能够提供在线保护的五种硬件密钥-开发者社区

译者 | 陈峻

审校 | 孙淑娟

多年以来，提供我们最为熟悉的线保身份验证方式，莫过于用户名和密码这对组合了。种硬但是提供，即使您已经养成了非常良好的线保密码设置与使用习惯，密码也始终是种硬一种安全隐患。道理其实很简单，提供首先，线保我们人类本身就不擅长记住密码，种硬更不擅长创建复杂的提供强密码。其次，线保大多数用户会倾向于为多个账户创建并使用相同的模板下载种硬密码。因此，提供这就会导致：如果一个账户遭遇到了入侵，线保其余账户也将面临相同的种硬风险。

为了应对此类风险，我们通常会建议大家使用硬件安全密钥（Hardware Security Keys）。不过，在目前的市场上，您会发现有着种类丰富的硬件安全密钥可供选择，那么究竟该如何选用哪一类中的哪一种密钥呢？下面，我将向您介绍和比较当前较为常见的、高防服务器能够提供在线保护的5种硬件密钥。

1. YubiKey系列

Yubico是硬件安全密钥领域的行业领导者。由该公司所提供的安全密钥可满足从个人家庭用户到专业开发人员，从小微公司到大型企业等广泛的用户场景需求。目前，其最为流行的YubiKey版本包括：

YubiKey 5 NFC

YubiKey 5 NFC是一款紧凑、轻便且耐用的密钥。它可与包括Facebook、香港云服务器Google Chrome 、Dropbox、以及LastPass等许多应用服务相兼容。此外，YubiKey 5 NFC还支持包括OpenPGP、FIDO U2P 、OTP、以及智能卡在内的多种安全协议。

YubiKey C Bio

YubiKey C Bio是少数具有生物特征认证功能的密钥之一。它使用三层芯片架构，将您的生物特征信息存储在单独的安全元件之中。源码库当然，您也可以通过设置PIN码，在不支持生物识别的场景中使用它。该密钥采用了USB-A和USB-C两种外观类型，并能够支持U2F（Universal 2nd Factor，通用第二因素）和FIDO2（Fast Identity Online ，线上快速身份验证服务）两种安全协议。不过，Bio系列并不适用于LastPass ，因此对于某些用户来说，这可能会破坏其交易过程。

YubiKey 5 Nano

如果您需要的是一种紧凑型的硬件安全密钥的源码下载话，那么YubiKey 5 Nano会比较适合您。它同样采用了USB-A和USB-C两种外观类型，并能够支持包括OTP、FIDO U2F 、OpenPGP、OATH-TOTP、以及HOTP在内的多种安全协议。当然，其微小的尺寸是有代价的。与其他YubiKey不同，Nano密钥既不耐压，云计算又不适用于移动设备。

2. Kensington VeriMark

插入笔记本电脑的Kensington安全密钥，图片来源：Kensington VeriMark™ 指纹密钥

Kensington VeriMark指纹密钥使用的是，具有360度可读性与防欺骗保护的生物识别技术。为了便于多个用户可以登录同一台设备，VeriMark最多能够支持10个指纹。

VeriMark是具有加密狗外形的紧凑式便携密钥。由于其长度只有1.2英寸，因此您可以将它系到钥匙链上，而不会觉得过于沉重。如上图所示，您甚至可以在上下班途中，将其保持与笔记本电脑的连接，并放入包中。

Kensington密钥不但支持多种协议，并且可以与Dropbox 、GitHub、Facebook、以及Google等基于云端的账户，流畅地配合使用。不过，它缺乏对NFC的支持，以及与macOS和Chrome OS的兼容性。

3. Google Titan安全密钥

Google-Titan-Security-Key ，图片来源：谷歌商店

作为Google的物理安全密钥版本，Titan密钥适用于那些希望通过多因素身份验证，来保护其账户的新手。由于它提供了USB-C和NFC支持，因此您可以与几乎任何设备一起连接使用。

虽然该密钥不会读取用户的指纹，但是您可以按住密钥的中心位置，来实现网站的登录。目前，Titan密钥仅支持FIDO U2F—这种较为陈旧的协议。因此与其他硬件安全密钥相比，它在此方面处于劣势。

此外，与Kensington VeriMark密钥或YubiKeys不同，Titan密钥不支持生物识别，当然这也就免去了各种额外设置。因此，若要使用该密钥，您只需导航到支持此类硬件密钥的站点，将Titan密钥添加到您的账户中，按照其操作向导逐步操作完成即可。

4. CryptoTrust OnlyKey

CryptoTrust-OnlyKey，图片来源：CryptoTrust OnlyKey

如上图所示，CryptoTrust OnlyKey具有其他竞品所不具备的一些独特功能：从设计开始，OnlyKey便提供了一个区别于键盘记录器的板载键盘。由于您需要从密钥的本身输入密码字符，因此即便是网站应用遭遇到了入侵，您的账户仍然可以保持安全性。

当然，您也可以使用额外的PIN码，来保护自己的密码。据此，您可以让OnlyKey成为一种多因素身份验证的设备。值得一提的是，作为密码管理器，它还包含了自毁和加密备份等其他功能。此处的自毁功能是指，它会在多次错误尝试之后，自动擦除设备里的信息，以保护对应的账户免受暴力攻击的迫害。

话说回来，CryptoTrust OnlyKey唯一令用户失望的是，它比其他竞品在外观略显笨重，且界面较为简陋。

5. Apple Passkeys

面向开发人员的Apple Passkeys主页，图片来源：Apple

Passkeys是Apple版本的安全密钥，可用于提供快速安全的身份验证方法，即依靠Touch ID和Face ID技术，对用户进行身份验证，而无需输入密码。虽然此项功能并不会涉及任何USB记忆棒，但它需要依赖于您的设备（如电脑）来完成身份验证。以下便是Apple Passkeys的工作原理：

在网站或应用程序启用了该项功能后，密钥将被存储在用于对其设置计算机或手机上。您可以使用iCloud密钥串在所有设备上与之同步。而当您想登录非Apple的设备、或是非PC设备时，您可以使用iPhone去扫描二维（QR）码，以完成整个身份验证过程。

Apple的Passkeys登录方法也可以被用在iOS 16 、iPadOS 16、以及macOS Ventura上。它将通过消除密码的使用，来保护用户免受网络钓鱼等攻击。

由于这项技术仍处于早期阶段，因此各大网站和应用尚无法强制要求用户立即使用Passkeys。它们往往需要与密码一起被使用。不过，我们预期凭借着Apple这样的大平台，它将来必将成为主流。

硬件安全密钥值得采用吗？

如上所述，硬件安全密钥目前并不完善。并非所有的网站都能够支持它们，而且有时候我们设置起来也较为麻烦。此外，硬件密钥一旦丢失，用户将无法完成身份认证的必要环节。

当然，从技术上说，安全密钥仍然比传统的MFA（多因素身份认证）的方法更为安全。毕竟，基于SMS（短信）的认证方法，容易受到SIM卡劫持类型的攻击，而被普遍使用的身份验证器（authenticator）类型的应用，也有着其自身的局限性。可见，相比之下，基于硬件的安全密钥更易于提供更强的安全性。最后提醒您，请至少使用两个硬件安全密钥：一个日常使用，一个作为备用，以防丢失常用的那个密钥。