YubiKey
YubiKey 是什么?
YubiKeyYubico 推出的硬件安全密钥系列,支持 FIDO2、WebAuthn、U2F、PIV 智能卡、OpenPGP 及 OTP 等协议,实现抗钓鱼认证。
YubiKey 是一种 USB、NFC 或 Lightning 接口的小型设备,在防篡改硬件中保存密钥,并按需对认证挑战签名。支持多种协议:FIDO2/WebAuthn(无密码与第二因素登录)、U2F(传统 2FA)、PIV 智能卡(基于证书的认证)、OpenPGP(代码与邮件签名)、OATH-HOTP/TOTP 与 Yubico OTP。私钥从不离开设备,认证与源域绑定,因此可有效抵御凭据钓鱼、AitM 代理和 SIM 卡转移攻击。Google、Cloudflare 和美国联邦政府公开表示,强制使用硬件密钥后员工被钓成功的事件归零。
● 示例
- 01
在 Google Workspace 使用 YubiKey 5 作为唯一的 FIDO2 因素登录。
- 02
在 PIV 模式下使用 YubiKey 作为相当于 CAC 的智能卡。
● 常见问题
YubiKey 是什么?
Yubico 推出的硬件安全密钥系列,支持 FIDO2、WebAuthn、U2F、PIV 智能卡、OpenPGP 及 OTP 等协议,实现抗钓鱼认证。 它属于网络安全的 密码学 分类。
YubiKey 是什么意思?
Yubico 推出的硬件安全密钥系列,支持 FIDO2、WebAuthn、U2F、PIV 智能卡、OpenPGP 及 OTP 等协议,实现抗钓鱼认证。
YubiKey 是如何工作的?
YubiKey 是一种 USB、NFC 或 Lightning 接口的小型设备,在防篡改硬件中保存密钥,并按需对认证挑战签名。支持多种协议:FIDO2/WebAuthn(无密码与第二因素登录)、U2F(传统 2FA)、PIV 智能卡(基于证书的认证)、OpenPGP(代码与邮件签名)、OATH-HOTP/TOTP 与 Yubico OTP。私钥从不离开设备,认证与源域绑定,因此可有效抵御凭据钓鱼、AitM 代理和 SIM 卡转移攻击。Google、Cloudflare 和美国联邦政府公开表示,强制使用硬件密钥后员工被钓成功的事件归零。
如何防御 YubiKey?
针对 YubiKey 的防御通常结合技术控制与运营实践,详见上方完整定义。
● 相关术语
- identity-access№ 414
FIDO2
FIDO 联盟推出的开放认证标准,结合 WebAuthn(浏览器 API)和 CTAP(认证器协议),实现抗钓鱼的无密码登录。
- identity-access№ 1230
WebAuthn
W3C 标准 JavaScript API,允许 Web 应用使用存储在平台或外部认证器上的公钥凭据来注册和认证用户。
- identity-access№ 1185
U2F (通用第二因素)
FIDO 联盟提出的开放认证标准,通过 USB、NFC 或蓝牙安全密钥为密码增加硬件第二因素。
- identity-access№ 793
通行密钥 (Passkey)
一种抗钓鱼的 FIDO2/WebAuthn 凭据,使用绑定设备或可同步的非对称密钥对,以加密挑战-响应取代密码。
- cryptography№ 462
硬件令牌(Hardware Token)
存储加密密钥并执行认证操作的物理设备,在多因素认证中作为持有因素使用。
- identity-access№ 708
多因素认证 (MFA)
在授予访问权限前,要求提供两个或两个以上独立认证因素(通常来自不同类别)的认证方法。
● 参见
- № 461硬件安全模块(HSM)
- № 1178可信平台模块(TPM)