譯者 | 陳峻

審校 | 孫淑娟

多年以來(lái)，我們最為熟悉的身份驗(yàn)證方式，莫過(guò)于用戶名和密碼這對(duì)組合了。但是，即使您已經(jīng)養(yǎng)成了非常良好的密碼設(shè)置與使用習(xí)慣，密碼也始終是一種安全隱患。道理其實(shí)很簡(jiǎn)單，首先，我們?nèi)祟惐旧砭筒簧瞄L(zhǎng)記住密碼，更不擅長(zhǎng)創(chuàng)建復(fù)雜的強(qiáng)密碼。其次，大多數(shù)用戶會(huì)傾向于為多個(gè)賬戶創(chuàng)建并使用相同的密碼。因此，這就會(huì)導(dǎo)致：如果一個(gè)賬戶遭遇到了入侵，其余賬戶也將面臨相同的風(fēng)險(xiǎn)。

為了應(yīng)對(duì)此類風(fēng)險(xiǎn)，我們通常會(huì)建議大家使用硬件安全密鑰（Hardware Security Keys）。不過(guò)，在目前的市場(chǎng)上，您會(huì)發(fā)現(xiàn)有著種類豐富的硬件安全密鑰可供選擇，那么究竟該如何選用哪一類中的哪一種密鑰呢？下面，我將向您介紹和比較當(dāng)前較為常見的、能夠提供在線保護(hù)的5種硬件密鑰。

1. YubiKey系列

Yubico是硬件安全密鑰領(lǐng)域的行業(yè)領(lǐng)導(dǎo)者。由該公司所提供的安全密鑰可滿足從個(gè)人家庭用戶到專業(yè)開發(fā)人員，從小微公司到大型企業(yè)等廣泛的用戶場(chǎng)景需求。目前，其最為流行的YubiKey版本包括：

??YubiKey 5 NFC??

YubiKey 5 NFC是一款緊湊、輕便且耐用的密鑰。它可與包括Facebook、Google Chrome、Dropbox、以及LastPass等許多應(yīng)用服務(wù)相兼容。此外，YubiKey 5 NFC還支持包括OpenPGP、FIDO U2P、OTP、以及智能卡在內(nèi)的多種安全協(xié)議。

??YubiKey C Bio??

YubiKey C Bio是少數(shù)具有生物特征認(rèn)證功能的密鑰之一。它使用三層芯片架構(gòu)，將您的生物特征信息存儲(chǔ)在單獨(dú)的安全元件之中。當(dāng)然，您也可以通過(guò)設(shè)置PIN碼，在不支持生物識(shí)別的場(chǎng)景中使用它。該密鑰采用了USB-A和USB-C兩種外觀類型，并能夠支持U2F（Universal 2nd Factor，通用第二因素）和FIDO2（Fast Identity Online，線上快速身份驗(yàn)證服務(wù)）兩種安全協(xié)議。不過(guò)，Bio系列并不適用于LastPass，因此對(duì)于某些用戶來(lái)說(shuō)，這可能會(huì)破壞其交易過(guò)程。

??YubiKey 5 Nano??

如果您需要的是一種緊湊型的硬件安全密鑰的話，那么YubiKey 5 Nano會(huì)比較適合您。它同樣采用了USB-A和USB-C兩種外觀類型，并能夠支持包括OTP、FIDO U2F、OpenPGP、OATH-TOTP、以及HOTP在內(nèi)的多種安全協(xié)議。當(dāng)然，其微小的尺寸是有代價(jià)的。與其他YubiKey不同，Nano密鑰既不耐壓，又不適用于移動(dòng)設(shè)備。

2. Kensington VeriMark

插入筆記本電腦的Kensington安全密鑰，圖片來(lái)源：Kensington VeriMark? 指紋密鑰

Kensington VeriMark指紋密鑰使用的是，具有360度可讀性與防欺騙保護(hù)的生物識(shí)別技術(shù)。為了便于多個(gè)用戶可以登錄同一臺(tái)設(shè)備，VeriMark最多能夠支持10個(gè)指紋。

VeriMark是具有加密狗外形的緊湊式便攜密鑰。由于其長(zhǎng)度只有1.2英寸，因此您可以將它系到鑰匙鏈上，而不會(huì)覺得過(guò)于沉重。如上圖所示，您甚至可以在上下班途中，將其保持與筆記本電腦的連接，并放入包中。

Kensington密鑰不但支持多種協(xié)議，并且可以與Dropbox、GitHub、Facebook、以及Google等基于云端的賬戶，流暢地配合使用。不過(guò)，它缺乏對(duì)NFC的支持，以及與macOS和Chrome OS的兼容性。

3. Google Titan安全密鑰

Google-Titan-Security-Key，圖片來(lái)源：谷歌商店

作為Google的物理安全密鑰版本，??Titan密鑰??適用于那些希望通過(guò)多因素身份驗(yàn)證，來(lái)保護(hù)其賬戶的新手。由于它提供了USB-C和NFC支持，因此您可以與幾乎任何設(shè)備一起連接使用。

雖然該密鑰不會(huì)讀取用戶的指紋，但是您可以按住密鑰的中心位置，來(lái)實(shí)現(xiàn)網(wǎng)站的登錄。目前，Titan密鑰僅支持FIDO U2F—這種較為陳舊的協(xié)議。因此與其他硬件安全密鑰相比，它在此方面處于劣勢(shì)。

此外，與Kensington VeriMark密鑰或YubiKeys不同，Titan密鑰不支持生物識(shí)別，當(dāng)然這也就免去了各種額外設(shè)置。因此，若要使用該密鑰，您只需導(dǎo)航到支持此類硬件密鑰的站點(diǎn)，將Titan密鑰添加到您的賬戶中，按照其操作向?qū)е鸩讲僮魍瓿杉纯伞?/p>

4. CryptoTrust OnlyKey

CryptoTrust-OnlyKey，圖片來(lái)源：CryptoTrust OnlyKey

如上圖所示，??CryptoTrust OnlyKey??具有其他競(jìng)品所不具備的一些獨(dú)特功能：從設(shè)計(jì)開始，OnlyKey便提供了一個(gè)區(qū)別于鍵盤記錄器的板載鍵盤。由于您需要從密鑰的本身輸入密碼字符，因此即便是網(wǎng)站應(yīng)用遭遇到了入侵，您的賬戶仍然可以保持安全性。

當(dāng)然，您也可以使用額外的PIN碼，來(lái)保護(hù)自己的密碼。據(jù)此，您可以讓OnlyKey成為一種多因素身份驗(yàn)證的設(shè)備。值得一提的是，作為密碼管理器，它還包含了自毀和加密備份等其他功能。此處的自毀功能是指，它會(huì)在多次錯(cuò)誤嘗試之后，自動(dòng)擦除設(shè)備里的信息，以保護(hù)對(duì)應(yīng)的賬戶免受暴力攻擊的迫害。

話說(shuō)回來(lái)，CryptoTrust OnlyKey唯一令用戶失望的是，它比其他競(jìng)品在外觀略顯笨重，且界面較為簡(jiǎn)陋。

5. Apple Passkeys

面向開發(fā)人員的Apple Passkeys主頁(yè)，圖片來(lái)源：Apple

Passkeys是Apple版本的安全密鑰，可用于提供快速安全的身份驗(yàn)證方法，即依靠Touch ID和Face ID技術(shù)，對(duì)用戶進(jìn)行身份驗(yàn)證，而無(wú)需輸入密碼。雖然此項(xiàng)功能并不會(huì)涉及任何USB記憶棒，但它需要依賴于您的設(shè)備（如電腦）來(lái)完成身份驗(yàn)證。以下便是Apple Passkeys的工作原理：

在網(wǎng)站或應(yīng)用程序啟用了該項(xiàng)功能后，密鑰將被存儲(chǔ)在用于對(duì)其設(shè)置計(jì)算機(jī)或手機(jī)上。您可以使用iCloud密鑰串在所有設(shè)備上與之同步。而當(dāng)您想登錄非Apple的設(shè)備、或是非PC設(shè)備時(shí)，您可以使用iPhone去掃描二維（QR）碼，以完成整個(gè)身份驗(yàn)證過(guò)程。

Apple的Passkeys登錄方法也可以被用在iOS 16、iPadOS 16、以及macOS Ventura上。它將通過(guò)消除密碼的使用，來(lái)保護(hù)用戶免受網(wǎng)絡(luò)釣魚等攻擊。

由于這項(xiàng)技術(shù)仍處于早期階段，因此各大網(wǎng)站和應(yīng)用尚無(wú)法強(qiáng)制要求用戶立即使用Passkeys。它們往往需要與密碼一起被使用。不過(guò)，我們預(yù)期憑借著Apple這樣的大平臺(tái)，它將來(lái)必將成為主流。

硬件安全密鑰值得采用嗎？

如上所述，硬件安全密鑰目前并不完善。并非所有的網(wǎng)站都能夠支持它們，而且有時(shí)候我們?cè)O(shè)置起來(lái)也較為麻煩。此外，硬件密鑰一旦丟失，用戶將無(wú)法完成身份認(rèn)證的必要環(huán)節(jié)。

當(dāng)然，從技術(shù)上說(shuō)，安全密鑰仍然比傳統(tǒng)的MFA（多因素身份認(rèn)證）的方法更為安全。畢竟，基于SMS（短信）的認(rèn)證方法，容易受到SIM卡劫持類型的攻擊，而被普遍使用的身份驗(yàn)證器（authenticator）類型的應(yīng)用，也有著其自身的局限性。可見，相比之下，基于硬件的安全密鑰更易于提供更強(qiáng)的安全性。最后提醒您，請(qǐng)至少使用兩個(gè)硬件安全密鑰：一個(gè)日常使用，一個(gè)作為備用，以防丟失常用的那個(gè)密鑰。 

譯者介紹

陳峻 （Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項(xiàng)目實(shí)施經(jīng)驗(yàn)，善于對(duì)內(nèi)外部資源與風(fēng)險(xiǎn)實(shí)施管控，專注傳播網(wǎng)絡(luò)與信息安全知識(shí)與經(jīng)驗(yàn)。

原文標(biāo)題：??The 5 Best Hardware Security Keys for Online Protection??，作者：FAWAD ALI