安全金鑰
防護下列威脅:
實體安全金鑰可為線上帳戶添加強大的保護層。 與驗證器應用程式 相比,FIDO2 安全金鑰協定不受網路釣魚的影響,在沒持有金鑰的情況下不會受到侵害。 許多服務支援 FIDO2/WebAuthn 作為保護帳戶安全的多因素驗證選項,且某些服務可用安全金鑰作為無密碼身份驗證的強大單因素驗證器。
YubiKey 安全金鑰
Yubico Security Key系列是最佳成本效益的實體安全金鑰,擁有 FIDO 2 級認證。 它支援 FIDO2/WebAuthn 和 FIDO U2F,並且可以與大多數支援安全金鑰作為第二因素的服務以及許多密碼管理器一起使用。
有 USB-C 和 USB-A 兩種版本,兩者都支援 NFC,可與行動裝置一起使用。
此金鑰僅提供基本的 FIDO2 功能,但對於大多數人來說就足夠其需求。 安全金鑰系列不具備的功能為:
- Yubico Authenticator
- CCID 智慧卡支援 (PIV-compatibile)
- OpenPGP
如需要這些功能,則應該考慮高階版 YubiKey 產品。
警告
Yubico 安全金鑰的韌體不可更新。 如果您想要使用較新韌體版本的功能,或者使用中的韌體版本存在漏洞,則需要購買新的金鑰。
YubiKey
Yubico 的 YubiKey 系列是最受歡迎的安全金鑰之一。 YubiKey 5 糸列的廣泛功能,例如: Universal 2nd Factor (U2F)、FIDO2 and WebAuthn、Yubico OTP、Personal Identity Verification (PIV)、 OpenPGP、TOTP and HOTP驗證。
比較表 顯示 YubiKey 的功能以及與 Yubico 安全金鑰 系列之間相互比較。 YubiKey 好處之一是,一支可以滿足對安全金鑰硬體的全部期待。 建議購買前先 作個小測驗 ,確保做出正確的選擇。
Yubikey 5系列具有FIDO 1級認證,這是最常見的。 不過,有些政府或其他組織可能需要具備第二級認證的金鑰,在這種情況下,您就必須購買 Yubikey 5 FIPS 系列 ,或 Yubico Security Key 系列 金鑰。 大多數人不必擔心這種差異。
YubiKey 可以使用 YubiKey Manager 或 YubiKey Personalization Tools 來設定它。 若要管理 TOTP 程式碼,可用 Yubico Authenticator。 Yubico 所有客戶端軟體都是開源的。
支援 HOTP 和 TOTP 的機型, OTP 介面中有2個插槽可用於HOTP 和32個插槽來儲存 TOTP 機密。 這些機密經加密後儲存在金鑰上,永遠不會將它們暴露在插入的設備上。 一旦向 Yubico Authenticator 提供種子(共享祕密) ,它將只會給出六位數的代碼,但永遠不會提供種子。 此安全模型有助於限制攻擊者,即便運行 Yubico Authenticator的設備受到破壞,讓受到物理攻擊時 Yubikey 仍具抵抗力。
警告
Yubikey 安全金鑰的韌體不可更新。 如果您想要使用較新韌體版本的功能,或者使用中的韌體版本存在漏洞,則需要購買新的金鑰。
Nitrokey
Nitrokey 有能夠支援 FIDO2 和 WebAuthn 的安全金鑰,稱為 Nitrokey FIDO2。 若要獲得 PGP 支援,您需要購買他們其他鑰匙,例如 Nitrokey Start、Nitrokey Pro 2 或 Nitrokey Storage 2。
比較表 顯示 Nitrokey 模式的功能以及比較方式。 Nitrokey 3 具有組合的功能集。
Nitrokey 模式可用 Nitrokey 應用程式 來設定。
支援 HOTP 和 TOTP 的型號,有 3 個 HOTP 插槽,15 個 TOTP 插槽。 有些 Nitrokeys 可以充當密碼管理器。 可以儲存 16 組憑證,並使用與 OpenPGP 接口相同的密碼對憑證加密。
警告
雖然 Nitrokeys 不會將 HOTP/TOTP 機密釋放給所插入的裝置,但HOTP 和 TOTP 儲存* 未經加密 * ,容易受到物理攻擊。 如果需要儲存 HOTP 或 TOTP 這類機密,強烈建議使用Yubikey 代替。
警告
重置 Nitrokey 的 OpenPGP 介面會使密碼資料庫變為 無法存取。
標準
**請注意,我們與推薦的任何項目均無關。**除了我們的通用標準外,我們還制定了一套明確的要求,以便我們能夠提供客觀的建議。 我們建議您在選擇使用項目之前先熟悉此列表,並進行自己的研究,以確保它是您的正確選擇。
最低合格要求
- 必須使用高品質、防篡改的硬體安全模組。
- 必須支援最新的 FIDO2 規格。
- 不允許私鑰提取。
- 價格超過 35美元的裝置必須支援處理 OpenPGP 和 S/MIME。
最佳情況
最佳情況標準代表我們希望在這個類別的完美項目的應具備的特性。 推薦產品可能沒有此功能,但若有這些功能則會讓排名更為提高。
- 應採用 USB-C 格式。
- 應與 NFC一起使用。
- 支持 TOTP 機密儲存。
- 應支援安全軔體更新。
您正在查看 Privacy Guides 的 正體中文 版本,由我們在 Crowdin 上出色的團隊翻譯。如果您發現錯誤,或在此頁面上看到任何未翻譯的部分,請考慮提供幫助! 訪問 Crowdin
You're viewing the 正體中文 copy of Privacy Guides, translated by our fantastic language team on Crowdin. If you notice an error, or see any untranslated sections on this page, please consider helping out!