys的特定iOS应用程序。
YubiKey 5Ci具有所有其他方式的花样,但它们有时都需要计算机。 例如,您可以自定义密钥的各个方面,例如在长按金属节点时让其吐出预设密码。 它也可以配置为兼作智能卡,并且可以借助桌面身份验证器应用程序像Google Authenticator一样吐出有时间限制的密码(TOTP)。 一名Yubico代表向我证实,除了NFC通信之外,YubiKey 5Ci可以执行YubiKey 5 NFC可以执行的任何操作。
YubiKey 5Ci与竞争对手
那里有许多硬件身份验证器竞争者,其中最重要的就是Google。 该公司将以50美元的价格向您发送一个USB-A Google Titan安全密钥,该密钥使用FIDO2 / WebAuthn和可充电的蓝牙加密狗。 这是一个很好的设置,但是我一直对将蓝牙用于安全设备持怀疑态度。
如果您拥有运行Android 7.0或更高版本的移动设备,则也可以将其用作Google帐户的硬件身份验证器。 这样做的优点是完全免费,并且可以使用您已经拥有的现有硬件,但是目前范围有限。 与所有YubiKey设备不同,它还依靠电池和无线电来工作。
如果您不想使用Google品牌,可以直接前往Feitian,这是Google为Titan钥匙加白标签的公司。 这些设备具有多种尺寸,配置和价格。 唯一的弊端是飞天位于中国,因此不太可能发生供应链攻击。 Yubico总是很快指出,它在美国和瑞典生产钥匙。
有些人可能更喜欢开源替代方案,例如NitroKey FIDO U2F。 该德国设备的售价为€22.00,并使用开源硬件和软件。 开源硬件的好处是其安全性可以由任何第三方独立验证。 我发现NitroKey可以胜任,但是笨重。 尽管其他安全密钥很薄,例如密钥,但NitroKey却很矮胖,并使用全尺寸USB-A连接器。 我询问了Yubico的代表关于使用开源组件的问题,他们回答说,可用的最佳安全元件芯片根本不是开源的。
要记住的一件事是2FA不需要硬件密钥。 Google Authenticator,Duo Mobile和其他服务通过应用程序免费提供2FA。 Google和Apple可以选择使用其他受信任设备进行身份验证来保护其服务上的帐户安全。 硬件密钥的优点是它们无需电源或电池即可工作,但是如果您认为使用物理密钥太麻烦了,我建议您仅使用对您最有意义的2FA方法。
太快了
我对YubiKey 5Ci本身唯一真正的抱怨是它的价格和它的粘性USB-C插头(随着时间的推移可能会有所改善)。 真正的麻烦是对iOS设备的支持,尽管在改进方面仍然有限。 那并不是Yubico的错,但这令人沮丧,因为USB-C YubiKey的价格便宜了20美元。 如果Apple和其他开发人员开始认真致力于扩展对各种硬件密钥的支持,我将非常喜欢。 一旦发生这种情况,YubiKey 5Ci将会真正发光。 在此之前,我们的“编辑选择”徽章仍然是Yubico的Security Key(安全密钥),价格仅为20美元,几乎可以在任何插入USB-A插头的地方使用。
