赞
踩
其实现在我也还没有拿到自己买的那个yubikey,本来想的是想好好体验一下再写一篇相关的介绍,但这周也补习了一些相关的知识,单纯的分享一下。以后如果体验后有新的感受再更新吧。
yubikey简单的说是一个硬件认证设备,以往账户认证单纯的依靠账号密码进行确认用户,但随着算力增强,暴力破解使传统密码失去安全性,后来慢慢加入验证码,但这个也很快被人攻破,即使使google的验证码接口ReCaptcha也已经被攻破,并且已经开源,Github项目地址,普通的验证码更不用说,burpsuite可以直接破解。然后就是手机验证码,这一种解决方案相对来说还是比较安全的,虽然说有相关利用相关技术盗取手机卡信息,但整体来说可行性还是很差的。最后介绍一下博文的主题——MFA(Multi-factor authentication),包括2FA(Two-factor authentication),这是一种动态密码认证器,每隔一段时间更新一次验证码,破解理论上来说是不可能的,除非有非常强大的算力。其中这类的软件,包括Goolge身份认证器以及一些其他的(只用过google身份认证器),硬件的话包括我们常见的U盾等,而yubikey就是其中的比较优秀的一款,目前的话国内还是比较冷门,自己也是出于感兴趣的缘故买了一款,想研究一下。功能还是挺多的。相关的配置,这个地址有介绍,yubikey入门。
- yubikey可以用于windows解锁,只需要在商店中下载YubiKey for Windows Hello,按照引导配置即可。
- yubikey开启google账户MFA。
- yubikey支持lastpass
相关的支持真的很多。不过对于这块,国内的做的确实不怎么样,已阿里云来看,几乎整套系统都是基于短信验证码验证,对手机的依赖性太大,感觉这种模式太过单一,容易出现一些事故。腾讯云的话没有体验过,但是国内的话感觉都差不多,包括绝大多数知名网站,手机号几乎成了注册必须填写的,这种过于放大手机号码的作用,总觉得不太好,反观国外的包括AWS,GoogleCloud都在对接新的安全技术。起码在这一块,我觉得国内还是应跟上的。
其实对于现在的密码安全现状还是觉得挺多感触的,包括自己也曾经被钓过鱼(高中的时候),其实在我看来,认证的本质是怎么证明你是你,用户密码只是实现的一个手段。而一个好的认证系统不应该是依靠单一的自认为足够好的认证技术。认证做的我觉得跟应该像是AES加密标准中的加密模式而不是加密算法,随着算力增强,算法会过时,而一种框架却可以持续很长一段时间。包括生物认证技术,量子加密技术逐渐完善,我觉得未来应该是一个更加开放也更加隐私的时代,连接万物,又隔离万物。
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。