最近想购买一个 yubiKey 类似的设备
迫于 yubiKey 有点贵,加上有些功能用不到,所以准备选择其它品牌
看到了一些中意的型号,但对它们存在安全顾虑
查询了一些相关资料,基本只查到 FIDO2 的大致流程,而关于 Key 的实现原理却寥寥无几
所以,对这些 Key 的安全性(技术上是否可能存在后门)存疑,希望各位提供解答
提前感谢
This topic created in 1777 days ago, the information mentioned may be changed or developed.
 |
1
billlee Jul 1, 2021  2
|
 |
2
ysc3839 Jul 1, 2021 via Android 1
技术原理是人家的私有技术,当然不会公开的,大部分消费电子产品也都不会公开原理的。
至于后门,那当然是有可能了,这个只能靠信任了。 |
 |
3
0o0O0o0O0o Jul 1, 2021 via iPhone 1
solokeys
onlykey nitrikey opensk |
|
4
0o0O0o0O0o Jul 1, 2021 via iPhone
@0o0O0o0O0o nitrokey
|
|
5
0o0O0o0O0o Jul 1, 2021 via iPhone
我也很好奇为什么连 Google 这些巨头都在一些关乎账户安全的场景(比如高级保护计划)推荐 yubikey,它们是如何信赖 yubico 这样一家公司的闭源产品的,有什么业界的审计措施来确保这一点吗?
|
 |
6
jim9606 Jul 1, 2021
@0o0O0o0O0o 首先这个由浏览器支持的 FIDO2 标准是 FIDO 联盟制定和维护的,Google 和 Yubico 是联盟两个主要成员。
FIDO2 好歹是开放标准,你可以用别的品牌的硬件 key,只是 Yubikey 是主流选择。 Yubikey4 闭源确实是个问题,不过企业订购的大可以通过 NDA 进行内部审查,一般人只能靠商誉信任了。除非你是完全自己生产(基本不可能做到),你无法避免要去信任一个硬件生产商的。 |
Select Language