当前位置:   article > 正文

yubikey简介

yubikey

yubikey介绍

其实现在我也还没有拿到自己买的那个yubikey,本来想的是想好好体验一下再写一篇相关的介绍,但这周也补习了一些相关的知识,单纯的分享一下。以后如果体验后有新的感受再更新吧。

1.yubikey是什么

yubikey简单的说是一个硬件认证设备,以往账户认证单纯的依靠账号密码进行确认用户,但随着算力增强,暴力破解使传统密码失去安全性,后来慢慢加入验证码,但这个也很快被人攻破,即使使google的验证码接口ReCaptcha也已经被攻破,并且已经开源,Github项目地址,普通的验证码更不用说,burpsuite可以直接破解。然后就是手机验证码,这一种解决方案相对来说还是比较安全的,虽然说有相关利用相关技术盗取手机卡信息,但整体来说可行性还是很差的。最后介绍一下博文的主题——MFA(Multi-factor authentication),包括2FA(Two-factor authentication),这是一种动态密码认证器,每隔一段时间更新一次验证码,破解理论上来说是不可能的,除非有非常强大的算力。其中这类的软件,包括Goolge身份认证器以及一些其他的(只用过google身份认证器),硬件的话包括我们常见的U盾等,而yubikey就是其中的比较优秀的一款,目前的话国内还是比较冷门,自己也是出于感兴趣的缘故买了一款,想研究一下。功能还是挺多的。相关的配置,这个地址有介绍,yubikey入门

2.yubikey使用
  • yubikey可以用于windows解锁,只需要在商店中下载YubiKey for Windows Hello,按照引导配置即可。
  • yubikey开启google账户MFA。
  • yubikey支持lastpass
3.感受

相关的支持真的很多。不过对于这块,国内的做的确实不怎么样,已阿里云来看,几乎整套系统都是基于短信验证码验证,对手机的依赖性太大,感觉这种模式太过单一,容易出现一些事故。腾讯云的话没有体验过,但是国内的话感觉都差不多,包括绝大多数知名网站,手机号几乎成了注册必须填写的,这种过于放大手机号码的作用,总觉得不太好,反观国外的包括AWS,GoogleCloud都在对接新的安全技术。起码在这一块,我觉得国内还是应跟上的。

4.总结

其实对于现在的密码安全现状还是觉得挺多感触的,包括自己也曾经被钓过鱼(高中的时候),其实在我看来,认证的本质是怎么证明你是你,用户密码只是实现的一个手段。而一个好的认证系统不应该是依靠单一的自认为足够好的认证技术。认证做的我觉得跟应该像是AES加密标准中的加密模式而不是加密算法,随着算力增强,算法会过时,而一种框架却可以持续很长一段时间。包括生物认证技术,量子加密技术逐渐完善,我觉得未来应该是一个更加开放也更加隐私的时代,连接万物,又隔离万物。
mcc

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/AllinToyou/article/detail/548464
推荐阅读
相关标签
  

闽ICP备14008679号