硬件令牌(Hardware Token)
硬件令牌(Hardware Token) 是什么?
硬件令牌(Hardware Token)存储加密密钥并执行认证操作的物理设备,在多因素认证中作为持有因素使用。
硬件令牌是防篡改的物理设备,生成或保管用于身份验证的凭据。常见示例:FIDO2 安全密钥(YubiKey、Titan Key、SoloKey)、OATH TOTP/HOTP 令牌(RSA SecurID)、PIV/CAC 智能卡以及带芯片的 EMV 银行卡。它比密码和 TOTP App 更安全:私钥永不离开设备,与物理用户绑定,现代 FIDO2 令牌还将认证绑定到来源域以抗钓鱼。风险包括遗失、被盗、供应链攻击与设计不当的旁路攻击;完善的生命周期与吊销流程不可或缺。
● 示例
- 01
向所有管理员发放 FIDO2 硬件令牌,以满足抗钓鱼 MFA 要求。
- 02
依据 HSPD-12 与 NIST 800-157 使用 PIV 智能卡加 PIN 登录联邦政府系统。
● 常见问题
硬件令牌(Hardware Token) 是什么?
存储加密密钥并执行认证操作的物理设备,在多因素认证中作为持有因素使用。 它属于网络安全的 密码学 分类。
硬件令牌(Hardware Token) 是什么意思?
存储加密密钥并执行认证操作的物理设备,在多因素认证中作为持有因素使用。
硬件令牌(Hardware Token) 是如何工作的?
硬件令牌是防篡改的物理设备,生成或保管用于身份验证的凭据。常见示例:FIDO2 安全密钥(YubiKey、Titan Key、SoloKey)、OATH TOTP/HOTP 令牌(RSA SecurID)、PIV/CAC 智能卡以及带芯片的 EMV 银行卡。它比密码和 TOTP App 更安全:私钥永不离开设备,与物理用户绑定,现代 FIDO2 令牌还将认证绑定到来源域以抗钓鱼。风险包括遗失、被盗、供应链攻击与设计不当的旁路攻击;完善的生命周期与吊销流程不可或缺。
如何防御 硬件令牌(Hardware Token)?
针对 硬件令牌(Hardware Token) 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- cryptography№ 1260
YubiKey
Yubico 推出的硬件安全密钥系列,支持 FIDO2、WebAuthn、U2F、PIV 智能卡、OpenPGP 及 OTP 等协议,实现抗钓鱼认证。
- identity-access№ 414
FIDO2
FIDO 联盟推出的开放认证标准,结合 WebAuthn(浏览器 API)和 CTAP(认证器协议),实现抗钓鱼的无密码登录。
- identity-access№ 708
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
- cryptography№ 1178
可信平台模块(TPM)
由 TCG 标准化的安全芯片,焊接在主板上或以固件方式实现,提供基于硬件的密钥存储、远程证明与度量启动。
- cryptography№ 461
硬件安全模块(HSM)
防篡改的硬件设备,在不向操作系统暴露原始密钥材料的前提下生成、保管并使用加密密钥。
- identity-access№ 1185
U2F (通用第二因素)
FIDO 联盟提出的开放认证标准,通过 USB、NFC 或蓝牙安全密钥为密码增加硬件第二因素。
● 参见
- № 981安全启动(Secure Boot)