yubikey介紹
其實現在我也還沒有拿到自己買的那個yubikey,本來想的是想好好體驗一下再寫一篇相關的介紹,但這周也補習了一些相關的知識,單純的分享一下。以後如果體驗後有新的感受再更新吧。
1.yubikey是什麼
yubikey簡單的說是一個硬件認證設備,以往賬戶認證單純的依靠賬號密碼進行確認用戶,但隨着算力增強,暴力破解使傳統密碼失去安全性,後來慢慢加入驗證碼,但這個也很快被人攻破,即使使google的驗證碼接口ReCaptcha也已經被攻破,並且已經開源,Github項目地址,普通的驗證碼更不用說,burpsuite可以直接破解。然後就是手機驗證碼,這一種解決方案相對來說還是比較安全的,雖然說有相關利用相關技術盜取手機卡信息,但整體來說可行性還是很差的。最後介紹一下博文的主題——MFA(Multi-factor authentication),包括2FA(Two-factor authentication),這是一種動態密碼認證器,每隔一段時間更新一次驗證碼,破解理論上來說是不可能的,除非有非常強大的算力。其中這類的軟件,包括Goolge身份認證器以及一些其他的(只用過google身份認證器),硬件的話包括我們常見的U盾等,而yubikey就是其中的比較優秀的一款,目前的話國內還是比較冷門,自己也是出於感興趣的緣故買了一款,想研究一下。功能還是挺多的。相關的配置,這個地址有介紹,yubikey入門。
2.yubikey使用
- yubikey可以用於windows解鎖,只需要在商店中下載YubiKey for Windows Hello,按照引導配置即可。
- yubikey開啓google賬戶MFA。
- yubikey支持lastpass
3.感受
相關的支持真的很多。不過對於這塊,國內的做的確實不怎麼樣,已阿里雲來看,幾乎整套系統都是基於短信驗證碼驗證,對手機的依賴性太大,感覺這種模式太過單一,容易出現一些事故。騰訊雲的話沒有體驗過,但是國內的話感覺都差不多,包括絕大多數知名網站,手機號幾乎成了註冊必須填寫的,這種過於放大手機號碼的作用,總覺得不太好,反觀國外的包括AWS,GoogleCloud都在對接新的安全技術。起碼在這一塊,我覺得國內還是應跟上的。
4.總結
其實對於現在的密碼安全現狀還是覺得挺多感觸的,包括自己也曾經被釣過魚(高中的時候),其實在我看來,認證的本質是怎麼證明你是你,用戶密碼只是實現的一個手段。而一個好的認證系統不應該是依靠單一的自認爲足夠好的認證技術。認證做的我覺得跟應該像是AES加密標準中的加密模式而不是加密算法,隨着算力增強,算法會過時,而一種框架卻可以持續很長一段時間。包括生物認證技術,量子加密技術逐漸完善,我覺得未來應該是一個更加開放也更加隱私的時代,連接萬物,又隔離萬物。
