2013年5月29日 星期三

Yubikey不再記憶密碼 | i'm Chao

Yubikey不再記憶密碼 | i'm Chao:

Forget about the password.


二、Static Password靜態密碼

這是yubikey的附加功能。可以記憶一個複雜的、較長的、個人難以記憶的密碼。比如:
某B,把sdadasdefkjgbhoijt34tdfKJSW%^$%^&hasdqal942nlsdnfalsz這段作為自己lastpass的master key。某B不需要記憶這麼恐怖的密碼。某B只要把它設置到yubikey上。輕觸一下yubikey,就可以把密碼輸入。
很好理解吧,這個功能就是為master key設計的。從此不再需要記憶任何密碼。yubikey在密碼就在。yubikey丟了,那也就慘了。所以最好在電腦以外的地方備份一下這段密碼。


Yubikey不再記憶密碼

我的密碼管理歷史

相信的大家一定有很多帳號。上網這麼多年下來,東註冊一個帳號,西註冊一個帳號。時間長了,覺得老用一套帳號不安全。於是換了一套又一套,久而久之密碼堆積了一堆,連自己也搞不清哪個對應哪個了。
就在兩年前,我找到了keepass這個軟件。它很好的幫我把所有密碼管理起來,而且還是跨平台的,我只要記住主密碼(master key)就可以取得所有帳號密碼。不過我經常要在不同的系統、電腦使用同一個密碼庫,keepass沒有我想要的同步功能。
後來找到了Dropbox這個強大的同步工具,幫keepass彌補了這個缺點。儘管同步問題解決了,可是keepass還是有個致命的弱點--操作效率太低。每登錄一個網站,先要找到這個帳號記錄,再複製粘貼帳號,然後還要複製粘貼密碼。來來回回折騰太麻煩了,如果keepass能和瀏覽器結合,自動幫我填入帳號密碼就好了。就像瀏覽器在帶的密碼管理器一樣,不過瀏覽器自帶的不安全,也不方便,不能同步,而且重裝系統帳號就丟失了。
後來我發現了Lastpass這個強大的工具,它是瀏覽器的擴展,支持ie、firefox、chrome,而且跨平台,甚至在iPhone、黑莓、Android上都有客戶端。Lastpass是把我的帳號密碼存在雲端的。每當我在一個網站登錄的時候,它會檢測這個站點的帳號是否記錄過,如果沒有,它會提示我記錄。當我確定記錄帳號後,下次再訪問這個站點的時候,lastpass會自動幫我填入帳號密碼,我只要按登錄即可。
有了lastpass,我再也不需要同步密碼庫了,這些信息本生就存儲在lastpass公司的服務器上。也許有人會擔心。密碼存在雲端安不安全?lastpass是否可信任?lastpass被黑客攻擊了怎麼辦?對於這些質疑,我只能說沒有絕對安全的東西,我們只能相信它。即便存在自己的電腦上,也會遭受病毒、黑客的威脅。一個公司的技術實力總比一個人強吧。
lastpass解決了大部分問題,大大地提高了用戶體驗。剩下還有一個問題,如何讓master key足夠的安全呢?

yubikey,廉價的OTP方案

對於這個產品相信大家從沒聽過。這是一款強大又廉價的產品,要把它所有功能都講清楚是不容易的。所以我就先簡單介紹兩個功能,以後再擴展。

一、OTP(One-Time-Password)

yubikey是個可以根據一定算法隨機產生密碼的輸入設備。yubikey產生的OTP密碼分為兩部分,左邊部分是設備識別碼,右邊部分是隨機碼。每個設備的識別碼是全球唯一的。
接下來解釋一下過程。A網站支持使用yubikey登錄,於是我把自己的yubikey和A網站綁定。當訪問A網站時,A網站提示輸入yubikey密碼。我輕觸一下yubikey,OTP密碼就馬上輸入好了。這時候A網站會去訪問yubikey開發公司的服務器yubico,並提交收到的OTP密碼請求認證。yubico得到密碼後,把它拆分,根據自己的私有算法進行校驗。如果這個密碼確實是綁定A網站的密碼的那個yubikey設備產生的,yubico就會告訴A網站驗證成功。
每個yubikey都根據自己的識別碼,以不同方式產生不同的隨機密碼。每個時刻產生的密碼都不同。所以yubikey之間不可以相互冒充。而這種隨機驗證方式,對於黑客來說更難破解。

二、Static Password靜態密碼

這是yubikey的附加功能。可以記憶一個複雜的、較長的、個人難以記憶的密碼。比如:
某B,把sdadasdefkjgbhoijt34tdfKJSW%^$%^&hasdqal942nlsdnfalsz這段作為自己lastpass的master key。某B不需要記憶這麼恐怖的密碼。某B只要把它設置到yubikey上。輕觸一下yubikey,就可以把密碼輸入。
很好理解吧,這個功能就是為master key設計的。從此不再需要記憶任何密碼。yubikey在密碼就在。yubikey丟了,那也就慘了。所以最好在電腦以外的地方備份一下這段密碼。

其他

yubikey2.1版本支持OTP和StaticPassword同時存在。可以通過輕觸時間的長短來區分。用戶可以使用官方的工具的來自己定義yubikey的功能,包括密碼長短,複雜程度等等。
另外於yubikey的開源項目非常多,比如wordpress上的yubikey驗證插件,drapal上的驗證插件。大家可以找到很多其他相關的項目。在開發方面,公司開放了很多資料:http://www.yubico.com/developers/intro/
最後再提一下,儘管yubikey在諸多OTP方案中,是比較廉價的,25美元一個,不過對於大多數中國草根來說還是挺貴的,而且國內沒的賣。幸好yubikey有個競爭對手叫umikey,它們的思路差不多的。umikey在中國有生產,也有賣,100RMB以內,不是很貴。可惜umikey的應用還不是很廣泛,我們只能祝福它快速發展。lastpass有個競爭對手叫mashedlife,mashedlife是umikey的最佳搭檔。當然據說也可以和yubikey結合(我沒試過)。另外聽小道消息,unikey正在和lastpass接觸。
聽我講了這麼多,還是自己去看看吧,相關網址:

沒有留言:

張貼留言