V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Yangz
V2EX  ›  信息安全

请问有没有支持两步验证的硬件呀?

  •  
  •   Yangz · 2021-04-29 19:31:11 +08:00 via Android · 4976 次点击
    这是一个创建于 1338 天前的主题,其中的信息可能已经有所发展或是发生改变。

    目前的两步验证( Two-factor authenticator )需要一个类似于 Microsoft authenticator 的手机 APP 。如果遇到系统大更新,保不准就会出现软件崩溃问题。如果做成一个单独的硬件,则可以避免这个问题。

    但两步验证的硬件似乎只有类似 Yubico,目前没有很多开发商支持这个协议。但是如果可以使用 Microsoft authenticator 常用的作为时间的函数的数字验证码等我方式来做,可以减少很多兼容性问题。

    我查了一下淘宝和本站,好像还没有关于类似的硬件的讨论,请问大家知道有类似的硬件出现吗?

    30 条回复    2021-05-25 11:41:05 +08:00
    zjyl1994
        1
    zjyl1994  
       2021-04-29 19:43:14 +08:00   ❤️ 2
    这个规范叫 TOTP,如果记录了自己的 key 的话(就是添加时扫的那个码),可以找其他软件生成。比如说 keepass,authy
    Dreax
        2
    Dreax  
       2021-04-29 19:56:46 +08:00   ❤️ 1
    https://www.token2.com/home

    淘宝好像也找得到
    Yangz
        3
    Yangz  
    OP
       2021-04-29 20:31:21 +08:00
    @zjyl1994 噢!那我这里的“单独的硬件”,准确来说就是指的一个“支持 TOTP 规范的带屏幕和时钟的单片机”了。
    zjyl1994
        4
    zjyl1994  
       2021-04-29 21:03:05 +08:00
    @Yangz 其实可以自己写,这个比较简单,应该没有现成的
    zjyl1994
        5
    zjyl1994  
       2021-04-29 21:05:02 +08:00
    确实有现成的,2 楼那个就是,但是账号太多的话需要买一堆,有点难搞哦
    Angdo
        6
    Angdo  
       2021-04-29 21:10:00 +08:00 via Android
    还不如直接 u2f
    Tianao
        7
    Tianao  
       2021-04-29 21:33:44 +08:00   ❤️ 3
    又一说一,买个 iOS 设备,专门用来装 Microsoft Authenticator,我的还没崩过。专用的 iOS 设备,这也算是单独的硬件了。
    touchwithe
        8
    touchwithe  
       2021-04-29 21:53:28 +08:00 via iPhone
    1password 就支持,云同步,也不怕丢。
    xenme
        9
    xenme  
       2021-04-29 22:17:56 +08:00 via iPhone   ❤️ 1
    开放标准比如 totp,标准算法,软件就可以生成,没必要硬件。

    私有算法或者实现如 rsa/yubico/gemalto 等密钥和算法可以自己控制,然后写入硬件生成 token

    专有的就 fips,有硬件级别防破解设计

    等等
    wooyuntest
        10
    wooyuntest  
       2021-04-29 22:30:22 +08:00
    yubikey
    dingwen07
        11
    dingwen07  
       2021-04-29 23:00:56 +08:00 via iPhone
    Microsoft Authenticator 支持云备份,没有这个问题

    大多数硬件令牌都是 TOTP 或 HOTP,一个带显示屏的东西,国外很多公司都在做,国内银行也有用,缺点是只能存储一个凭据而不是 YubiKey 的 32 个。

    国内更好的 OTP 2FA 方案是手机验证码,因为没有国外的 Sim Swap 风险,要不然就直接上 WebAuthn,目前兼容性没有问题。
    no1xsyzy
        12
    no1xsyzy  
       2021-04-30 01:12:24 +08:00
    @dingwen07 手机验证码其实不叫 OTP,而是 OOB
    dingwen07
        13
    dingwen07  
       2021-04-30 05:04:39 +08:00 via iPhone
    @no1xsyzy #12 OTP 是 One Time Password,OOB 是什么?
    JoJoJoJ
        14
    JoJoJoJ  
       2021-04-30 08:13:33 +08:00 via iPhone
    我买了 2 个 yubikey
    kangzai50136
        15
    kangzai50136  
       2021-04-30 08:44:23 +08:00
    以前玩梦幻买过将军令,这种东西算不算两部验证哈哈哈。
    chroming
        16
    chroming  
       2021-04-30 09:03:11 +08:00
    公司内部 TOTP 系统对接过密钥写死在硬件里的 TOTP 硬件令牌,绑定令牌时需要手写密钥,并且使用几年会存在时钟不准的问题,不适合直接替换软件令牌。

    要替换软件令牌的硬件我觉得需要符合以下条件:
    1. 支持用户输入密钥;
    1. 支持绑定多个 OTP 密钥(多个网站可以绑定同一个令牌);
    2. 最好能长期使用,如果会过期需要有替换方案。
    chroming
        17
    chroming  
       2021-04-30 09:05:00 +08:00
    绑定令牌时需要手写密钥-->绑定令牌时需要在绑定的网站手写硬件自带的令牌;

    1. 支持用户输入密钥;--> 1. 支持用户实际使用时输入待绑定网站生成的令牌,而不是直接出厂写死在硬件中;
    yulitian888
        18
    yulitian888  
       2021-04-30 09:05:03 +08:00   ❤️ 1
    那不就是银行的 U 盾?
    chroming
        19
    chroming  
       2021-04-30 09:06:18 +08:00
    @chroming #17 补充中令牌-->令牌密钥。。。
    Veneris
        20
    Veneris  
       2021-04-30 09:11:56 +08:00
    借楼问一句,这种硬件能不能防止破解 /复制呢?
    zhuawadao
        21
    zhuawadao  
       2021-04-30 09:20:17 +08:00
    将军令?
    no1xsyzy
        22
    no1xsyzy  
       2021-04-30 09:25:34 +08:00   ❤️ 1
    @dingwen07 Out-of-band,独立信道
    甚至身份验证要求低的可以不作为 2FA,作为单一身份验证。
    顺便,其实 Lastpass Authenticator 在大部分情况下是一个 OTP 的同时也实现了一个 OOB (在手机上点击✔来允许登录)
    参考 NIST SP800-63B
    tankren
        23
    tankren  
       2021-04-30 09:32:07 +08:00
    Microsoft Authenticator/Authy
    Judoon
        24
    Judoon  
       2021-04-30 09:32:30 +08:00
    绑定二次验证的时候,多拿几个设备扫码绑定不就得了,两个手机外加浏览器插件,起码可以 4 个地方查到,就解决了原始的问题:系统更新,软件奔溃

    是你三四个设备同时奔溃概率大还是这个硬件设备坏了的概率大呢
    huangmingyou
        25
    huangmingyou  
       2021-04-30 09:40:08 +08:00   ❤️ 1
    yubikey 挺好,模拟成键盘,手指触摸一下自动输入。和很多带显示屏的设备不一样。
    但是也有缺点,比如你想把一次性密码发给同事的时候,要是身边没电脑,yubikey 都没办法知道密码。
    不知道新款 yubikey 是否能带显示功能。
    cominghome
        26
    cominghome  
       2021-04-30 09:42:56 +08:00
    不需要硬件吧?绑定后如果更换手机找管理员解绑是不是就可以了?(我目前用到这玩意的场景都可以这么做)
    imnpc
        27
    imnpc  
       2021-04-30 10:05:21 +08:00   ❤️ 1
    目前软件方面 推荐 Authy 和 Microsoft Authenticator ,可以备份 /同步到其他设备,
    硬件方面 在支持 U2F / WebAuthn 的网站上可以考虑使用 YubiKey / 谷歌泰坦 / 飞天诚信 的安全密钥,
    如果要直接显示数字的 TOTP 硬件,现在用的比较少了,并不推荐
    clf
        28
    clf  
       2021-04-30 10:09:01 +08:00   ❤️ 1
    你弄个自己搭建的 bitwarden,支持二步验证和密码存储,数据全部存在服务器上,同时可以在手机端和电脑端同步以及备份。
    后期打算换成其它软件了,bitwarden 还能直接看到原来的 key 是多少,直接导入到新的 app 里就行。

    另外就是 anthy 印象里有账号同步功能。
    Yangz
        29
    Yangz  
    OP
       2021-04-30 10:15:37 +08:00
    @huangmingyou 原来模拟了一个 HID 装置啊!有趣
    titanium98118
        30
    titanium98118  
       2021-05-25 11:41:05 +08:00
    microsoft authenticator 支持云备份。
    如果不放心放在云端,就用 keepass,用密码+私钥验证数据库,数据库同步到 2-3 网盘,私钥自己离线存放好。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   948 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 21:42 · PVG 05:42 · LAX 13:42 · JFK 16:42
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.