OATH HOTP、OATH TOTP 一方面(例如信用卡大小的令牌的形式)和 U2F(例如 USB 密钥的形式)中的哪一个对于网上银行等用途更安全、电子邮件和类似的?在技术加密级别和可用性方面,每种方法的优缺点是什么?
我可以看到的第三个选项,例如与keepass 或PGP 密钥等密码管理器一起使用,是将密钥存储在USB 记忆棒上:这与上述安全性相比如何?
用于网上银行和电子邮件的 OTP 与 U2F(与 USB 上的存储密钥相比)
信息安全
gnupg
多因素
一次性密码
u2f
2021-08-15 00:23:15
1个回答
标准密码(甚至本地加密)、xOTP(OTP、HOTP、TOTP)[带有或不带有 SMS 代码] 有许多漏洞,现在最重要的是:没有真正的网络钓鱼保护。一个快速的视觉提醒:http: //www.neowave.fr/pleaseno/SMS_OTP_TOTP_QRCODE_SSL_ARE_NOT_SOLUTIONS.pdf
FIDO U2F 是一个真正但简单的基于 PKI 的解决方案(椭圆曲线/非对称密码学),即使不完美,也不会对 FIDO U2F 进行简单的中继/网络钓鱼攻击。
关于 Xiong Chiamiox 的评论:FIDO U2F 已经作为 USB 安全密钥存在于台式机/笔记本电脑(Windows、Linux、OSX)上,但也有适用于 Android 智能手机和平板电脑的 FIDO U2F NFC 卡。今年晚些时候,甚至还会有蓝牙低功耗 (BLE) 设备在 laaaast 将 FIDO U2F 带到 iOS 设备。