转跳到内容

感觉Yubikey用FIDO在当前环境下好鸡肋


只显示该作者

只有该作者的内容显示中。 返回到主题

推荐贴

看到Apple说支持物理密钥,就把购物车里的Yubikey 5下单了

结果Apple说必须要2个才能用:mx072:

Google就更好玩了,效力和Google Authenticator一模一样,只能做2步验证,登录依然要输入Google账号和密码

Microsoft就很搞,直接插上去选择物理密钥登录,输入物理密钥的FIDO PIN,就进去了,别说密码了,账号都不找你问

但Microsoft在Windows使用在线账户登录后,电脑本身就成了FIDO设备,而且在别的网站上添加物理密钥时默认弹出的是Windows Hello FIDO,你需要把这个窗口关掉才会弹出物理密钥的添加界面:173800820_SSB(6):

 

说实话,Yubikey也出了挺久了,FIDO都进入第二代了,然而怎么对待物理密钥这件事各家倒是完全没有统一,而且怎么验证也不能让用户做选择

按理说物理密钥作为独立安全设备,用作身份验证啥的不比密码香多了,而且现在Google和Microsoft拿移动设备做FIDO,总感觉不太妙

不知道坛友怎么看:1240732356_SSB(1):

 

,由ForPublic000修改
链接到点评
23 分钟前,失序说道:

:mx072:坛...坛友完全不知道该怎么看呢...

简单来说Yubikey就是种钥匙,但是这个钥匙是无法复制的,并且通过神奇的数学原理,可以向别人证明“我就是我,不可能有假货”

换言而之,他就是无敌门钥匙,开锁师傅来了也要花几百年几百万年甚至更久来对付

你看看这不比啥密码香多了,万一密码泄露随随便便就被人弄走了,但是你要弄走物理密钥,则必须从”物理“上弄走,而且物理密钥也可以设置密码,并用内置的专门芯片控制(例如输错3次直接销毁)

这么香的东西各家厂商虽然定了统一标准,但是对其的态度却完全不一样,就像前面说的,Google就认为这只是单纯的二步验证器(就像坛娘让你登录时,输入密码后再键入随时间变化的6位数字),Microsoft就直接将其视为登录凭证,完全相信物理密钥

但是现在像Google之类的,在推广基于移动设备的FIDO,就是让手机之类的提供安全的密钥处理环境。但有个问题,移动设备生态环境啥的本来就复杂,例如前段时间某APP就利用漏洞在手机里进行提权,让本来安全的设备瞬间变的不安全。而专用的物理密钥则没有这个问题,仅仅作为密钥而存在,使用的时候才会插入设备进行使用,即便出现物理安全隐患,买个新的就好了。

所以就挺难受的,老早就喊着消灭密码,到现在硬件都这么成熟了还是一个样:mx072:

 

,由ForPublic000修改
链接到点评
1 小时前,失序说道:

:59468f7933fd4_3_15:这个人居然真的很认真地解释了那么多

:wn015:感觉懂了一半的亚子,所以说这是个外置用来解锁登录的钥匙么?那用这个的话像我这亚子的人会不会经常因为丢三落四而耽误事情啊

 

可以说是用来解锁登录的钥匙,当然要是丢了的话,没有备用钥匙或者其他预留方法,就完蛋了:mx059:

1 小时前,月晓说道:

物理密钥我没用过,只用过app密钥

这个物理密钥可以干二步验证app的事,但是现在弄个物理密钥作为app的二步验证又有点太鸡肋,其他例如PIV或PGP兼容的又少。一时半会没专用需求真不建议购买:173800820_SSB(6):

36 分钟前,阿萨德法国红酒说道:

是和银行给的网银盾类似的东西吗,能输入第二道密码?可是如果弄丢了再补证明你是你的时候会不会有困难

差不多,只不过这个是通用版网银盾,至于丢失了会怎么样看情况,如果是作为唯一凭证的话那就完蛋,如果只是二步验证(就是网银盾类似的作用)用的话还有办法恢复的

坛娘大女神降落人间!ForPublic000如同做梦一般仰望,坛娘微笑着并抖了抖翅膀,留下了2羽毛

链接到点评
  • 攸薩锁定了本主题
游客
此主题已关闭。
×
×
  • 新建...

重要消息

为使您更好地使用该站点,请仔细阅读以下内容: 使用条款