YubiKey:用于加密和多因素身份验证的硬件安全密钥
一个只需指尖轻触的小金属片,就做到了密码从未实现过的事情:它终结了全球最常遭受网络攻击的公司之一的账户盗用事件。自从谷歌向超过85000名员工发放了YubiKey后,员工账户被成功盗用的数量从2017年初开始降至零,并一直保持至今。这就是硬件安全密钥的全部优势所在。它不是杀毒软件,也不会存储你的钱财。它是一个实物,可以证明你的身份,而且几乎不可能被欺骗。
本指南解释了 YubiKey 是什么,它的实际工作原理,为什么它比短信和身份验证器应用程序更好,以及如何使用它来锁定窃贼首先瞄准的加密货币账户。
什么是 YubiKey 以及它为何如此重要
把 YubiKey 想象成你账户的钥匙,只不过它无法被复制。这是一款由瑞典-美国公司 Yubico 生产的小型硬件安全密钥,该公司自 2007 年以来一直生产此类产品。它没有电池,也没有屏幕,只是一个 U 盘大小的塑料和金属片,可以插入 USB 端口或通过 NFC 近场通信技术轻触手机,然后用指尖按压上面的金色圆盘即可激活。
那一下指尖触碰就是关键所在。密码是你知道的东西,而你知道的任何东西都可能被盗、泄露或猜到,通常三者同时发生。YubiKey 是你拥有的东西,你不可能从别人的口袋里偷走一个实物。因此,它成为了双因素身份验证的第二重保障,而且非常可靠。它不存储你的任何加密货币或文件。登录时,它只会回答一个问题,然后就安静下来:真正的持有者现在在这里吗?轻触一下,你就能登录。如果不轻触,登录过程就会在屏幕上戛然而止,无论被盗的密码看起来多么完美。
YubiKey 如何防止网络钓鱼
巧妙之处不在于硬件,而在于与域名绑定的签名,虚假网站永远无法从设备中窃取这些信息。
一个永远不会消失的秘密
将 YubiKey 注册到服务商后,它会悄悄地使用公钥加密技术生成一对新的密钥,包含一个公钥和一个私钥。私钥会被写入一个安全芯片,并且永远不会被泄露。无论是通过 USB 传输,还是在你手持设备的情况下,都无法泄露。只有公钥会发送到服务器。之后,每次登录都是一个快速的请求和响应过程:网站发送一个随机挑战,密钥使用任何人都无法读取的私钥对其进行签名,服务器则将签名与它保存的公钥进行比对。这就是基于早期 U2F 协议的 FIDO2 和 WebAuthn 标准,也是你的凭证无法从设备上被窃取的原因。
为什么网络钓鱼行不通
现在来说说真正能有效防范网络钓鱼的部分。在同一过程中,浏览器还会告诉YubiKey你当前所在的域名。YubiKey会将这个域名与它最初注册的网站进行比较。如果是在仿冒页面上,域名是错误的,那么YubiKey就会忽略它,拒绝签名。你可能会被虚假网站完全蒙蔽——但硬件不会被骗,而硬件才是关键。再加上物理按键来验证是否是真人操作,你就拥有了安全机构所说的防钓鱼认证。密码可以输入到虚假的密码框中,但与域名绑定的签名却无法做到。
一次性密码、智能卡和通行密钥
旗舰级 YubiKey 支持多种语言,而非单一语言。它可以生成 Yubico 一次性密码,这种密码长达 44 个字符,与应用程序显示的六位验证码并列。它还支持基于时间的一次性密码,即身份验证器应用程序使用的 TOTP 标准。它可用作企业和政府机构登录的智能卡。此外,它还存储用于完全无密码身份验证的通行密钥,其中密钥本身就是登录凭证,而非备份。最后一项功能正在迅速普及: FIDO 联盟表示,排名前 100 的网站中,近一半已经接受通行密钥。
| 协议 | 它的作用 | 替换 |
|---|---|---|
| FIDO2 / WebAuthn | 防钓鱼登录密钥和密码 | 密码和弱双因素认证 |
| U2F | 起源相关的第二因素 | 短信和应用代码 |
| Yubico OTP | 44 位一次性密码 | 短验证码 |
| TOTP / OATH | 存储在密钥上的基于时间的代码 | 一个独立的身份验证器应用程序 |
| 智能卡(PIV) | 基于证书的登录 | 企业徽章登录 |
为什么 YubiKey 比短信和身份验证器应用更胜一筹
其他所有常见的第二重验证都可以实时传输到虚假网站。YubiKey 却不行,而这唯一的漏洞正是加密货币被盗的根源。
短信是最薄弱的环节
短信验证码看似方便,却是最糟糕的常用验证方式。验证码会发送到你的手机号码,而你的手机号码很容易被盗。在SIM卡交换攻击中,攻击者会诱使你的运营商将你的号码转移到他们的SIM卡上,然后直接截获你的验证码。这种情况并非罕见。2024年,英国的SIM卡交换诈骗案件激增超过1055%。正因如此, CISA和FBI才拒绝将短信验证码视为有效的防钓鱼多因素身份验证方式。对于存放资金的账户而言,信任短信验证码是一个错误,而这正是硬件密钥对加密货币持有者而言比对几乎任何其他人都更为重要的弱点所在。
即使是身份验证器应用程序也存在网络钓鱼漏洞。
身份验证器应用比短信验证码有了很大的改进,可以与短信验证码一起作为强大的双因素身份验证手段,但它们仍然存在一个弱点。任何多因素身份验证 (MFA) 都值得启用; 微软发现它可以拦截 99.9% 的自动化攻击。然而,最终决定真人钓鱼者能否成功入侵的还是验证器的类型。应用显示的六位验证码只是一个数字,而数字很容易被输入到虚假的验证框中。现代钓鱼网站会要求你输入验证码,并在 30 秒内将其转发给真正的服务。YubiKey 可以堵住这个漏洞,因为它的签名与真实域名绑定,无法被重放到其他域名上。这并非纸上谈兵。这就是为什么自从硬件密钥取代所有其他方式后,谷歌的 85,000 名员工再也没有遭受过钓鱼攻击的原因。
| 方法 | 防钓鱼 | 防SIM卡互换 | 可离线使用 |
|---|---|---|---|
| 短信代码 | 不 | 不 | 不 |
| 身份验证器应用程序 | 不 | 是的 | 是的 |
| YubiKey | 是的 | 是的 | 是的 |
使用 YubiKey 保护您的加密货币
对于任何加密货币用户来说,YubiKey 的优势在于:它能锁定那些最先成为 SIM 卡交换和钱包盗刷目标的账户。目前大多数主流交易所都支持使用硬件安全密钥来保护账户安全,其中一些交易所还允许使用完整的 FIDO2 或密码登录,例如Coinbase 、Binance、Gemini、OKX、Bybit、Crypto.com 和 KuCoin。Kraken 和 Bitfinex 也接受硬件密钥作为第二重身份验证因素。启用此功能意味着,即使窃贼掌握了您的密码和手机号码,如果没有实体密钥,也无法登录您的账户。
不要止步于交易所。最重要的账户是你的邮箱——它是所有其他账户的恢复路径——所以首先要给邮箱设置密钥。接下来,给你的密码管理器、交易所和任何支持 YubiKey 的钱包服务都设置一个密钥。目标很简单:移除所有仅依赖于诈骗者可以钓鱼或拦截的验证码的登录方式。同一个密钥只需一个习惯就能保护你的其他在线服务,而且由于这项技术是专门为抵御钓鱼攻击而设计的,它能有效阻止钱包盗刷或虚假空投页面所依赖的关键步骤。在所有这些在线账户中,YubiKey 成为唯一一个任何人都无法远程复制的凭证,从而悄无声息地堵住了 SIM 卡交换和盗刷的漏洞。
YubiKey 型号及选择方法
Yubico的产品目录看起来比实际选择要复杂得多。三个问题就能决定你的选择:你的设备有哪些接口,你是否需要手机具备NFC功能,以及你是否需要指纹识别器。
对大多数人来说,答案是售价约 58 美元的YubiKey 5 NFC 。它支持上述所有协议,并配备 USB-A 和 NFC 接口。如果你的所有设备都是 USB-C 接口?YubiKey 5C NFC 是同一款产品,只是外形尺寸不同。想要更省钱?售价约 29 美元的 Security Key 去掉了多余的功能,仅支持 FIDO2 和 U2F,足以满足加密货币交易和日常登录的需求。更喜欢指纹识别?售价接近 98 美元的 YubiKey Bio 系列增加了生物识别传感器,无需 PIN 码即可使用,此外还有符合 FIPS 标准的系列,适用于受监管的工作场所。无论你最终选择哪一款,都建议购买两个。第二个作为备用,当第一个被清洗损坏时,你会庆幸自己当初做了这个决定。
设置和使用 YubiKey
每个账户的设置大约需要十分钟。但没人会提醒你备份的重要性。
注册您的密钥
首先访问官方设置页面,选择一项服务,然后打开其双因素认证或密码设置。接下来,您可以选择三种方式之一来配置密钥:将其注册为安全密钥、保存密码或将其添加到身份验证器应用插槽中。出现提示时点击即可完成。大多数人最终都会拥有两个 YubiKey,并在每个帐户上设置多个身份验证选项,这样即使丢失一台设备也不会导致帐户被锁定。同一个密钥可在 Windows、macOS、Linux、Android 和 iOS 系统上使用,因此它可以同时保护您的笔记本电脑和手机。首先设置电子邮件,然后是密码管理器,最后是 Exchange 账户。这三者可以覆盖您的大部分实际风险。
关键在于:备份和诚实的限制
YubiKey并非万能,了解它的优缺点至关重要。注册一个密钥后,如果丢失,您可能会被锁在账户之外,因此务必注册一个备用密钥或将恢复码妥善保管。虽然目前并非所有服务都支持硬件密钥,但支持的服务列表每年都在增加。此外,它还需要一定的前期投入,大约58美元。而且,该硬件也存在一些漏洞:2017年名为ROCA的漏洞,以及2024年英飞凌(Infineon)的问题,这两个漏洞都需要物理访问才能修复,但都在新固件中得到了修复。这些都只是小问题,并非致命缺陷。所有这些问题都比不上真正重要的一点:彻底阻止远程账户盗用。
YubiKey 对加密货币用户来说值得购买吗?
对于任何持有加密货币的人来说,答案显而易见:是的。YubiKey 只需一次性购买,大约 58 美元,外加一个备份,无需订阅。想想看,一次 SIM 卡被盗或通过钓鱼网站清空交易所账户,风险有多大,根本无法与之相比。密码和身份验证器应用提高了安全性;而 YubiKey 多因素身份验证 (MFA) 则将远程攻击者的触及范围提升到了极致。如果您的在线账户中哪怕只有一个存有资金,YubiKey 都是您能买到的最划算的保险。
YubiKey 可以将你的手指变成密码
抛开各种协议和型号,YubiKey 最擅长的就是:它能将你登录信息中最强大的部分变成一个你可以握在手中、触摸到的实体物品。网络钓鱼可以复制密码并发送验证码,但它无法复制你口袋里的密钥,也无法伪造你的手指轻触。这正是它能在其他安全措施失效的情况下依然有效的原因。本周就在你的邮箱和主账户上安装一个 YubiKey,并添加一个备用密钥。那么,剩下的唯一问题就是实际问题:你还在用一个陌生人今天就能轻易窃取的验证码来保护哪个存放你资金的账户?
