随着网路时代将至,各类日常生活的服务开始透过网路云端化,我们要管理记忆越来越多的帐号及密码,不仅日渐庞大的帐号管理负担外,随着网路发达,数据泄露也弄成了普遍现象,你我的帐密个资都可能会由于网站的漏洞或各类数字病毒而引起外流,因而两步骤验证(2FA)已成为当前网路世界的重要工具。
两步骤验证,顾名思义就是帐号须要经过两次的登录验证,防止单次登陆因密码泄露而被有心人士窃占,最常见的有SMS邮件以及Email联结的第二验证。在本篇文章中,要介绍一种在欧美俄市场早已很热卖的资安商品──两步骤验证实体秘钥。
Yubico的各色实体秘钥
大部份用户会使用电话邮件或Email认证联结,进行第二重的登录验证,但也有好多消费者未必随时有网路或手机讯号,因此更中意这些个人专属、只认硬件的小工具。受疫情影响,好多欧美企业的职工都常年居家办公WFH,在没有资安部署的居家环境下登录工作相关服务,导致情报泄露的可能性大增,因而许多大企业也亲睐此类产品,定制给职工们使用以确保信息安全。
实体秘钥的使用非常简单,插入个人笔记本后即会手动安装驱动,再来是步入各类服务里的两步骤验证页面进行启用设定,将秘钥注册后命名即可,前后不超过三分钟的时间。
Facebook的双重验证秘钥设定页面
日后当登录此服务时,第一阶段的登录密码输入完成后,才会跳出请插入实体秘钥的页面,插入后轻触秘钥的感应钮即可通过认证。
当输入第一道密码后,浏览器会跳出页面让你插入已注册的实体秘钥
当插入了没有注册过的秘钥时,就难以通过验证
因为实体秘钥为独一性的,当秘钥坏掉或丢失时,可能再也没法登陆服务,所以建议使用者打算复数秘钥注册,或是设定备援形式(密码或简讯)防止困境发生。
提及实体秘钥,就必须介绍其所根据的资安规范,也就是FIDO(FastIdentityOnline)。FIDO是指由同名的非营利组织FIDO联盟所订定的一套网路辨识标准,目的是确保登陆流程中服务器及终端装置合同的安全性。而这套辨识标准透过私钥加密的构架,进行多重诱因验证(MFA)以及生物识别登录来保护云端帐号的数据。关于FIDO联盟的详尽历史,可至相关网站获得进一步的信息,本文中举出FIDO最重要的三大认证合同给你们做初步了解。
FIDOUAF(UniversalAuthenticationFramework)
主要使用生物识别来进行无密码登录的多重验证合同。常见的有指纹识别,声音识别等。
FIDOU2F(UniversalSecondFactor)
双诱因验证。本文介绍的实体秘钥主要就是支持此种合同,透过加密的实体秘钥来实现无密码登录。
FIDO2
最新的FIDO合同,是由万维网联合会(W3C)的网路验证尺寸(WebAuthentication,WebAuthn)以及FIDO的顾客端至验证器合同(Client-to-AuthenticatorProtocols,CTAP)所共同组成的。定义对各类浏览器以及平台的多重验证支持。
FIDOU2F以及UAF的认证标章。L1为产品支持的安全级别
双重认证实体秘钥即使在欧美销路不错,但相对也有不少客诉。我们锁定一款主打指纹识别,声称支持U2F以及UAF的热门秘钥产品来进行观测,对其在Amazon上累计的顾客不良回馈进行收集整理,分类归纳如下:
我们观察到,在使用者占比最高的Windows平台上,本产品的兼容性显然存在许多问题,即使不排除使用者本身环境造成的软硬件冲突可能性,但这么高的不良回馈比列,足以证明在兼容性上的确有很大的改善空间。
我们在Amazon购进了7款销路最好的U2F实体秘钥,并对她们进行兼容性测试,瞧瞧是不是真的有好多兼容性的问题存在。此次我们选聘的秘钥如以下所列:
以上的实体秘钥均声称支持U2F合同,也是这类产品在AmazonUS上的畅销商品。我们根据过往的兼容性测试经验以及其产品特点,设计了以下的简易测试组合规划。
笔电
浏览器
Chrome101.0.4951.67
才能进行兼容性测试的软硬件组合虽然好多,若要进行完整的扫描,则可以考虑下述的完整组合进行深入测试。
OS&Platform:
这种产品兼容性测试最重要的变因,Windows各世代、macOS、ChromeOS,以及手机平板的Android/iOS系统都可以纳入规划,Linux系统也可以考虑。
浏览器:
加入目前最多用户的四你们族系列:MicrosoftEdge,GoogleChrome,AppleSafari跟FirefoxMozilla。
Web服务:
支持U2F的常用服务是一定要列测的,Googleaccount,Microsoftaccount,Facebook,Twitter,Dropbox,GitHub等等。
Connect/Authenticate联接插口:
现有的秘钥联机界面有这4种,USB-A,USB-C,BT,NFC。
关于测试项目,实体秘钥的目的与功能非常单纯,从兼容性检证的角度设计如下:
透过以上的组合以及测试设计,我们对7款市售的多重认证实体秘钥进行简单的兼容性测试linux 电子书,并观察到以下的不良现象:
总结对实体认证秘钥的测试心得如下:
在Windows/Chromebook/MacBook的基本运作大多正常,时常在Windows下会有设备探测不到或YellowBang的问题,但在实际的网路帐号上可以运作成功。部份服务出现注册的Key难以被识别,可能跟操作有关,设定实体Key验证时最好要再有一个备援举措,防治丢失或损坏而未能登陆帐号的困境。观察Mac的双重验证机制,只开放电话码邮件,除此之外的验证方法都没有。可能是内建touchID早已足以双重保护使用者的关系,但对于单机的保护就不如Windows或Chrome可设定实体秘钥保护登录来的多元。Chromebook/MacBook本次测试使用都是Type-Conly的机种,而待测物大多为Type-A机种。为此我们透过AtoC转接头进行测试w3c linux,结果均未出现完全没法使用的问题,与先前预料透过转接会问题好多的结果不同w3c linux,但搭配转接头/Hub/Docking是使用者常见情景,非常建议加入测试组合。
资安类的产品在设计开发上有十分严格的要求,由于关系到订购者重要的情资财产问题,兼容性更是绝不能忽略的一环linux删除文件夹,试想,若由于临时须使用不熟悉的平台或浏览器进行帐号的登陆,却因兼容性问题导致已注册好的秘钥难以被辨识或运作,使用者将急剧减少对品牌产品的信任与好感。
