譯者 | 陳峻

審校 | 孫淑娟

多年以來，我們最為熟悉的身份驗證方式，莫過于用戶名和密碼這對組合了。但是，即使您已經養(yǎng)成了非常良好的密碼設置與使用習慣，密碼也始終是一種安全隱患。道理其實很簡單，首先，我們人類本身就不擅長記住密碼，更不擅長創(chuàng)建復雜的強密碼。其次，大多數用戶會傾向于為多個賬戶創(chuàng)建并使用相同的密碼。因此，這就會導致：如果一個賬戶遭遇到了入侵，其余賬戶也將面臨相同的風險。

為了應對此類風險，我們通常會建議大家使用硬件安全密鑰（Hardware Security Keys）。不過，在目前的市場上，您會發(fā)現有著種類豐富的硬件安全密鑰可供選擇，那么究竟該如何選用哪一類中的哪一種密鑰呢？下面，我將向您介紹和比較當前較為常見的、能夠提供在線保護的5種硬件密鑰。

1. YubiKey系列

Yubico是硬件安全密鑰領域的行業(yè)領導者。由該公司所提供的安全密鑰可滿足從個人家庭用戶到專業(yè)開發(fā)人員，從小微公司到大型企業(yè)等廣泛的用戶場景需求。目前，其最為流行的YubiKey版本包括：

??YubiKey 5 NFC??

YubiKey 5 NFC是一款緊湊、輕便且耐用的密鑰。它可與包括Facebook、Google Chrome、Dropbox、以及LastPass等許多應用服務相兼容。此外，YubiKey 5 NFC還支持包括OpenPGP、FIDO U2P、OTP、以及智能卡在內的多種安全協(xié)議。

??YubiKey C Bio??

YubiKey C Bio是少數具有生物特征認證功能的密鑰之一。它使用三層芯片架構，將您的生物特征信息存儲在單獨的安全元件之中。當然，您也可以通過設置PIN碼，在不支持生物識別的場景中使用它。該密鑰采用了USB-A和USB-C兩種外觀類型，并能夠支持U2F（Universal 2nd Factor，通用第二因素）和FIDO2（Fast Identity Online，線上快速身份驗證服務）兩種安全協(xié)議。不過，Bio系列并不適用于LastPass，因此對于某些用戶來說，這可能會破壞其交易過程。

??YubiKey 5 Nano??

如果您需要的是一種緊湊型的硬件安全密鑰的話，那么YubiKey 5 Nano會比較適合您。它同樣采用了USB-A和USB-C兩種外觀類型，并能夠支持包括OTP、FIDO U2F、OpenPGP、OATH-TOTP、以及HOTP在內的多種安全協(xié)議。當然，其微小的尺寸是有代價的。與其他YubiKey不同，Nano密鑰既不耐壓，又不適用于移動設備。

2. Kensington VeriMark

插入筆記本電腦的Kensington安全密鑰，圖片來源：Kensington VeriMark? 指紋密鑰

Kensington VeriMark指紋密鑰使用的是，具有360度可讀性與防欺騙保護的生物識別技術。為了便于多個用戶可以登錄同一臺設備，VeriMark最多能夠支持10個指紋。

VeriMark是具有加密狗外形的緊湊式便攜密鑰。由于其長度只有1.2英寸，因此您可以將它系到鑰匙鏈上，而不會覺得過于沉重。如上圖所示，您甚至可以在上下班途中，將其保持與筆記本電腦的連接，并放入包中。

Kensington密鑰不但支持多種協(xié)議，并且可以與Dropbox、GitHub、Facebook、以及Google等基于云端的賬戶，流暢地配合使用。不過，它缺乏對NFC的支持，以及與macOS和Chrome OS的兼容性。

3. Google Titan安全密鑰

Google-Titan-Security-Key，圖片來源：谷歌商店

作為Google的物理安全密鑰版本，??Titan密鑰??適用于那些希望通過多因素身份驗證，來保護其賬戶的新手。由于它提供了USB-C和NFC支持，因此您可以與幾乎任何設備一起連接使用。

雖然該密鑰不會讀取用戶的指紋，但是您可以按住密鑰的中心位置，來實現網站的登錄。目前，Titan密鑰僅支持FIDO U2F—這種較為陳舊的協(xié)議。因此與其他硬件安全密鑰相比，它在此方面處于劣勢。

此外，與Kensington VeriMark密鑰或YubiKeys不同，Titan密鑰不支持生物識別，當然這也就免去了各種額外設置。因此，若要使用該密鑰，您只需導航到支持此類硬件密鑰的站點，將Titan密鑰添加到您的賬戶中，按照其操作向導逐步操作完成即可。

4. CryptoTrust OnlyKey

CryptoTrust-OnlyKey，圖片來源：CryptoTrust OnlyKey

如上圖所示，??CryptoTrust OnlyKey??具有其他競品所不具備的一些獨特功能：從設計開始，OnlyKey便提供了一個區(qū)別于鍵盤記錄器的板載鍵盤。由于您需要從密鑰的本身輸入密碼字符，因此即便是網站應用遭遇到了入侵，您的賬戶仍然可以保持安全性。

當然，您也可以使用額外的PIN碼，來保護自己的密碼。據此，您可以讓OnlyKey成為一種多因素身份驗證的設備。值得一提的是，作為密碼管理器，它還包含了自毀和加密備份等其他功能。此處的自毀功能是指，它會在多次錯誤嘗試之后，自動擦除設備里的信息，以保護對應的賬戶免受暴力攻擊的迫害。

話說回來，CryptoTrust OnlyKey唯一令用戶失望的是，它比其他競品在外觀略顯笨重，且界面較為簡陋。

5. Apple Passkeys

面向開發(fā)人員的Apple Passkeys主頁，圖片來源：Apple

Passkeys是Apple版本的安全密鑰，可用于提供快速安全的身份驗證方法，即依靠Touch ID和Face ID技術，對用戶進行身份驗證，而無需輸入密碼。雖然此項功能并不會涉及任何USB記憶棒，但它需要依賴于您的設備（如電腦）來完成身份驗證。以下便是Apple Passkeys的工作原理：

在網站或應用程序啟用了該項功能后，密鑰將被存儲在用于對其設置計算機或手機上。您可以使用iCloud密鑰串在所有設備上與之同步。而當您想登錄非Apple的設備、或是非PC設備時，您可以使用iPhone去掃描二維（QR）碼，以完成整個身份驗證過程。

Apple的Passkeys登錄方法也可以被用在iOS 16、iPadOS 16、以及macOS Ventura上。它將通過消除密碼的使用，來保護用戶免受網絡釣魚等攻擊。

由于這項技術仍處于早期階段，因此各大網站和應用尚無法強制要求用戶立即使用Passkeys。它們往往需要與密碼一起被使用。不過，我們預期憑借著Apple這樣的大平臺，它將來必將成為主流。

硬件安全密鑰值得采用嗎？

如上所述，硬件安全密鑰目前并不完善。并非所有的網站都能夠支持它們，而且有時候我們設置起來也較為麻煩。此外，硬件密鑰一旦丟失，用戶將無法完成身份認證的必要環(huán)節(jié)。

當然，從技術上說，安全密鑰仍然比傳統(tǒng)的MFA（多因素身份認證）的方法更為安全。畢竟，基于SMS（短信）的認證方法，容易受到SIM卡劫持類型的攻擊，而被普遍使用的身份驗證器（authenticator）類型的應用，也有著其自身的局限性?？梢?，相比之下，基于硬件的安全密鑰更易于提供更強的安全性。最后提醒您，請至少使用兩個硬件安全密鑰：一個日常使用，一個作為備用，以防丟失常用的那個密鑰。 

譯者介紹

陳峻 （Julian Chen），51CTO社區(qū)編輯，具有十多年的IT項目實施經驗，善于對內外部資源與風險實施管控，專注傳播網絡與信息安全知識與經驗。

原文標題：??The 5 Best Hardware Security Keys for Online Protection??，作者：FAWAD ALI