什么是硬件安全密钥以及它们如何工作?

中心论点

  • 双因素身份验证 (2FA) 对于保护在线帐户至关重要,它要求您使用只有您知道的信息执行两次身份测试。
  • 硬件安全密钥代表物理加密狗,它取代了手机上的第二个身份验证因素,提供针对安全漏洞的增强保护。
  • 许多制造商生产可与流行的网络浏览器、应用程序和在线服务配合使用的硬件安全密钥,使其易于使用且相对便宜,可提高帐户安全性。

如果您在网上有一个仅受密码保护的帐户,那么无论现在它有多好,它都还不够。 这就是为什么如何处理双因素身份验证比以往任何时候都更加重要。

但是,如果您认为个人安全漏洞不仅会严重影响您的生活,还会严重影响您的家人、朋友或企业的生活,则您可能需要考虑购买硬件安全密钥(如果您还没有)。 我们解释什么是硬件密钥以及市场上有哪些选项。

到底什么是双因素身份验证 (2FA)?

双因素身份验证(也称为 2FA)意味着您必须使用只有您知道的信息完成两次身份测试才能访问帐户。

对于第一个元素,几乎所有平台都默认使用默认密码,但其中一些平台开始支持密钥。 如果你不知道什么是万能钥匙 我们对此有一个解释

第二个要素应该更难; 因此,这些方法可能会有很大差异。 Google 提供了一整套第二因素方法来检查您手中是否有已经登录的手机 Google 帐户同时在其他地方登录。 实际上,大多数服务都只提供几个选项,例如通过短信发送到您的手机号码或在身份验证器应用程序中生成的一次性密码。

依赖手机信息来验证登录的第二个因素的问题是,如果恶意行为者占有您的手机或可以破解和拦截数据,您对帐户的访问很容易受到损害。

什么是硬件安全密钥?

谷歌 Thetis、尤比科

这就是硬件安全密钥发挥作用的地方。

它们也简称为安全密钥、通用第二因素 (U2F) 密钥或物理安全密钥。 他们剥夺了您手机的第二个身份验证因素,并将其变成一个物理(但很小)的加密狗,可以在需要时插入您选择的设备。当您登录时,您会发现可以通过 USB-A、USB- C、Lightning、NFC、蓝牙均可连接。 您可以将它挂在钥匙扣或背包的暗角上,然后随身携带。

您可以有效地将单个硬件安全密钥用于任意数量的帐户。 通常,您可以物理插入安全密钥或将其与所需设备无线配对,然后在登录过程中出现提示时按密钥本身的按钮。 然后,您的网络浏览器或应用程序将请求安全密钥。 它将以加密方式签署此挑战,验证您的身份和您想要访问的任何内容。

许多制造商生产硬件安全密钥,并与最流行的网络浏览器以及数百种应用程序和在线服务配合使用。 他们甚至可以帮助您登录工作场所。 总体而言,它们使用起来并不困难,而且相对便宜。 几乎所有其他形式的双因素身份验证都无法提供相同级别的保护。

安全密钥如何工作?

当您首次使用硬件安全密钥设置服务时,双方会随机生成公钥和私钥对 – 公钥被发送到服务器,但私钥永远不会离开您的硬件密钥。 您的硬件密钥还会发送一个称为随机数的随机数,用于生成您的密钥,以及另一个称为校验和的数字,用于标识您的特定硬件安全密钥。

当您将凭据输入在线帐户时,服务器会将此随机数和校验和发送回您的硬件安全密钥和另一个数字。 物理硬件密钥使用随机数和校验和重新生成其私钥,然后对服务器发送给它的数字进行签名,最终使用您的公钥验证并解锁您的在线帐户。

安全密钥如何存储、呈现和验证凭证的总体标准由 FIDO 联盟制定,该联盟是一个包括 Amazon 等科技公司的工作组。 Apple、Google 和 Microsoft,以及生产 1Password 和 Dashlane 等密码管理器的公司,甚至还有美国银行和 PayPal 等金融机构。

这一切听起来很复杂。 但是,这会在后台发生,除了将硬件安全密钥插入设备之外,您无需执行任何操作。 硬件安全密钥还使用网站的原始域来生成密钥,这意味着网络钓鱼网站无法欺骗它们。

我们还应该注意到,大多数硬件密钥还可以为有限数量的服务存储和提供静态密码和基于时间的一次性密码(如身份验证应用程序中的密码)。 当涉及到硬件密钥的实质内容时,您应该注意的主要标准是 FIDO2。

在哪里可以使用硬件安全密钥?

您可以使用硬件安全密钥登录许多运行 ChromeOS、macOS 等的桌面和移动设备。 Windows, Android、iOS等操作系统。 这些相同的设备还通过支持在线服务和应用程序(包括 X(以前的))来促进硬件密钥登录。 Twitter), Facebook, Google, Instagram, Reddit、GitHub、Dropbox、Microsoft 帐户服务、任天堂等。 大多数网络浏览器喜欢 Google Chrome 和 Mozilla Firefox 还支持硬件按键。

在投资之前,您应该检查您最常用的在线帐户以及您的设备是否支持安全密钥。 一些安全密钥的FIDO2标准也可以使用 Windows 你好,微软 Edge Browser。

如果我丢失硬件安全密钥或被盗,会发生什么情况?

除了您的帐户凭据之外,您的硬件安全密钥也起作用。 因此,如果有人窃取了您的密钥,他们在不知道您的用户名和密码的情况下将无法访问您的帐户。 即使您丢失了安全密钥,您也可以随时使用双因素身份验证的替代方法。 然后,您可以访问您的在线帐户,删除关联的安全密钥,然后添加不同的安全密钥或继续使用备份方法。

如何设置安全密钥

正如我们上面详细介绍的,所有硬件安全密钥的工作原理通常都是相同的,但它们的设置方式因应用程序和设备而异。 为了让您了解如何使用在线帐户,我们详细介绍了配对安全密钥的具体步骤 Facebook 然后登录您的帐户:

关闭

  1. 在应用程序或网站上,选择屏幕右上角的个人资料图片,然后单击 设置和隐私然后 设置
  2. 您将看到一个指向元帐户中心的面板。 选择 欲了解更多信息,请参阅账户中心
  3. 选择 密码和安全然后 双因素身份验证
  4. 选择 Facebook 您想要使用硬件密钥保护的帐户。 系统可能会要求您重新输入密码。
  5. 然后,您将收到一份 2FA 选项列表。 选择 安全密钥 然后罢工 下一个
  6. 选择 注册安全密钥。 然后,您设备的操作系统会询问您要配对的安全密钥类型 – NFC、蓝牙或 USB。 确认您的密钥类型,然后继续执行下一个提示。
  7. 将安全密钥连接到设备,然后点击密钥的按钮。 您应该会收到一条确认消息。

哪种硬件安全密钥最好?

Yubico 参与了 FIDO U2F 身份验证标准的开发,是硬件密钥领域较知名的品牌之一,并提供各种型号。 Google 有自己的 Titan 密钥,于 2023 年底更新。 其他安全密钥制造商包括 Kensington 和 Thetis。

我们在 Pocket-lint 上其他地方的专门文章中汇总了所有最佳硬件安全密钥的具体选择。