Yubikey 的使用体验

出于某些原因,遗失了一枚以前用的 yubikey,正好重新购买还要重新配置,可以简单的介绍一下了。


1、Yubikey 简介

YubiKey 是由 Yubico 生产的身份认证设备,支持一次性密码(OTP)、公钥加密和身份认证,以及由 FIDO 联盟(FIDO U2F)开发的通用第二因素(U2F)协议。它让用户可以透过提交一次性密码或是使用设备产生的公开/私密金钥来安全地登录自己的帐户。针对不支持一次性密码的网站,YubiKey 也可以存储静态密码。Facebook 使用 YubiKey 作为员工凭证;Google 同时为雇员和用户提供支持。还有一些密码管理器也支持 YubiKey。


2、Yubikey 外观

Yubikey 5 和以往的 Yubikey 4 相比,主要多了 FIDO2 和 NFC 的功能。

从外观来看,新的包装比以前 Yubikey 4 的包装要好看很多了(以前那是个什么迷惑包装)

 

《Yubikey的使用体验》

当然,由于本次购买走的是亚马逊自营,没有使用官网购买,也就没有官网的 20%AFF 的优惠了。

如果你想购买的话,可以选择 美国代购+转运,亚马逊自营 两种途径购买


3、Yubikey 使用

Yubikey 的连接方式大体分为两种方式

  • 直接接触,如 USB
  • 间接接触,如 NFC

Yubikey 的使用方式分为三种

  • 第三方软件请求 Yubikey 并需要触碰(例如 FIDO U2F)
  • 将两个 Slot 作为模拟键盘输入(例如静态密码)
  • 通过 Yubico 指定的软件读取 Yubikey 内其他的数据(例如 Yubico Authenticator)

Yubikey 的金属片触碰方式分为两种

  • 轻触 1 下 在 Yubikey 亮灯时 允许当前对于 Yubikey 的请求
  • 轻触 1 秒 激活 Slot 1 并输入该插槽的默认输出结果
  • 长触 3 秒 激活 Slot 2 并输入该插槽的默认输出结果

Yubikey 的灯光含义

  • 短闪烁 有应用对 Yubikey 发送请求
  • 长亮 作为模拟键盘正在向当前窗口输入插槽

4、Yubikey 体验

个人使用体验中,Yubikey 值得这份钱,把以前那些非常繁琐和糟心的方式用一个物理密钥集中起来了。

当然,Yubikey 也太小了,一旦丢了就是个社会性死亡,所以还是得准备两个(幸好最初买了两个要不丢了就死了)

联动 Keepass 可以使用 标准 OTP 和 Challenge-response 两种方式,但是 标准 OTP 经常会因为误触导致失效。

如果使用 GPG 的话,你可以选择 yubikey 生成(不可导出)或者将证书写入到 yubikey 中

对于 Windows 登陆 的 Yubico Login for Windows Application 用起来倒是很有意思。 [ 链接 ]

旧版本的 Yubikey for Windows Hello 也很有趣,但是这个软件与 Yubico Authenticator 的密码 存在不兼容冲突。


5、Yubikey 配置

Yubikey 官网上有三个主要的软件,一并在这里说一下好了。
前面 蓝色 的意思是老版本时的 所属模块(用于开启和关闭)

5.1、Yubikey Manager

这是一个简易版的 Yubikey 管理工具,安装好后可以检查 Yubikey 状态 [ 链接 ]
首页中会显示设备当前链接的 Ybukey,多个 Yubikey 没有下拉选择。同时单个 Yubikey 一共有两个插槽

《Yubikey的使用体验》

点击 Application 可以查看到 Yubikey 当前支持的三个模组,OTP/FIDO2/PIV

《Yubikey的使用体验》

其中 OTP 里是比较容易常用的 一次性密码。注意刚出厂的时候  Yubikey  默认携带了一份 一次性密码(OTP),这份默认写入在 Slot 1 上面,出场即写入所以安全性很高。同时这个密码是和 YubiCloud 联动的,如果你能确认不会用不到该种 OTP 认证,你可以选择删除,但是删除后不能再恢复,只能重新再生成一个新的,并且需要再次和 YubiCloud 绑定。

《Yubikey的使用体验》

(OTP)一次性密码这里,你可以看到 Yubikey 一共支持的四种协议,分别是

  • OTP 一次性密码
  • Challenge-response 挑战-响应 认证
  • Static password 静态密码
  • OATH+HOTP 基于 HMAC/时间的两种一次性密码算法

《Yubikey的使用体验》

(FIDO)FIDO2 是基于 “由 FIDO 联盟(FIDO U2F)开发的通用第二因素(U2F)协议” 的新一代无密码方案。[ 链接 ]
而对于 FIDO,U2F 安全钥匙可作为一种额外的在线服务两步验证方式。
这里的设置主要是用于 FIDO2 调用此 Yubikey 时的 PIN 码,注意初始化后可能会导致之前关联的 FIDO2 无效(待测试)

《Yubikey的使用体验》

(CCID)PIV 是用于一些关联 PIV 智能卡的安全设备,相对个人用户熟悉的就是 GPG 证书了

  • 密码:123456
  • PUK:12345678
  • 管理密钥:010203040506070801020304050607080102030405060708

《Yubikey的使用体验》

最后 Interface 里,你可以控制该 Yubikey 所有功能的 开 或 关《Yubikey的使用体验》


5.2、Yubico Authenticator

这款软件的功能就是根据 HOTP+TOTP 并显示一次性密码。冷不丁说这两个名词可能也比较纳闷是什么,那么如果说 谷歌验证器 或者 LassPass ,想必大家就都知道了。
(CCID)Yubikey 5 最多可以储存 32 组 HOTP+TOTP 凭据,并且访问这些凭据必须使用 Yubico Authenticator [ 链接 ]

《Yubikey的使用体验》

旧版本打开软件,可以直接看到对应的 TOTP 一次性密码,但是实际上,大多数使用时是将此密钥加密的。
并且为了安全性考虑,Yubikey 在软件升级后添加了 “触摸物理密钥才可以查看” 的功能防止远程窃取。
查看方式为:先双击两下对应的 一次性密码 接着下方会提示你让你触摸物理密钥,触摸后即可查看一次密码。

《Yubikey的使用体验》

默认 Yubikey 被打开是不需要密码的,如果你担心安全,可以设置上密码,左上角三个小圆点就是 Settings
打开后你可以看到你的这个 Yubikey 的唯一 SN,作为你当前选择的 Yubikey。

《Yubikey的使用体验》

接着在 Change  Password 中输入你的密码即可(本图已经配置过了所以需要输入原有密码)

《Yubikey的使用体验》《Yubikey的使用体验》

当你输入完毕后,你退出并重新使用 Yubico Authenticator 时,会需要你输入密码

《Yubikey的使用体验》

当你使用多枚 Yubikey 设备时,你可以通过指定 接口 来控制输入源
在当前版本 v5.0.1 时,一共有三种,分别是 CCID 默认 CCID 指定设备 OTP 验证方式(使用插槽)

《Yubikey的使用体验》
同时如果你经常使用的话,你可以让 Yubikey Authenticator 将图标放在开始菜单中以便随时使用。

《Yubikey的使用体验》


5.3、Yubikey Personalization Tool

作为一个价值 50$的产品,怎么能不支持工程模式呢?Yubikey 在官网上提供了批量配置工具。[ 链接 ]
这款工具可以让你对 yubikey 的两个插槽进行细致化的控制。

《Yubikey的使用体验》那么先举个例子,比如我们想配置 Slot 1 插槽为 Challenge-Response + HMAC-SHA1 模式。

《Yubikey的使用体验》

我们可以选择插槽,然后为插槽配好一份加密,然后使用准备好的密钥,然后写入到 yubikey 中。
注意,写入到 Slot 1 时会提示一个警告给你,如果你确认不使用 Yubikey 出厂送的 OTP 验证方式,你可以覆写,否则建议你移动到 Slot 2 后再进行写入。

《Yubikey的使用体验》


6、相关链接

Yubikey 官网 [ 链接 ]

Yubikey 5 [ 链接 ]

点赞