育碧钥匙很奇怪。奇怪的是,它们是一堆不同的设备,都卷进了一个整齐的小包装里。奇怪的是,它们提供了这么多不同的功能,而且它们并不贵得离谱。奇怪的是,你会发现竞争对手的产品与YubiKey的价格相同,但只提供了它们的一项功能。
本文将深入探讨YubiKeys的功能,不过是在企业环境中。企业对第二因素身份验证(2FA)提出了更多的挑战,主要是因为当您将公司的YubiKey插入公司的计算机、访问公司的系统并为公司的利益工作时,隐私基本上会被抛在一边。
对于一些人来说,YubiKeys中的这一功能就是全面启用2FA所需的全部功能,特别是如果你的公司非常基于云计算或SaaS的话。事实上,如果是这样的话,你可以用更便宜的价格买到安全钥匙系列,然后继续你的快乐之路。
FIDO/FIDO2/WebAuthn/U2F-这些都是由FIDO联盟设计的开放标准的一部分,旨在通过令牌大幅简化身份验证。它们有效地利用了非对称密码术中最好的部分,去掉了所有不必要的东西,只留下了对系统进行强身份验证的最基本的东西。FIDO2做的还不止这些,但我接下来要说的大意仍然主要适用于它。
不过,这些标准确实有其局限性。首先,凭据中没有显示身份(如名称),因此您不能根据提供的凭据应用策略,而必须始终将身份验证/授权策略构建到您的应用程序中。而且您不能远程吊销设备(除非您将其从用户手中抢走!)-您必须在用户分配令牌的每个应用程序中吊销设备(或用户)。
在企业环境中,您可以通过依赖集中式身份提供商(如ADFS(+Windows Hello for Business))来提供身份验证和授权挑战点,从而大大克服这些限制。如果该设备刚刚在身份提供商内注册,则您只需在那里撤销它,即可撤销对所有连接系统的访问权限。
Yubio';的动态口令实现有点左倾。大多数动态口令的实现都是所谓的基于时间的一次性密码(TOTP)-即你有一个每隔30或60秒就会生成代码的令牌,你要么需要一部装有软件令牌应用程序的手机,要么你需要从市场上无数的硬件令牌中购买一个。Yubio';的实现改为使用公共标识符、密码和计数器来生成一次性令牌。
这里的缺点是您仍然需要一种方法来验证OTP令牌码。用户可以插入他们的YubiKey并点击它来生成代码,但是您需要将该代码发送到某个地方进行验证。如果您想要完整的2FA覆盖您的环境,您将有很多集成工作要做。
如果您确实获得了可以使用Yubio的OTP服务集中进行身份验证的代理或服务,那么您就拥有了2FA功能,它对用户来说就像U2F方法一样简单而美好。
老实说,当我第一次看到YubiKeys里面有一张PIV智能卡时,我很惊讶。PIV标准非常棒,但大多数制造商默认添加更简单(也更便宜)的PKCS#11智能卡来实现几乎完全相同的功能。
除了PKCS#11,PIV还能提供什么?开箱即用的兼容性。PIV是为政府雇员设计的美国政府标准,已经集成到Windows等系统中。PIV实际上只是PKCS#11之上的一个抽象,但是它解决了PKCS#11标准中的很多模糊问题,因此不需要为您需要使用的每种卡安装特定于硬件的驱动程序或中间件。
如果你曾经尝试过集成PKCS#11卡,你就会知道尝试集成它们的恐怖,以及为什么这个标准真的那么令人惊叹……。
智能卡可能有点令人望而生畏--你不能像OTP或U2F那样,把出厂不久的新YubiKey递给你的用户。您需要提供它们,并首先用PKI证书加载它们,然后锁定它们,然后让您的用户为它们挑选一个PIN。
不过,证书是一个被低估的特性(通常是因为它们被放进了太难的篮子!)。例如,您可以为YubiKey提供启用以下功能的证书:
加密文档和消息(不让他人掌握您的知识产权或敏感信息),以及。
建筑物的身份验证(虽然如果您需要更换物理访问系统来使用YubiKey,这可能会有点棘手,但大多数供应商现在都在使用它们)。
对合作伙伴组织进行身份验证。通过证书,您可以与其他组织建立信任关系,这样您的用户就可以向其他合作伙伴网络展示他们的身份,从而无需触及您公司的YubiKeys即可获得访问权限。
这些功能令人惊叹,但您需要工具来设置所有这些,连接您的用户身份和向YubiKey颁发证书的PKI,并锁定每个设备,这样用户的PIN就不会在这些设备上被重置,他们的凭据就不会被滥用。
哦,对了,那个工具是我们造的。点击这里就可以拿到。它可能也是市场上最便宜的了。
公众不太了解,但是YubiKey支持PGP标准来对内容进行数字签名和加密。我不会在企业环境中深入研究这一点,因为我真的没有看到很多大型企业使用PGP。它更像是一个单独的工具,通常需要技术用户来操作,因为它,嗯,很复杂(礼貌地说)。在企业界处理PGP的问题已经被PIV标准解决了,只要你愿意处理带来的额外负担。
Yubio做了一件令人惊叹的事情,将指纹识别器放入YubiKey中。它还没有推出,但它将为未来更多的整合机会打开大门。生物测量支持在企业世界中变得有点棘手(特别是如果您的用户认为他们的指纹副本由公司持有),但它为用户提供了很好的机会,让他们能够在特定情况下证明自己的身份,比如证明他们说自己是谁来重置密码。
我不建议依赖生物度量来实现强大的身份验证,但作为您企业更大的2FA解决方案的一部分,这是非常棒的。
如果您还没有为您的组织解决2FA问题,那么您的网络中就有一个巨大的漏洞-即使您的网络是空隙和独立的。YubiKey是您随时随地启用2FA的最快也可能是最简单的第一步,您可以使用Signata Enterprise来分发和管理它们,让您和您的系统管理员的生活变得更轻松。