您可以对任何在线服务采取的最重要的安全防范措施之一是打开双因素身份验证(2FA)。(有些服务将2FA称为多因素身份验证或两步验证,但底层技术是相同的。)
2020年最佳安全密钥:基于硬件的在线保护双因素认证
虽然健壮的密码可以很好地保护您有价值的在线帐户,但是基于硬件的双因素身份验证将这种安全性提升到了一个新的水平。
在启用了这种额外的保护之后,任何希望在新设备上登录服务的人都必须提供除密码之外的第二种形式的身份验证。这个额外的步骤,至少在理论上,可以防止攻击者使用窃取或钓鱼的凭证来登录服务。
最常见的第二个因素是安装在智能手机上的验证应用程序生成的短信和代码。(有关authenticator应用程序的更多信息,请参见“保护自己:如何选择正确的双因素authenticator应用程序”)但还有一个额外的选项:一个基于硬件的安全密钥,它可以插入USB端口或通过在支持nfc的移动设备上的一个按键进行连接。
披露:ZDNet可能会从本页上的一些产品中赚取附属佣金。ZDNet和作者没有因为这篇独立的评论而得到补偿。
在过去的一周里,我一直在测试Yubico提供的两个安全密钥。yubikey 5 NFC(45美元)是一款轻薄但坚固的设备,适合标准的USB Type-A端口,也支持NFC连接;yubikey 5Ci(70美元)更小,但同样结实,一端有USB Type-C接口,另一端有ios兼容的Lightning接口。
既然基于软件的选项是免费的,为什么还要为这种安全性付费呢?主要是因为基于硬件的密钥比基于SMS和软件的选项要安全得多。这对记者、活动人士和为银行和国防承包商等高价值目标工作的人来说尤其如此。就像联邦调查局几个月前警告的那样,sim交换和其他攻击可以绕过2FA保护。
另一方面,基于硬件的安全,远程攻击的成功难度要大得多。要登录,您必须插入密钥,然后在提示提交身份证明时点击它。
我测试的Yubikey设备支持数百个使用少量标准的服务,包括FIDO2 Web Authentication (WebAuthn)。完整的支持服务列表可以在Yubico网站上找到,在那里您可以搜索和筛选找到您感兴趣的服务。值得注意的是,对基于硬件的身份验证的支持被认为是许多服务的高级特性;例如,如果您使用密码管理器LastPass、Dashlane或Bitwarden,则必须升级到企业、高级或企业计划,以启用安全密钥作为第二个因素。
我对这两款YubiKey设备都进行了测试,使用的是你可能会经常使用的典型服务,包括1Password、Dropbox、Namecheap、GoDaddy和Twitter。我还使用了硬件密钥来保护微软和谷歌帐户,以及在MacBook Pro上登录本地帐户。
总的来说,安装过程快捷简单,而且安全密钥在Windows 10个人电脑或Mac电脑上都运行良好,可以使用任何现代的桌面浏览器。我在Windows 10上使用基于Chrome的Microsoft Edge和谷歌Chrome,在Mac上使用Edge、Chrome和Safari。Firefox和Brave也都能兼容这些设备。
在每种情况下,设置过程都是类似的。打开该服务的网站,使用当前设置的任何2FA选项进行身份验证,导航到安全设置页面,并选择配置安全密钥的选项。这触发了一个请求,就像这里显示的;按照说明,包括轻敲硬件上的指定联络点,以保存密钥上的凭据。
当您将硬件密钥作为2FA因素注册时,服务(在本例中为Microsoft帐户)将所需的凭据存储在设备本身上。
对于某些站点,我可以配置两个密钥,但是其他站点,例如Twitter(如下所示)只支持一个硬件密钥。要替换密钥,必须禁用该方法,然后重新启用该方法并再次运行安装程序。
Twitter提供了多达三种2FA方法的选择;注意,我已经禁用了SMS来进行身份验证。
Yubico还制作了一个验证器应用程序,它的工作原理和其他的TOTP代码生成器一样,只是它需要点击硬件密钥才能激活。
对于大多数情况,将硬件密钥配置为受信任的第二个因素是相当快速和简单的。然而,我遇到了两个应用程序,在使用YubiKey之前,我必须做一些额外的工作。
第一个是Microsoft Azure Active Directory帐户,用于Office 365业务订阅。消费者微软帐户直接支持硬件密钥,但对于企业帐户,使用硬件密钥的多因素身份验证仍然是一个正式的预览。要启用它,我必须转到Azure AD管理中心,然后单击security settings,进入这里显示的Authentication Methods页面。
要在Office 365中使用硬件安全密钥,管理员首先必须在Azure AD管理中心启用此方法。
一旦任务完成,设置传播到我的测试帐户需要几分钟的时间。在注销和重新登录之后,我可以访问https://myprofile.microsoft.com,用Azure广告帐户登录,并创建新的安全设置。
一旦启用了必要的支持,用户就可以为Office 265和其他Azure AD服务注册一个安全密钥。
另一个我需要做一些意想不到的工作的地方是设置使用YubiKey 5Ci作为智能卡登录到MacBook Pro。在这个过程中,我必须下载YubiKey Manager应用程序,并使用特权和身份证(PIV)应用程序运行一个三步过程。
你需要使用YubiKey Manager应用程序设置一个YubiKey作为登录Mac的智能卡。
这是一个非常简单的过程,包括替换智能卡模拟的默认用户PIN,然后生成一对密钥。但设置完成后,我就可以跳过输入冗长复杂的密码来登录了。相反,我只需点击YubiKey,然后输入一个六位数的PIN。
如果你使用的是运行Windows 10的电脑,这听起来可能很熟悉,因为它本质上是Windows Hello的变体。不同之处在于,Windows 10将该设备及其TPM芯片视为智能卡,允许用户通过PIN或生物认证登录。但如果你想跳过Windows Hello而使用外部硬件设备,你也可以在Windows 10中这样做。
不幸的是,这种体验在移动设备上并不那么顺畅。
你可能会认为,YubiKey 5Ci的双头设计,一端是USB Type-C,另一端是Lightning连接器,对于普遍使用这两个端口之一的现代移动设备来说是非常理想的。可惜,事实并非如此。
Yubico在其文档中指出,Lightning连接器有“新兴的支持”。我发现时的情况,例如,我试图登录到GoDaddy应用但收到一条错误消息,认证方法不支持的浏览器或应用程序。同样地,试图验证Namecheap上应用导致了错误消息。
在移动设备上使用硬件安全密钥可能会令人沮丧。
我成功地在iPhone上登录了Namecheap、Twitter和使用YubiKey 5 NFC的浏览器中的GSuite管理面板,我学会了如何在iPhone上点击NFC阅读器的按键。在运行Android的一加7专业版电脑上,我在微软Edge上的安全密钥无法验证我的身份,但在Chrome上却运行得完美无瑕。不过,在iPhone XS上实现NFC连接并不像在iPhone XS上那么容易,因为一加手机上安装了NFC阅读器。
对于那些同时使用MacBook Pro或Windows电脑(只有USB Type-C接口)的人来说,iphone上对闪电接口支持的缺乏是真正令人沮丧的地方。YubiKey 5 NFC使用的是USB a -to- c适配器或加密狗,但这远不如小巧的YubiKey 5Ci优雅。
在使用多因素身份验证时,您学到的最重要的经验之一就是始终有一种备份的身份验证方法。几乎每个支持2FA的站点都提供打印备份代码的选项,以便在其他身份验证方法不可用时使用。例如,如果你在同一部智能手机上设置了一项使用短信和身份验证应用程序的服务,如果手机丢失、被盗或损坏,你就会陷入麻烦之中。
在测试Namecheap对硬件密钥的支持时,我确认了这一点。尽管域注册商支持三种不同的2FA方法,但您必须选择一种,而且只能选择一种。当我在测试期间错误地设置了一个硬件密钥时,我非常高兴地打印出了恢复代码,其中一个代码让我立即返回。
这两款YubiKey设备被设计成可以安装在钥匙链上,这意味着对于大多数人来说,它们总是触手可及。因为我主要在同一个位置工作(特别是在当前封锁期间),所以我更喜欢将YubiKey保存在我的笔记本电脑中,这样在需要批准身份验证请求时,我就不必摸索我的密钥了。对于这款应用,50美元的YubiKey 5 Nano或60美元的5C Nano可能是更好的选择。但这一选择意味着放弃移动设备对NFC的支持。
正如我在开始所说的,使用硬件密钥的主要原因是为了避免使用可能会被窃取的电话号码的风险。对于那些允许你通过电话号码关闭身份验证的服务,一个硬件密钥和一个基于智能手机的authenticator应用程序的组合,以及一组锁在文件抽屉里的备份代码,是理想的解决方案。不幸的是,对于不允许您禁用SMS作为2FA方法的服务,这是不可能的。