YubiKey:修订间差异
删除的内容 添加的内容
→社會參與: // Edit via Wikiplus |
→已支持的服务或平台: 清理純列表的內容 标签:清空章节 |
||
| (未显示8个用户的11个中间版本) | |||
| 第3行: | 第3行: | ||
|G1=IT |
|G1=IT |
||
}} |
}} |
||
| ⚫ | '''YubiKey'''是由'''Yubico'''生产的[[安全令牌|身份认证设备]],支持[[一次性密码]](OTP)、[[公钥]]加密和身份认证,以及由[[FIDO联盟]](FIDO U2F)开发的[[通用第二因素]](U2F)协议。<ref>{{cite web|url=https://fidoalliance.org/specifications/overview/|title=Specifications Overview|accessdate=4 December 2015|website=FIDO Alliance|archive-date=2018-12-09|archive-url=https://web.archive.org/web/20181209210217/https://fidoalliance.org/specifications/overview/}}</ref>它讓用户可以透过提交[[一次性密碼]]或是使用设备產生的公開/私密金钥来安全地登录自己的帐户。针对不支持一次性密码的网站,YubiKey也可以存储静态密码。<ref>{{cite web|url=https://www.yubico.com/about/intro/yubikey/|title=What Is A Yubikey|accessdate=7 November 2014|website=Yubico|archive-date=2015-01-31|archive-url=https://web.archive.org/web/20150131222500/https://www.yubico.com/about/intro/yubikey/}}</ref>[[Facebook]]使用YubiKey作为员工凭证;<ref>{{cite web|url=https://www.wired.com/2013/10/facebook-yubikey/|title=Facebook Pushes Passwords One Step Closer to Death|accessdate=7 November 2014|author=McMillan|date=3 October 2013|work=Wired|archive-date=2021-05-07|archive-url=https://web.archive.org/web/20210507053634/https://www.wired.com/2013/10/facebook-yubikey/}}</ref>[[Google]]同时为雇员和用户提供支援。<ref>{{cite news|url=https://www.forbes.com/sites/amadoudiallo/2013/11/30/google-wants-to-make-your-passwords-obsolete/|title=Google Wants To Make Your Passwords Obsolete|first1=Amadou|date=30 November 2013|publisher=Forbes|accessdate=15 November 2014|last1=Diallo|archive-date=2017-08-18|archive-url=https://web.archive.org/web/20170818164058/https://www.forbes.com/sites/amadoudiallo/2013/11/30/google-wants-to-make-your-passwords-obsolete/|dead-url=no}}</ref><ref>{{cite news|url=https://online.wsj.com/news/articles/SB10001424127887323585604579008620509295960|title=Say Goodbye to the Password|first1=Andrew|date=15 September 2013|publisher=The Wall Street Journal|accessdate=15 November 2014|last1=Blackman|archive-date=2014-01-03|archive-url=https://web.archive.org/web/20140103085719/https://online.wsj.com/news/articles/SB10001424127887323585604579008620509295960|dead-url=no}}</ref>還有一些密码管理器也支持YubiKey。<ref>{{cite web|url=https://helpdesk.lastpass.com/security-options/multifactor-authentication-options/yubikey-authentication/|title=YubiKey Authentication|accessdate=15 November 2014|website=LastPass|archive-date=2014-10-07|archive-url=https://web.archive.org/web/20141007070737/https://helpdesk.lastpass.com/security-options/multifactor-authentication-options/yubikey-authentication/}}</ref><ref>{{cite web|url=http://keepass.info/help/kb/yubikey.html|title=KeePass & YubiKey|accessdate=15 November 2014|website=KeePass|archive-date=2022-03-08|archive-url=https://web.archive.org/web/20220308073612/https://keepass.info/help/kb/yubikey.html}}</ref> |
||
[[File:YubiKey-4-keychain-and-YubiKey-4-Nano.png|缩略图|YubiKey 4和YubiKey 4 Nano USB装置。]] |
|||
| ⚫ | '''YubiKey'''是由'''Yubico'''生产的[[安全令牌|身份认证设备]],支持[[一次性密码]](OTP)、[[公钥]]加密和身份认证,以及由[[FIDO联盟]](FIDO U2F)开发的[[通用第二因素]](U2F)协议。<ref>{{cite web|url=https://fidoalliance.org/specifications/overview/|title=Specifications Overview|accessdate=4 December 2015|website=FIDO Alliance}}</ref>它讓用户可以透过提交[[一次性密碼]]或是使用设备產生的公開/私密金钥来安全地登录自己的帐户。针对不支持一次性密码的网站,YubiKey也可以存储静态密码。<ref>{{cite web|url=https://www.yubico.com/about/intro/yubikey/|title=What Is A Yubikey|accessdate=7 November 2014|website=Yubico}}</ref>[[Facebook]]使用YubiKey作为员工凭证;<ref>{{cite web|url=https://www.wired.com/2013/10/facebook-yubikey/|title=Facebook Pushes Passwords One Step Closer to Death|accessdate=7 November 2014|author=McMillan|date=3 October 2013|work=Wired}}</ref>[[Google]]同时为雇员和用户提供支援。<ref>{{cite news|url=https://www.forbes.com/sites/amadoudiallo/2013/11/30/google-wants-to-make-your-passwords-obsolete/|title=Google Wants To Make Your Passwords Obsolete|first1=Amadou|date=30 November 2013|publisher=Forbes|accessdate=15 November 2014|last1=Diallo}}</ref><ref>{{cite news|url=https://online.wsj.com/news/articles/SB10001424127887323585604579008620509295960|title=Say Goodbye to the Password|first1=Andrew|date=15 September 2013|publisher=The Wall Street Journal|accessdate=15 November 2014|last1=Blackman}}</ref>還有一些密码管理器也支持YubiKey。<ref>{{cite web|url=https://helpdesk.lastpass.com/security-options/multifactor-authentication-options/yubikey-authentication/|title=YubiKey Authentication|accessdate=15 November 2014|website=LastPass}}</ref><ref>{{cite web|url=http://keepass.info/help/kb/yubikey.html|title=KeePass & YubiKey|accessdate=15 November 2014|website=KeePass}}</ref> |
||
Yubikey实现了{{tsl|en|HMAC-based One-time Password Algorithm|基于HMAC的一次性密码算法}}(HOTP)和[[基于时间的一次性密码算法]](TOTP),并且將本身作为一个通过USB HID协议的键盘來提供一次性密码。YubiKey NEO和YubiKey 4还包含许多协议,如使用2048位[[RSA加密演算法|RSA]]和[[椭圆曲线密码学|椭圆曲线加密系统]](ECC)p256和p384的OpenPGP卡、[[近場通訊|近场通信]](NFC)以及FIDO U2F。YubiKey允许用户对消息签名、加密且同时不暴露私钥。第4代YubiKey于2015年11月16日推出,支持4096位RSA密钥的OpenPGP,并有{{tsl|en|FIPS 201|PIV智能卡}}的[[PKCS11]]支持,还允许对[[Docker (軟體)|Docker]]映像进行[[代码签名]]。<ref>{{cite web|url=https://www.yubico.com/2015/11/4th-gen-yubikey-4/|title=Launching The 4th Generation YubiKey|accessdate=20 November 2015|website=Yubico}}</ref><ref>{{cite web|url=https://www.yubico.com/2015/11/yubico-docker-codesign/|title=With a Touch, Yubico, Docker Revolutionize Code Signing|accessdate=20 November 2015|website=Yubico}}</ref> |
Yubikey实现了{{tsl|en|HMAC-based One-time Password Algorithm|基于HMAC的一次性密码算法}}(HOTP)和[[基于时间的一次性密码算法]](TOTP),并且將本身作为一个通过USB HID协议的键盘來提供一次性密码。YubiKey NEO和YubiKey 4还包含许多协议,如使用2048位[[RSA加密演算法|RSA]]和[[椭圆曲线密码学|椭圆曲线加密系统]](ECC)p256和p384的OpenPGP卡、[[近場通訊|近场通信]](NFC)以及FIDO U2F。YubiKey允许用户对消息签名、加密且同时不暴露私钥。第4代YubiKey于2015年11月16日推出,支持4096位RSA密钥的OpenPGP,并有{{tsl|en|FIPS 201|PIV智能卡}}的[[PKCS11]]支持,还允许对[[Docker (軟體)|Docker]]映像进行[[代码签名]]。<ref>{{cite web|url=https://www.yubico.com/2015/11/4th-gen-yubikey-4/|title=Launching The 4th Generation YubiKey|accessdate=20 November 2015|website=Yubico|archive-date=2018-11-30|archive-url=https://web.archive.org/web/20181130202118/https://www.yubico.com/2015/11/4th-gen-yubikey-4/}}</ref><ref>{{cite web|url=https://www.yubico.com/2015/11/yubico-docker-codesign/|title=With a Touch, Yubico, Docker Revolutionize Code Signing|accessdate=20 November 2015|website=Yubico|archive-date=2018-11-30|archive-url=https://web.archive.org/web/20181130202130/https://www.yubico.com/2015/11/yubico-docker-codesign/}}</ref> |
||
Yubico是一家私人公司,2007年由[[首席执行官]]{{tsl|en|Stina Ehrensvärd}}创立,办事处位于[[帕羅奧圖 (加利福尼亞州)|帕羅奧圖]]、[[西雅圖]]和[[斯德哥尔摩]]。<ref>{{cite web|url=https://www.yubico.com/about/team/|title=The Team|accessdate=12 September 2015|publisher=Yubico|language=}}</ref>Yubico[[首席技术官]]Jakob Ehrensvärd是原“强认证规范”的主要作者,该规范后来演变为通用第二因素(U2F)。<ref>{{cite web|url=https://fidoalliance.org/about/history/|title=History of FIDO|accessdate=16 March 2017|publisher=FIDO Alliance}}</ref> |
Yubico是一家私人公司,2007年由[[首席执行官]]{{tsl|en|Stina Ehrensvärd}}创立,办事处位于[[帕羅奧圖 (加利福尼亞州)|帕羅奧圖]]、[[西雅圖]]和[[斯德哥尔摩]]。<ref>{{cite web|url=https://www.yubico.com/about/team/|title=The Team|accessdate=12 September 2015|publisher=Yubico|language=|archive-date=2022-05-10|archive-url=https://web.archive.org/web/20220510204632/https://www.yubico.com/about/team/}}</ref>Yubico[[首席技术官]]Jakob Ehrensvärd是原“强认证规范”的主要作者,该规范后来演变为通用第二因素(U2F)。<ref>{{cite web|url=https://fidoalliance.org/about/history/|title=History of FIDO|accessdate=16 March 2017|publisher=FIDO Alliance|archive-date=2018-08-26|archive-url=https://web.archive.org/web/20180826095559/https://fidoalliance.org/about/history/}}</ref> |
||
== 历史 == |
== 历史 == |
||
在[[消費電子展|CES 2017]]峰会上,YubiKey宣布推出新[[USB Type-C|USB-C]]设计的YubiKey 4C。YubiKey 4C于2017年2月13日发布。<ref>{{Cite news|url=https://www.yubico.com/2017/01/yubikey-usb-c-ces2017/|title=NEW YubiKey 4C featuring USB-C revealed at CES 2017 {{!}} Yubico|date=2017-01-05|work=Yubico|accessdate=2017-09-14|language=en-US}}</ref>在通过USB-C连接的[[Android]]上,目前仅支持一次性密码功能,而[[通用第二因素]](U2F)之類的其他功能仍無法使用。<ref>{{Cite news|url=https://www.yubico.com/support/knowledge-base/categories/articles/can-yubikey-4c-plugged-directly-android-phones-tablets-usb-c-ports/|title=Can the YubiKey 4C be plugged directly into Android phones or tablets with USB-C ports? {{!}} Yubico|work=Yubico|accessdate=2017-09-14|language=en-US|archive-url=https://web.archive.org/web/20170914215822/https://www.yubico.com/support/knowledge-base/categories/articles/can-yubikey-4c-plugged-directly-android-phones-tablets-usb-c-ports/|archive-date=2017-09-14|dead-url=yes}}</ref> |
在[[消費電子展|CES 2017]]峰会上,YubiKey宣布推出新[[USB Type-C|USB-C]]设计的YubiKey 4C。YubiKey 4C于2017年2月13日发布。<ref>{{Cite news|url=https://www.yubico.com/2017/01/yubikey-usb-c-ces2017/|title=NEW YubiKey 4C featuring USB-C revealed at CES 2017 {{!}} Yubico|date=2017-01-05|work=Yubico|accessdate=2017-09-14|language=en-US|archive-date=2020-01-06|archive-url=https://web.archive.org/web/20200106092933/https://www.yubico.com/2017/01/yubikey-usb-c-ces2017/}}</ref>在通过USB-C连接的[[Android]]上,目前仅支持一次性密码功能,而[[通用第二因素]](U2F)之類的其他功能仍無法使用。<ref>{{Cite news|url=https://www.yubico.com/support/knowledge-base/categories/articles/can-yubikey-4c-plugged-directly-android-phones-tablets-usb-c-ports/|title=Can the YubiKey 4C be plugged directly into Android phones or tablets with USB-C ports? {{!}} Yubico|work=Yubico|accessdate=2017-09-14|language=en-US|archive-url=https://web.archive.org/web/20170914215822/https://www.yubico.com/support/knowledge-base/categories/articles/can-yubikey-4c-plugged-directly-android-phones-tablets-usb-c-ports/|archive-date=2017-09-14|dead-url=yes}}</ref> |
||
== ModHex == |
== ModHex == |
||
| 第17行: | 第16行: | ||
== 对YubiKey 4的安全担忧(封闭源代码) == |
== 对YubiKey 4的安全担忧(封闭源代码) == |
||
Yubico已使用闭源代码替换了YubiKey 4中全部开源组件,这使得独立审查安全缺陷不再可能。<ref>{{Cite web|url=https://plus.google.com/+KonstantinRyabitsev/posts/4a7RNxtt7vy|title=I must, sadly, withdraw my endorsement of yubikey 4 devices (and perhaps all ...|accessdate=12 November 2016|last=Ryabitsev|first=Konstantin}}</ref>Yubico宣布已经在内部和外部审查中完成缺陷审查。Yubikey NEO仍使用开源代码。<ref>{{Cite web|url=https://github.com/Yubico/ykneo-openpgp/issues/2#issuecomment-218446368|title=dainnilsson commented on 11 May|accessdate=12 November 2016}}</ref>2016年5月16日,Yubico |
Yubico已使用闭源代码替换了YubiKey 4中全部开源组件,这使得独立审查安全缺陷不再可能。<ref>{{Cite web|url=https://plus.google.com/+KonstantinRyabitsev/posts/4a7RNxtt7vy|title=I must, sadly, withdraw my endorsement of yubikey 4 devices (and perhaps all ...|accessdate=12 November 2016|last=Ryabitsev|first=Konstantin|archive-date=2019-03-22|archive-url=https://web.archive.org/web/20190322223600/https://plus.google.com/+KonstantinRyabitsev/posts/4a7RNxtt7vy}}</ref>Yubico宣布已经在内部和外部审查中完成缺陷审查。Yubikey NEO仍使用开源代码。<ref>{{Cite web|url=https://github.com/Yubico/ykneo-openpgp/issues/2#issuecomment-218446368|title=dainnilsson commented on 11 May|accessdate=12 November 2016|archive-date=2021-04-30|archive-url=https://web.archive.org/web/20210430191308/https://github.com/Yubico/ykneo-openpgp/issues/2#issuecomment-218446368}}</ref>2016年5月16日,Yubico CTO Jakob Ehrensvärd发布[[博客|博文]]对开源社区的担忧作出回复<ref>{{Cite web|url=https://www.yubico.com/2016/05/secure-hardware-vs-open-source/|title=Secure Hardware vs. Open Source|accessdate=16 March 2017|archive-date=2019-11-14|archive-url=https://web.archive.org/web/20191114104751/https://www.yubico.com/2016/05/secure-hardware-vs-open-source/}}</ref>,申明公司有力的开源支持,并给出了Yubikey 4更新的理由和益处。 |
||
2017年10月,安全研究人员发现了一个安全隐患(称为{{tsl|en|ROCA vulnerability||ROCA}}),其出现在大量英飞凌(Infineon)安全芯片使用的加密[[程序库]]中实现RSA密钥对生成的部分。这一漏洞允许攻击者使用公钥重建私钥。<ref>{{Cite web|url=https://crocs.fi.muni.cz/public/papers/rsa_ccs17|title=ROCA: Vulnerable RSA generation (CVE-2017-15361) [CRoCS wiki]|accessdate=2017-10-19|language=en}}</ref><ref>{{Cite web|url=https://nvd.nist.gov/vuln/detail/CVE-2017-15361|title=NVD - CVE-2017-15361|accessdate=2017-10-19}}</ref>所有固件版本在4.2.6与4.3.4之间的YubiKey 4、YubiKey 4C以及YubiKey 4 nano都受到影响。<ref>{{Cite web|url=https://www.yubico.com/keycheck/|title=Infineon RSA Key Generation Issue - Customer Portal|accessdate=2017-10-19}}</ref>Yubico发布了一个检查工具,如果检查确认自己的Yubikey受到影响,可以免费更换。<ref>{{Cite web|url=https://www.yubico.com/keycheck/verify_otp|title=Infineon RSA Key Generation Issue - Customer Portal|accessdate=2017-10-19|archive-url=https://web.archive.org/web/20181222101837/https://www.yubico.com/keycheck/verify_otp|archive-date=2018-12-22|dead-url=yes}}</ref> |
2017年10月,安全研究人员发现了一个安全隐患(称为{{tsl|en|ROCA vulnerability||ROCA}}),其出现在大量英飞凌(Infineon)安全芯片使用的加密[[程序库]]中实现RSA密钥对生成的部分。这一漏洞允许攻击者使用公钥重建私钥。<ref>{{Cite web|url=https://crocs.fi.muni.cz/public/papers/rsa_ccs17|title=ROCA: Vulnerable RSA generation (CVE-2017-15361) [CRoCS wiki]|accessdate=2017-10-19|language=en|archive-date=2021-03-23|archive-url=https://web.archive.org/web/20210323092347/https://crocs.fi.muni.cz/public/papers/rsa_ccs17|dead-url=no}}</ref><ref>{{Cite web|url=https://nvd.nist.gov/vuln/detail/CVE-2017-15361|title=NVD - CVE-2017-15361|accessdate=2017-10-19|archive-date=2021-12-06|archive-url=https://web.archive.org/web/20211206182708/https://nvd.nist.gov/vuln/detail/CVE-2017-15361}}</ref>所有固件版本在4.2.6与4.3.4之间的YubiKey 4、YubiKey 4C以及YubiKey 4 nano都受到影响。<ref>{{Cite web|url=https://www.yubico.com/keycheck/|title=Infineon RSA Key Generation Issue - Customer Portal|accessdate=2017-10-19|archive-date=2020-11-11|archive-url=https://web.archive.org/web/20201111224830/https://www.yubico.com/keycheck/}}</ref>Yubico发布了一个检查工具,如果检查确认自己的Yubikey受到影响,可以免费更换。<ref>{{Cite web|url=https://www.yubico.com/keycheck/verify_otp|title=Infineon RSA Key Generation Issue - Customer Portal|accessdate=2017-10-19|archive-url=https://web.archive.org/web/20181222101837/https://www.yubico.com/keycheck/verify_otp|archive-date=2018-12-22|dead-url=yes}}</ref> |
||
| ⚫ | |||
== 已支持的服务或平台 == |
|||
<!-- New links, please in alphabetical order --> |
|||
* [[1Password]] |
|||
* AWS |
|||
* Bitbucket |
|||
* Bitwarden |
|||
* Compose |
|||
* Dashlane |
|||
* Digidentity/{{tsl|en|GOV.UK Verify}} |
|||
* Dropbox |
|||
* Facebook(仅[[Google Chrome]]和[[Opera電腦瀏覽器|Opera]]) |
|||
* [[FastMail]] |
|||
* [[GitHub]](仅Chrome和Opera) |
|||
* [[Gitlab]] |
|||
* Google(仅Chrome) |
|||
* [[KeePass]] |
|||
* {{tsl|en|KeePassXC}} |
|||
* {{tsl|en|Kraken (bitcoin exchange)}} |
|||
* [[LastPass]] |
|||
* [[MacOS]] 10.12 Sierra或更高版本 |
|||
* Mailbox.org |
|||
* Micro Focus |
|||
* [[Microsoft Windows Server 2008]] R2或更高版本,[[Microsoft Windows 7]]或更高版本。 |
|||
* {{tsl|en|Namecheap||Namecheap}} |
|||
* Nextcloud |
|||
* Okta |
|||
* {{tsl|en|Password Safe}} |
|||
* {{tsl|en|Pluggable authentication module|Pluggable Authentication Modules (PAM)}} |
|||
* {{tsl|en|Posteo}} |
|||
* Salesforce |
|||
* Sentry |
|||
* [https://stripe.com/blog/u2f-restricted-keys Stripe] |
|||
* [[Termius]] |
|||
* Thexyz |
|||
* Vanguard |
|||
| ⚫ | 2019年香港[[反對逃犯條例修訂草案運動]]中,對於[[香港警察相關爭議及犯罪指控|警察濫捕及對抗爭者網絡入侵]]的恐懼,Yubico向香港示威者贊助了500支YubiKey以用作保護示威者。Yubico表示該決定源自他們保護弱勢互聯網使用者的使命以及對言論自由的支持<ref>{{Cite web|url=https://www.scmp.com/news/hong-kong/society/article/3032287/swedish-tech-firm-yubico-hands-hong-kong-protesters-free|title=Swedish tech firm Yubico hands Hong Kong protesters free security keys amid fears over police tactics online|date=2019-10-10|website=South China Morning Post|language=en|access-date=2019-10-18|archive-date=2022-05-10|archive-url=https://web.archive.org/web/20220510042154/https://www.scmp.com/news/hong-kong/society/article/3032287/swedish-tech-firm-yubico-hands-hong-kong-protesters-free}}</ref><ref>{{Cite web|url=https://thestandnews.com/technology/yubico-%E8%B4%8A%E5%8A%A9%E9%A6%99%E6%B8%AF%E6%8A%97%E7%88%AD%E8%80%85%E4%B8%96%E4%B8%8A%E6%9C%80%E5%BC%B7%E7%B6%B2%E4%B8%8A%E4%BF%9D%E5%AE%89%E9%8E%96%E5%8C%99-yubikey/|title=Yubico 贊助香港抗爭者世上最強網上保安鎖匙 Yubikey {{!}} 立場新聞|website=立場新聞 Stand News|language=en|access-date=2019-10-18|archive-date=2021-06-23|archive-url=https://web.archive.org/web/20210623180321/https://www.thestandnews.com/technology/yubico-%E8%B4%8A%E5%8A%A9%E9%A6%99%E6%B8%AF%E6%8A%97%E7%88%AD%E8%80%85%E4%B8%96%E4%B8%8A%E6%9C%80%E5%BC%B7%E7%B6%B2%E4%B8%8A%E4%BF%9D%E5%AE%89%E9%8E%96%E5%8C%99-yubikey/}}</ref>。 |
||
| ⚫ | |||
| ⚫ | 2019年香港[[反對逃犯條例修訂草案運動]]中,對於[[香港警察相關爭議及犯罪指控|警察濫捕及對抗爭者網絡入侵]]的恐懼,Yubico向香港示威者贊助了500支YubiKey以用作保護示威者。Yubico表示該決定源自他們保護弱勢互聯網使用者的使命以及對言論自由的支持<ref>{{Cite web|url=https://www.scmp.com/news/hong-kong/society/article/3032287/swedish-tech-firm-yubico-hands-hong-kong-protesters-free|title=Swedish tech firm Yubico hands Hong Kong protesters free security keys amid fears over police tactics online|date=2019-10-10|website=South China Morning Post|language=en|access-date=2019-10-18}}</ref><ref>{{Cite web|url=https://thestandnews.com/technology/yubico-%E8%B4%8A%E5%8A%A9%E9%A6%99%E6%B8%AF%E6%8A%97%E7%88%AD%E8%80%85%E4%B8%96%E4%B8%8A%E6%9C%80%E5%BC%B7%E7%B6%B2%E4%B8%8A%E4%BF%9D%E5%AE%89%E9%8E%96%E5%8C%99-yubikey/|title=Yubico 贊助香港抗爭者世上最強網上保安鎖匙 Yubikey {{!}} 立場新聞|website=立場新聞 Stand News|language=en|access-date=2019-10-18}}</ref>。 |
||
== 另见 == |
== 另见 == |
||
| 第67行: | 第30行: | ||
{{Reflist|2}} |
{{Reflist|2}} |
||
== |
==外部链接== |
||
*{{Official website}}{{En icon}} |
|||
* {{官方网站|https://www.yubico.com/}} |
|||
*[https://thestandnews.com/technology/%E9%9B%BB%E8%85%A6%E6%89%8B%E6%A9%9F%E7%B6%B2%E7%B5%A1%E5%AE%89%E5%85%A8-%E5%9B%9B-%E6%9C%89%E9%97%9C%E5%AE%89%E5%85%A8%E9%91%B0%E5%8C%99-yubikey-%E4%BD%A0%E5%95%8F%E6%88%91%E7%AD%94/ 立場新聞︰電腦手機網絡安全(四):有關安全鑰匙 YubiKey,你問我答] |
|||
[[Category:認證方法]] |
[[Category:認證方法]] |
||
[[Category:计算机访问控制]] |
[[Category:计算机访问控制]] |
||
2023年10月29日 (日) 11:57的最新版本
 | 此條目翻譯自其他語言維基百科,需要相關領域的編者協助校對翻譯。 |
YubiKey是由Yubico生产的身份认证设备,支持一次性密码(OTP)、公钥加密和身份认证,以及由FIDO联盟(FIDO U2F)开发的通用第二因素(U2F)协议。[1]它讓用户可以透过提交一次性密碼或是使用设备產生的公開/私密金钥来安全地登录自己的帐户。针对不支持一次性密码的网站,YubiKey也可以存储静态密码。[2]Facebook使用YubiKey作为员工凭证;[3]Google同时为雇员和用户提供支援。[4][5]還有一些密码管理器也支持YubiKey。[6][7]
Yubikey实现了基于HMAC的一次性密码算法(HOTP)和基于时间的一次性密码算法(TOTP),并且將本身作为一个通过USB HID协议的键盘來提供一次性密码。YubiKey NEO和YubiKey 4还包含许多协议,如使用2048位RSA和椭圆曲线加密系统(ECC)p256和p384的OpenPGP卡、近场通信(NFC)以及FIDO U2F。YubiKey允许用户对消息签名、加密且同时不暴露私钥。第4代YubiKey于2015年11月16日推出,支持4096位RSA密钥的OpenPGP,并有PIV智能卡的PKCS11支持,还允许对Docker映像进行代码签名。[8][9]
Yubico是一家私人公司,2007年由首席执行官Stina Ehrensvärd创立,办事处位于帕羅奧圖、西雅圖和斯德哥尔摩。[10]Yubico首席技术官Jakob Ehrensvärd是原“强认证规范”的主要作者,该规范后来演变为通用第二因素(U2F)。[11]
历史
[编辑]在CES 2017峰会上,YubiKey宣布推出新USB-C设计的YubiKey 4C。YubiKey 4C于2017年2月13日发布。[12]在通过USB-C连接的Android上,目前仅支持一次性密码功能,而通用第二因素(U2F)之類的其他功能仍無法使用。[13]
ModHex
[编辑]YubiKey可以发出类十六进制字母形式的密码,目的是尽可能不受系统键盘设置的限制。这种字母表被称为ModHex或Modified Hexadecimal,由字母cbdefghijklnrtuv组成,对应于十六进制数字0123456789abcdef。[14]
对YubiKey 4的安全担忧(封闭源代码)
[编辑]Yubico已使用闭源代码替换了YubiKey 4中全部开源组件,这使得独立审查安全缺陷不再可能。[15]Yubico宣布已经在内部和外部审查中完成缺陷审查。Yubikey NEO仍使用开源代码。[16]2016年5月16日,Yubico CTO Jakob Ehrensvärd发布博文对开源社区的担忧作出回复[17],申明公司有力的开源支持,并给出了Yubikey 4更新的理由和益处。
2017年10月,安全研究人员发现了一个安全隐患(称为ROCA),其出现在大量英飞凌(Infineon)安全芯片使用的加密程序库中实现RSA密钥对生成的部分。这一漏洞允许攻击者使用公钥重建私钥。[18][19]所有固件版本在4.2.6与4.3.4之间的YubiKey 4、YubiKey 4C以及YubiKey 4 nano都受到影响。[20]Yubico发布了一个检查工具,如果检查确认自己的Yubikey受到影响,可以免费更换。[21]
社會參與
[编辑]2019年香港反對逃犯條例修訂草案運動中,對於警察濫捕及對抗爭者網絡入侵的恐懼,Yubico向香港示威者贊助了500支YubiKey以用作保護示威者。Yubico表示該決定源自他們保護弱勢互聯網使用者的使命以及對言論自由的支持[22][23]。
另见
[编辑]参考文献
[编辑]- ^ Specifications Overview. FIDO Alliance. [4 December 2015]. (原始内容存档于2018-12-09).
- ^ What Is A Yubikey. Yubico. [7 November 2014]. (原始内容存档于2015-01-31).
- ^ McMillan. Facebook Pushes Passwords One Step Closer to Death. Wired. 3 October 2013 [7 November 2014]. (原始内容存档于2021-05-07).
- ^ Diallo, Amadou. Google Wants To Make Your Passwords Obsolete. Forbes. 30 November 2013 [15 November 2014]. (原始内容存档于2017-08-18).
- ^ Blackman, Andrew. Say Goodbye to the Password. The Wall Street Journal. 15 September 2013 [15 November 2014]. (原始内容存档于2014-01-03).
- ^ YubiKey Authentication. LastPass. [15 November 2014]. (原始内容存档于2014-10-07).
- ^ KeePass & YubiKey. KeePass. [15 November 2014]. (原始内容存档于2022-03-08).
- ^ Launching The 4th Generation YubiKey. Yubico. [20 November 2015]. (原始内容存档于2018-11-30).
- ^ With a Touch, Yubico, Docker Revolutionize Code Signing. Yubico. [20 November 2015]. (原始内容存档于2018-11-30).
- ^ The Team. Yubico. [12 September 2015]. (原始内容存档于2022-05-10).
- ^ History of FIDO. FIDO Alliance. [16 March 2017]. (原始内容存档于2018-08-26).
- ^ NEW YubiKey 4C featuring USB-C revealed at CES 2017 | Yubico. Yubico. 2017-01-05 [2017-09-14]. (原始内容存档于2020-01-06) (美国英语).
- ^ Can the YubiKey 4C be plugged directly into Android phones or tablets with USB-C ports? | Yubico. Yubico. [2017-09-14]. (原始内容存档于2017-09-14) (美国英语).
- ^ E, Jakob. Modhex - why and what is it?. Yubico. 12 June 2008 [6 November 2016]. (原始内容存档于2017-11-16) (英语).
- ^ Ryabitsev, Konstantin. I must, sadly, withdraw my endorsement of yubikey 4 devices (and perhaps all .... [12 November 2016]. (原始内容存档于2019-03-22).
- ^ dainnilsson commented on 11 May. [12 November 2016]. (原始内容存档于2021-04-30).
- ^ Secure Hardware vs. Open Source. [16 March 2017]. (原始内容存档于2019-11-14).
- ^ ROCA: Vulnerable RSA generation (CVE-2017-15361) [CRoCS wiki]. [2017-10-19]. (原始内容存档于2021-03-23) (英语).
- ^ NVD - CVE-2017-15361. [2017-10-19]. (原始内容存档于2021-12-06).
- ^ Infineon RSA Key Generation Issue - Customer Portal. [2017-10-19]. (原始内容存档于2020-11-11).
- ^ Infineon RSA Key Generation Issue - Customer Portal. [2017-10-19]. (原始内容存档于2018-12-22).
- ^ Swedish tech firm Yubico hands Hong Kong protesters free security keys amid fears over police tactics online. South China Morning Post. 2019-10-10 [2019-10-18]. (原始内容存档于2022-05-10) (英语).
- ^ Yubico 贊助香港抗爭者世上最強網上保安鎖匙 Yubikey | 立場新聞. 立場新聞 Stand News. [2019-10-18]. (原始内容存档于2021-06-23) (英语).
外部链接
[编辑]- 官方网站
(英文)