我刚刚发现了YubiKey NEO,它似乎是一个非常棒的设备,用于维护各种不同事物的安全性,包括计算机登录、SSH 私钥、GPG 私钥,甚至密码保险箱应用程序。
我大致了解像 Google Authenticator 这样的系统是如何工作的,其中服务器和客户端共享一个私钥,该私钥根据当前时间生成 6 位数字密钥。这是有道理的,因为双方都需要动态计算这些值并验证它们。客户端生成密钥,发送给服务器,服务器根据当前时间计算密钥;如果匹配,则成功登录。
然而,在其他情况下,特别是在诸如私有 SSH 密钥、私有 GPG 密钥和密码保险箱之类的静态文件中,YubiKey NEO 之类的东西如何帮助解锁私有文件?使用密码加密这些文件或使用文件作为密码的种子很简单,但是一次性密码如何使用呢?
我的特定用例是:
YubiKey NEO 是一种独特的一次性验证设备,它结合了 YubiKey 硬件验证设备的功能和智能卡的扩展功能,无需额外的驱动程序或软件。
YubiKey NEO 有 3 个主要元素 - 第一个是 YubiKey 元素,它允许 YubiKey 用作可配置的硬件认证设备,能够容纳 2 个独立的配置。每个配置都可以设置为使用 Yubico OTP、OATH-HOTP、质询-响应配置或简单的静态密码生成代码。所有用于支持 YubiKey 模式的验证服务器软件也是开源的。事实上,许多密码管理器已经将 YubiKey 集成到他们的产品中 - https://www.yubico.com/applications/password-management/consumer/
您的一个用例是要求登录到您的 Linux 桌面。这可以使用 YubiKey 和 Yubico - PAM 模块 ( https://developers.yubico.com/yubico-pam ) 轻松完成。相同的模块也可用于通过第二因素身份验证保护您的 SSH ( https://hak5.org/episodes/hak5-1114 )。
YubiKey NEO 的第二个元素是 NEO 上的安全元素,它允许基于智能卡的功能,包括使用 YubiKey NEO 作为 PIV 兼容的智能卡来持有证书(https://developers.yubico.com/yubico-piv -tool/doc/YubiKey-NEO-PIV-Introduction.html )。此外,YubiKey NEO 有一个 OpenPGP 小程序,用于将您的私钥安全地保存在 YubiKey 本身上,防止它们在您的系统受到威胁时被暴露(https://www.yubico.com/2012/12/yubikey-neo -openpgp)。
最后,YubiKey NEO 是第一款支持革命性新协议 U2F(https://fidoalliance.org/adoption/video/yubico-fido-alliance-universal-2nd-factor-u2f-demonstration)的设备。这种下一代身份验证协议旨在提供基于智能卡的解决方案的安全性,同时易于集成和支持传统的硬件身份验证令牌系统。