和密碼說再見!Yubikey 推出從筆電到手機「一體適用」的 NFC 安全金鑰

作者 | 發布日期 2020 年 09 月 11 日 8:15 | 分類 網路 , 資訊安全 Telegram share ! follow us in feedly


Yubico 9 日發表售價 55 美元的全新硬體安全金鑰 YubiKey 5C NFC,為想在筆電和手機使用單一金鑰的使用者,提供全新的安全登錄功能與體驗。它可插入 PC / 手機的 USB-C 埠或透過 NFC(近場通訊)無線連接手機,被認為是目前最強大的身分驗證方式。 

總部位於瑞典的 Yubico 是硬體安全金鑰的最大供應商,小型裝置通常會搭配第二種身分驗證法,如登錄微軟、Google、Facebook 和 Twitter 等網站使用的密碼,以阻止駭客入侵。透過搭配像指紋或臉部辨識等生物特徵資訊,硬體安全金鑰可幫助你完全擺脫密碼的束縛。

「一組密碼走天下」成為嚴重通病,5.72 億組外洩密碼在網路滿天飛

目前最麻煩的是沒有萬用金鑰,所以人們不得不為不同裝置攜帶或儲存不同金鑰。舉例來說,像 MacBook 之類筆電只有 USB-C 連接埠,所以 USB-A Yubikeys 等傳統舊型 USB 金鑰就必須透過轉接頭才能使用,而 iPhone 更只有 Lightning 連接埠。這意味著使用者需要購買並攜帶更多電子小玩意兒登錄網站,但不免有搞丟的風險與擔憂。

同時支援 USB-C 與 NFC 的 YubiKey 5C NFC,不但解決上述麻煩,並有望成為最受歡迎且安全性遠勝密碼(使用者不再需要背密碼,或甘冒「一組密碼走天下」的風險)的身分驗證機制。

目前密碼仍廣泛使用,但卻有極嚴重的缺陷。人們習慣重複使用密碼,這意味著駭客一旦截獲某網站密碼,就有可能成功侵入其他網站。且許多密碼早被破解。透過 HaveIBeenPwned 資料庫,使用者可查詢自己密碼是否外洩,資料庫內含 5.72 億組密碼,這些密碼是由於資料外洩事件或其他安全問題而遭竊與洩漏。

疫情下遠距辦公帶動安全金鑰的普及發展

雖然市面不乏許多密碼管理員軟體協助使用者建立並使用獨一無二的強密碼,但用起來卻很複雜,此外,能隨機產生短期數字登錄碼的簡訊密碼和身分驗證器(Authenticator)App 雖然提供又方便既安全的幫助,但也不是毫無缺點。至於硬體安全金鑰,雖然也不完美,但可幫助阻止無法存取實體裝置的駭客。Google 已將硬體安全金鑰技術直接內建在 Android 手機,讓你完全棄用硬體安全金鑰,但截至目前為止,技術除 Google 本身適用,尚未得到更全面性的支援。

無論如何,硬體安全金鑰也有缺點,如想在網站註冊會很麻煩。它們價格高昂,尤其是如果你想在家中、工作場所、鑰匙圈和保險箱上都要有備用金鑰的話。儘管一個金鑰可以用來登錄多個網站,但是你必須分別註冊每個金鑰,換言之,如果你在 3 個服務中使用 4 個金鑰,那麼整個註冊程序就需要進行 12 道程序。

硬體安全金鑰技術可搭配所謂 FIDO(Fast Identity Online)的身分驗證技術一起使用,標準化了更強固的登錄運作模式。Yubico 在 4 月曾表示,已售出 1,000 多萬支硬體安全金鑰,出貨量每年成長約 60%~70%。Yubico 進一步指出,新冠病毒大流行引發遠距辦公大行其道(特別是聯邦政府員工全面改採遠端居家辦公),更促使此安全金鑰銷售「大幅」成長。

(首圖來源:Yubico