科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道Yubikey: 具有潜力的密码解决方案

Yubikey: 具有潜力的密码解决方案

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

Yubico推出的Yubikey实现了廉价并且易用的OTP解决方案。它可以让用户不需要按一个按键即可输入超长的静态密码。

作者:ZDNet安全频道 来源:ZDNet安全频道【原创】 2009年6月2日

关键字: 信息安全 加密 密码 Yubikey

  • 评论
  • 分享微博
  • 分享邮件

ZDNet安全频道原创翻译 转载请注明作者以及出处

Yubico推出的Yubikey实现了廉价并且易用的OTP解决方案。它可以让用户不需要按一个按键即可输入超长的静态密码。
--------------------------------------------------------------------------------------------

  对于那些没有良好的身份识别和认证机制的系统来说,互联网是一个相当危险的环境。对于没有强壮密码保护的笔记本用户来说也是一样的。因此安全专家们一直在努力推广多因子认证(MFA)。但是这仍然存在问题。

  大部分电脑用户没有时间,技巧或者没有预算来自行搭建一个家庭内的身份验证环境,或者通过诸如VeriSign这样的厂商实现身份验证。而这一空白将由 Yubico的Yubikey来填补。

  Yubikey是什么?

  Yubikey(如图1所示)是一个小型的USB设备,在电脑看来,它是一个USB键盘设备。当将Yubikey接入电脑后,其上会亮起一个绿色的圆环,代表这个USB键盘已经可以正常传输字符了。

  

Yubikey: 具有潜力的密码解决方案

  图 1 (From Yubico Site)

  当按下Yubikey 上的按钮后,Yubikey 会生成一个44字符组成的字符串,其中包含了12个字符的Yubikey 设备ID,以及32字符的一次性密码(OTP),如图2所示。字符被限制在字母表内,如图3所示,以便限制密码的熵量。尽管限制了字符范围,但是由于是一次性密码,因此强壮性已经足够了。

  

Yubikey: 具有潜力的密码解决方案

  图 2

  

Yubikey: 具有潜力的密码解决方案

  图 3

  当用户按下按钮后,一次性密码生成,并经过Yubico在线验证服务器验证或在本地进行复制。验证是根据Yubikey的12个ID字符以及Yubico的时变代码生成的 。

  在写作本文之前,我曾经买过两个Yubikey(每个25美元),其中一个用作一次性密码(OTP),另一个用作静态密码。(下一部分会讨论如何配置和使用静态密码)。为了测试OTP的有效性,我首先在Clavid 上注册了一个OpenID。Clavid 是 Yubikey支持的众多厂商之一。

  Clavid 可以让我选择是采用Yubikey OTP或者OTP加密码的方式来登录,如图4所示。将密码(我所知道的)与Yubikey OTP (我所拥有的)结合起来,才是真正的MFA。 Clavid同时Yubikey via SAML。

  

Yubikey: 具有潜力的密码解决方案

  图 4

  虽然我认为OpenID 是一个不错的主意,但是并不是每个网站都会用到它。因此我继续寻找能够更广泛使用Yubikey的途径。在 MashedLife.com,我找到了答案。

  MashedLife.com可以让我为我上网所使用的所有账号建立一个统一的账号。我可以使用自动登录功能访问那些支持Mashelife.com的站点。虽然每个网站仍然有自己独立的密码,但是我可以使用我的Yubikey和PIN码登录我的MashedLife.com 帐户。图5显示了登录界面。我可以使用Yubikey或传统密码登录。

  

Yubikey: 具有潜力的密码解决方案

  图 5

  提供了我的Secure Key后,我又被提示需要输入建立帐户时的PIN码。此处又是真正的 MFA 验证机制。

  在安全性上Yubikey毫无问题,但是由于它还比较新,能够支持Yubikey的一次性密码的厂商还不够多。那么该如何使用Yubikey实现传统密码输入呢?

  配置静态密码

  Yubico 提供了一个工具,可以将 Yubikey从OTP生成器转换为静态密码库。转换后,在每次按下按钮时,Yubikey都会输入一段相同的密码字符串。这种方式对于将一长串无规律的随机字符串作为密码的情况来说,非常有用。

  转换功能的第一步是 下载Personalization工具。 不过要小心,这个工具可能会让你的Yubikey 今后都无法再当做OTP生成器来用了。

  转换工具如图6所示,使用很简单。箭头所指的复选框就是转换的关键选项。转换完毕后,你就可以向Yubikey 中存入任意一个静态密码了,并且应该尽可能的强壮。

  

Yubikey: 具有潜力的密码解决方案

  图 6

  总 结

  我本人非常喜欢 Yubikeys。不过我更希望能有越来越多的网站支持OTP功能。到那个时候,我就可以只携带两个Yubikey了,一个用于输入静态密码,一个用于输入OTP。Yubikey本身非常小巧,因此完全可以放在上衣口袋里或者钥匙包里,甚至我的皮质iPod Touch包里面。

  唯一让我感到有些困扰的是,Yubikey有时候需要实施MFA。由于本身的安全性已经得到了保证,因此这个过程看起来有些过分注重安全性了。然而,要真正支持MFA,就必须在输入Yubikey生成的OTP或静态密码的同时再输入PIN码或密码。换个角度想,和我所拥有的其它物品一样,Yubikeys也存在着丢失或者被盗的可能。因此我不会只依赖于Yubikey和后台服务器的保护。如果在使用Yubikey的同时再输入一个比较容易记忆的4-5位数PIN码,并不是一件麻烦事。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章