能够提供在线保护的五种硬件密钥

译者 | 陈峻

审校 | 孙淑娟

多年以来，提供我们最为熟悉的线保身份验证方式，莫过于用户名和密码这对组合了。种硬但是提供，即使您已经养成了非常良好的线保密码设置与使用习惯，密码也始终是种硬一种安全隐患。道理其实很简单，提供首先，线保我们人类本身就不擅长记住密码，种硬更不擅长创建复杂的提供强密码。其次，线保大多数用户会倾向于为多个账户创建并使用相同的种硬密码。因此，提供这就会导致：如果一个账户遭遇到了入侵，线保其余账户也将面临相同的种硬风险。

为了应对此类风险，我们通常会建议大家使用硬件安全密钥（Hardware Security Keys）。不过，在目前的市场上，您会发现有着种类丰富的硬件安全密钥可供选择，那么究竟该如何选用哪一类中的哪一种密钥呢？下面，我将向您介绍和比较当前较为常见的、能够提供在线保护的亿华云计算5种硬件密钥。

1. YubiKey系列

Yubico是硬件安全密钥领域的行业领导者。由该公司所提供的安全密钥可满足从个人家庭用户到专业开发人员，从小微公司到大型企业等广泛的用户场景需求。目前，其最为流行的YubiKey版本包括：

​​YubiKey 5 NFC​​

YubiKey 5 NFC是一款紧凑、轻便且耐用的密钥。它可与包括Facebook、Google Chrome、Dropbox、以及LastPass等许多应用服务相兼容。此外，YubiKey 5 NFC还支持包括OpenPGP、FIDO U2P、OTP、以及智能卡在内的多种安全协议。

​​YubiKey C Bio​​

YubiKey C Bio是少数具有生物特征认证功能的密钥之一。它使用三层芯片架构，将您的生物特征信息存储在单独的安全元件之中。当然，您也可以通过设置PIN码，高防服务器在不支持生物识别的场景中使用它。该密钥采用了USB-A和USB-C两种外观类型，并能够支持U2F（Universal 2nd Factor，通用第二因素）和FIDO2（Fast Identity Online，线上快速身份验证服务）两种安全协议。不过，Bio系列并不适用于LastPass，因此对于某些用户来说，这可能会破坏其交易过程。

​​YubiKey 5 Nano​​

如果您需要的是一种紧凑型的硬件安全密钥的话，那么YubiKey 5 Nano会比较适合您。它同样采用了USB-A和USB-C两种外观类型，并能够支持包括OTP、FIDO U2F、OpenPGP、OATH-TOTP、以及HOTP在内的多种安全协议。当然，其微小的尺寸是有代价的。与其他YubiKey不同，Nano密钥既不耐压，又不适用于移动设备。

2. Kensington VeriMark

插入笔记本电脑的Kensington安全密钥，免费源码下载图片来源：Kensington VeriMark™ 指纹密钥

Kensington VeriMark指纹密钥使用的是，具有360度可读性与防欺骗保护的生物识别技术。为了便于多个用户可以登录同一台设备，VeriMark最多能够支持10个指纹。

VeriMark是具有加密狗外形的紧凑式便携密钥。由于其长度只有1.2英寸，因此您可以将它系到钥匙链上，而不会觉得过于沉重。如上图所示，您甚至可以在上下班途中，将其保持与笔记本电脑的连接，并放入包中。

Kensington密钥不但支持多种协议，并且可以与Dropbox、GitHub、Facebook、以及Google等基于云端的账户，流畅地配合使用。不过，它缺乏对NFC的支持，以及与macOS和Chrome OS的兼容性。

3. Google Titan安全密钥

Google-Titan-Security-Key，图片来源：谷歌商店

作为Google的物理安全密钥版本，​​Titan密钥​​适用于那些希望通过多因素身份验证，来保护其账户的新手。由于它提供了USB-C和NFC支持，因此您可以与几乎任何设备一起连接使用。

虽然该密钥不会读取用户的指纹，但是您可以按住密钥的中心位置，来实现网站的登录。目前，Titan密钥仅支持FIDO U2F—这种较为陈旧的协议。因此与其他硬件安全密钥相比，它在此方面处于劣势。

此外，与Kensington VeriMark密钥或YubiKeys不同，Titan密钥不支持生物识别，当然这也就免去了各种额外设置。因此，若要使用该密钥，您只需导航到支持此类硬件密钥的站点，将Titan密钥添加到您的账户中，按照其操作向导逐步操作完成即可。

4. CryptoTrust OnlyKey

CryptoTrust-OnlyKey，图片来源：CryptoTrust OnlyKey

如上图所示，​​CryptoTrust OnlyKey​​具有其他竞品所不具备的一些独特功能：从设计开始，OnlyKey便提供了一个区别于键盘记录器的板载键盘。由于您需要从密钥的本身输入密码字符，因此即便是网站应用遭遇到了入侵，您的账户仍然可以保持安全性。

当然，您也可以使用额外的PIN码，来保护自己的密码。据此，您可以让OnlyKey成为一种多因素身份验证的设备。值得一提的是，作为密码管理器，它还包含了自毁和加密备份等其他功能。此处的自毁功能是指，它会在多次错误尝试之后，自动擦除设备里的信息，以保护对应的账户免受暴力攻击的迫害。

话说回来，CryptoTrust OnlyKey唯一令用户失望的是，它比其他竞品在外观略显笨重，且界面较为简陋。

5. Apple Passkeys

面向开发人员的Apple Passkeys主页，图片来源：Apple

Passkeys是Apple版本的安全密钥，可用于提供快速安全的身份验证方法，即依靠Touch ID和Face ID技术，对用户进行身份验证，而无需输入密码。虽然此项功能并不会涉及任何USB记忆棒，但它需要依赖于您的设备（如电脑）来完成身份验证。以下便是Apple Passkeys的工作原理：

在网站或应用程序启用了该项功能后，密钥将被存储在用于对其设置计算机或手机上。您可以使用iCloud密钥串在所有设备上与之同步。而当您想登录非Apple的设备、或是非PC设备时，您可以使用iPhone去扫描二维（QR）码，以完成整个身份验证过程。

Apple的Passkeys登录方法也可以被用在iOS 16、iPadOS 16、以及macOS Ventura上。它将通过消除密码的使用，来保护用户免受网络钓鱼等攻击。

由于这项技术仍处于早期阶段，因此各大网站和应用尚无法强制要求用户立即使用Passkeys。它们往往需要与密码一起被使用。不过，我们预期凭借着Apple这样的大平台，它将来必将成为主流。

硬件安全密钥值得采用吗？

如上所述，硬件安全密钥目前并不完善。并非所有的网站都能够支持它们，而且有时候我们设置起来也较为麻烦。此外，硬件密钥一旦丢失，用户将无法完成身份认证的必要环节。

当然，从技术上说，安全密钥仍然比传统的MFA（多因素身份认证）的方法更为安全。毕竟，基于SMS（短信）的认证方法，容易受到SIM卡劫持类型的攻击，而被普遍使用的身份验证器（authenticator）类型的应用，也有着其自身的局限性。可见，相比之下，基于硬件的安全密钥更易于提供更强的安全性。最后提醒您，请至少使用两个硬件安全密钥：一个日常使用，一个作为备用，以防丢失常用的那个密钥。 

译者介绍

陈峻 （Julian Chen），51CTO社区编辑，具有十多年的IT项目实施经验，善于对内外部资源与风险实施管控，专注传播网络与信息安全知识与经验。

原文标题：​​The 5 Best Hardware Security Keys for Online Protection​​，作者：FAWAD ALI