Yubikey: 具有潜力的密码解决方案

ZDNet安全频道原创翻译 转载请注明作者以及出处

Yubico推出的Yubikey实现了廉价并且易用的OTP解决方案。它可以让用户不需要按一个按键即可输入超长的静态密码。
--------------------------------------------------------------------------------------------

　　对于那些没有良好的身份识别和认证机制的系统来说，互联网是一个相当危险的环境。对于没有强壮密码保护的笔记本用户来说也是一样的。因此安全专家们一直在努力推广多因子认证(MFA)。但是这仍然存在问题。

　　大部分电脑用户没有时间，技巧或者没有预算来自行搭建一个家庭内的身份验证环境，或者通过诸如VeriSign这样的厂商实现身份验证。而这一空白将由 Yubico的Yubikey来填补。

　　Yubikey是什么?

　　Yubikey(如图1所示)是一个小型的USB设备，在电脑看来，它是一个USB键盘设备。当将Yubikey接入电脑后，其上会亮起一个绿色的圆环，代表这个USB键盘已经可以正常传输字符了。

　　图 1 (From Yubico Site)

　　当按下Yubikey 上的按钮后，Yubikey 会生成一个44字符组成的字符串，其中包含了12个字符的Yubikey 设备ID，以及32字符的一次性密码(OTP)，如图2所示。字符被限制在字母表内，如图3所示，以便限制密码的熵量。尽管限制了字符范围，但是由于是一次性密码，因此强壮性已经足够了。

　　图 2

　　图 3

　　当用户按下按钮后，一次性密码生成，并经过Yubico在线验证服务器验证或在本地进行复制。验证是根据Yubikey的12个ID字符以及Yubico的时变代码生成的 。

　　在写作本文之前，我曾经买过两个Yubikey(每个25美元),其中一个用作一次性密码(OTP)，另一个用作静态密码。(下一部分会讨论如何配置和使用静态密码)。为了测试OTP的有效性，我首先在Clavid 上注册了一个OpenID。Clavid 是 Yubikey支持的众多厂商之一。

　　Clavid 可以让我选择是采用Yubikey OTP或者OTP加密码的方式来登录，如图4所示。将密码(我所知道的)与Yubikey OTP (我所拥有的)结合起来，才是真正的MFA。 Clavid同时Yubikey via SAML。

　　图 4

　　虽然我认为OpenID 是一个不错的主意，但是并不是每个网站都会用到它。因此我继续寻找能够更广泛使用Yubikey的途径。在 MashedLife.com，我找到了答案。

　　MashedLife.com可以让我为我上网所使用的所有账号建立一个统一的账号。我可以使用自动登录功能访问那些支持Mashelife.com的站点。虽然每个网站仍然有自己独立的密码，但是我可以使用我的Yubikey和PIN码登录我的MashedLife.com 帐户。图5显示了登录界面。我可以使用Yubikey或传统密码登录。

　　图 5

　　提供了我的Secure Key后，我又被提示需要输入建立帐户时的PIN码。此处又是真正的 MFA 验证机制。

　　在安全性上Yubikey毫无问题，但是由于它还比较新，能够支持Yubikey的一次性密码的厂商还不够多。那么该如何使用Yubikey实现传统密码输入呢?

　　配置静态密码

　　Yubico 提供了一个工具，可以将 Yubikey从OTP生成器转换为静态密码库。转换后，在每次按下按钮时，Yubikey都会输入一段相同的密码字符串。这种方式对于将一长串无规律的随机字符串作为密码的情况来说，非常有用。

　　转换功能的第一步是 下载Personalization工具。 不过要小心，这个工具可能会让你的Yubikey 今后都无法再当做OTP生成器来用了。

　　转换工具如图6所示，使用很简单。箭头所指的复选框就是转换的关键选项。转换完毕后，你就可以向Yubikey 中存入任意一个静态密码了，并且应该尽可能的强壮。

　　图 6

　　总 结

　　我本人非常喜欢 Yubikeys。不过我更希望能有越来越多的网站支持OTP功能。到那个时候，我就可以只携带两个Yubikey了，一个用于输入静态密码，一个用于输入OTP。Yubikey本身非常小巧，因此完全可以放在上衣口袋里或者钥匙包里，甚至我的皮质iPod Touch包里面。

　　唯一让我感到有些困扰的是，Yubikey有时候需要实施MFA。由于本身的安全性已经得到了保证，因此这个过程看起来有些过分注重安全性了。然而，要真正支持MFA，就必须在输入Yubikey生成的OTP或静态密码的同时再输入PIN码或密码。换个角度想，和我所拥有的其它物品一样，Yubikeys也存在着丢失或者被盗的可能。因此我不会只依赖于Yubikey和后台服务器的保护。如果在使用Yubikey的同时再输入一个比较容易记忆的4-5位数PIN码，并不是一件麻烦事。