为什么每个人都应该拥有这种廉价的安全工具 YubiKey

为什么每个人都应该拥有这种廉价的安全工具 YubiKey

YubiKey 是防止您的在线帐户被接管的终极防线。它的起价为 25 美元,是 21 世纪不可或缺的小工具之一。

YubiKey简介

为什么每个人都应该拥有这种廉价的安全工具 YubiKey

YubiKey是由Yubico生产的身份认证设备,支持一次性密码(OTP)、公钥加密和身份认证,以及由FIDO联盟(FIDO U2F)开发的通用第二因素(U2F)协议。它让用户可以透过提交一次性密码或是使用设备产生的公开/私密金钥来安全地登录自己的帐户。针对不支持一次性密码的网站,YubiKey也可以存储静态密码。Facebook使用YubiKey作为员工凭证;Google同时为雇员和用户提供支持。还有一些密码管理器也支持YubiKey。

Yubikey实现了基于HMAC的一次性密码算法(HOTP)和基于时间的一次性密码算法(TOTP),并且将本身作为一个通过USB HID协议的键盘来提供一次性密码。YubiKey NEO和YubiKey 4还包含许多协议,如使用2048位RSA和椭圆曲线加密系统(ECC)p256和p384的OpenPGP卡、近场通信(NFC)以及FIDO U2F。YubiKey允许用户对消息签名、加密且同时不暴露私钥。第4代YubiKey于2015年11月16日推出,支持4096位RSA密钥的OpenPGP,并有PIV智能卡的PKCS11支持,还允许对Docker映像进行代码签名。

Yubico是一家私人公司,2007年由首席执行官Stina Ehrensvärd创立,办事处位于帕罗奥图、西雅图和斯德哥尔摩。Yubico首席技术官Jakob Ehrensvärd是原“强认证规范”的主要作者,该规范后来演变为通用第二因素(U2F)

官网地址

为什么每个人都应该拥有这种廉价的安全工具 YubiKey
官网截图

yubikey有什么用

Yubico 制造的一种硬件身份验证设备,用于保护对在线帐户、计算机和网络的访问。Yubikey 5 系列看起来像小型 USB 闪存驱动器,并提供一系列不同的连接器——USB-A、USB-C 以及 USB-C 和 Lightning 组合。有些版本还包括对 NFC 的支持。

它为数百种在线服务提供双因素身份验证(也称为多因素身份验证或两步验证),从 Facebook、Google 和 Twitter 到更具体的服务,例如 Coinbase、Salesforce 和 Login.gov。您的 YubiKey 还可用于保护密码存储服务,例如 Bitwarden  Password Safe  LastPass 

YubiKey 5 系列密钥支持广泛的协议,例如 FIDO2/WebAuthn、U2F、智能卡、OpenPGP 和 OTP。在许多情况下,拥有 YubiKey 就无需使用 SMS 进行双因素身份验证——这种方法已被证明是不安全的。

如果您的在线帐户保留了一些您不能丢失的东西,那么 Yubikey 非常有意义。我多年来一直在使用 YubiKeys,它们完美无缺且万无一失。

虽然一个 YubiKey 足以开始使用,但我有几个。这不仅可以为我提供一个备份,以防万一我丢失了(我还没有!),而且如果我选择一对带有不同连接器的(比如 USB-C/Lightning 和带有 NFC 的 USB-A),这会给我可以灵活地登录各种设备的帐户。

为什么每个人都应该拥有这种廉价的安全工具 YubiKey

YubiKey防止钓鱼攻击案例

网络钓鱼呈上升趋势。通过使用弱用户名和密码,或基于 SMS 的易受攻击的两因素身份验证,您的用户很容易受到日益复杂的网络钓鱼诈骗导致的帐户接管。但是这里有一个解决方案

网络钓鱼的工作原理

①用户看到的“真实”信息

为什么每个人都应该拥有这种廉价的安全工具 YubiKey

成功的网络钓鱼攻击使用真实信息,看起来像是来自真实的个人或企业,并营造出一种紧迫感来吸引用户点击。

最成功的攻击集中在诱使用户共享信息以进行交付或登录帐户。

②被骗用户登录

为什么每个人都应该拥有这种廉价的安全工具 YubiKey

一旦用户点击一个链接,他们通常会被定向到一个看起来与真实网站相同的虚假网站——甚至 URL 看起来也一样。

一旦用户在虚假网站上输入他们的凭据,网络犯罪分子就会立即使用用户被诱骗透露的用户名和密码登录真实网站。

③凭证被盗

为什么每个人都应该拥有这种廉价的安全工具 YubiKey

现在用户的凭据已被盗,并用于接管帐户。攻击者然后利用这些信息进行欺诈,勒索信息赎金,以谋取经济利益。

如何打击网络钓鱼?使用 YubiKey

物理安全很难被击败

当您的用户使用 YubiKey(一种硬件安全密钥)登录时,他们需要通过触摸或点击 YubiKey 本身来表示明确同意。

让您的用户亲自参与安全登录过程可以显着提高安全标准。

YubiKey 没有被愚弄

为什么每个人都应该拥有这种廉价的安全工具 YubiKey

即使用户被欺骗,YubiKey 也不会被欺骗。YubiKey 将用户登录绑定到原始网站的 URL。只有真实站点才能使用密钥进行身份验证。

这意味着虽然用户可能会被诱骗认为网站是真实的,但 YubiKey 不会泄露他们的凭据,从而保护您的业务。

冒充变得更难

虽然网络犯罪分子可能会通过网络钓鱼或数据泄露获取用户名和密码,但没有 YubiKey 他们无法登录。登录需要实际拥有密钥。

通过使用 YubiKey,您的用户身份成为登录过程的关键部分,显着提高了安全性。

硬件胜于文字

为什么每个人都应该拥有这种廉价的安全工具 YubiKey

用于验证用户身份或重置密码的短信可能会被网络犯罪分子拦截。YubiKey 无法远程拦截,因为它是物理钥匙,就像房子钥匙一样。

通过使用 YubiKey 及其基于硬件的身份验证来证明用户的身份,即使是拥有用户凭据的网络犯罪分子也无法模仿他们的实际存在进行登录。

有哪些公司在使用YubiKey

Google

Facebook

CERN

等等…..

YubiKey已支持的服务或平台

为什么每个人都应该拥有这种廉价的安全工具 YubiKey
  • 1Password
  • AWS
  • Bitbucket
  • Bitwarden
  • Compose
  • Dashlane
  • Digidentity/GOV.UK Verify
  • Dropbox
  • Facebook(仅Google Chrome和Opera)
  • FastMail
  • GitHub(仅Chrome和Opera)
  • Gitlab
  • Google(仅Chrome)
  • KeePass
  • KeePassXC
  • Kraken (bitcoin exchange)
  • LastPass
  • MacOS 10.12 Sierra或更高版本
  • Mailbox.org
  • Micro Focus
  • Microsoft Windows Server 2008 R2或更高版本,Microsoft Windows 7或更高版本。
  • Namecheap
  • Nextcloud
  • Okta
  • Password Safe
  • PAM
  • Posteo
  • Salesforce
  • Sentry
  • Stripe
  • Termius
  • Thexyz
  • Vanguard

本文并非为 YubiKey 打广告,只是告诉你有这么个东西可以保护隐私.

转载请注明出处及链接

2 comments

Leave a Reply

您的电子邮箱地址不会被公开。