Yubikey生物特征安全密钥

2020-11-11 08:12:01

今天,我们很兴奋地与大家分享关于我们YubiKey家族下一个备受期待的成员的最新消息:即将推出的USB-A和USB-C两种外形的YubiKey Bio。YubiKey Bio将是第一款在我们的YubiKey产品组合中引入生物识别功能(除了个人识别码)的产品。

Yubio考虑在我们的安全密钥系列中增加生物识别功能已经有很长一段时间了,虽然生物识别认证一开始看起来很简单,但要做到这一点并满足人们对YubiKey的期望标准,还有相当多的工程工作要做。一个伟大的硬件不是孤立存在的;它需要与更大的生态系统协同工作才能使用。当我们推出新产品时,我们对安全性、可用性、耐用性和设计设定了最高标准,我们尽我们所能在这些特性上不妥协。支持FIDO的YubiKey Bio目前处于私人预览版,正在接受我们的许多企业客户和技术合作伙伴的测试和审查。我们的产品设计收到了极好的反馈,现在我们的目标是进一步确保在广泛的平台和基于FIDO的用例下,整体用户体验是流畅的。我们欢迎您在这里注册,以获得YubiKey Bio的更新,包括关于全面上市的更新。下面,我们将分享一段演示YubiKey Bio如何工作的短视频,分享一些工程过程的幕后信息,并深入探讨使用YubiKey Bio等生物特征认证时的一些注意事项。

使用生物特征和指纹传感器进行用户验证的概念已经存在了几十年。然而,随着智能手机中指纹传感器的普及和可获得性,用户获得了更广泛的接受。推动这种采用的是终端用户的便利性,而不一定是安全性。生物识别验证器面临的挑战是获得跨平台支持、标准化和良好的用户体验,就像笔记本电脑、平板电脑和手机中内置的生物识别传感器一样。幸运的是,FIDO2已经从用户触摸扩展到支持生物识别,包括指纹、面部识别等,从而帮助了这一事业。Yubio继续与浏览器平台和FIDO生态系统合作,优化用户登录流程,但仍有工作要做,以实现消费者和企业的无缝体验,在不同的最终用户设备上始终如一地保持一致。

在智能手机上,指纹认证是系统不可或缺的一部分。屏幕和定义良好的用户界面使得在移动设备上设置指纹和管理锁定变得相当简单和直观。对于像YubiKey这样需要跨平台和服务的小型便携式安全密钥来说,情况就不同了。与正确的PIN相反,指纹传感器并不总是能读取正确的手指。皮肤质地的变量,如水分或温度,可能会带来扫描问题。为了解决这个问题,YubiKey Bio将默认使用生物识别,但如果存在问题,将允许使用PIN。生物识别身份验证可以方便地替代键入PIN,特别是当用户每天需要多次向系统进行身份验证时。然而,有了FIDO,领先的在线服务并不总是需要每天使用密码、PIN或安全密钥,这已经提高了用户的便利性。例如,在向服务和应用程序注册YubiKey之后,用户可能只需要验证一次,即可使电话或计算机成为受信任的设备,并且可能只需要为新设备或有风险的操作再次使用该密钥。

这种无与伦比的强大身份验证用户体验是FIDO标准赢得大规模采用的核心原因。用户在考虑YubiKey Bio的简单性或易用性时应牢记这一点;对于非日常使用,与身份验证更频繁的情况相比,它对便利性的影响可能不会那么大。

YUBICO永远不会在安全上妥协,保护我们用户的隐私是势在必行的。近年来,生物识别传感器技术取得了长足的进步。然而,仍然存在安全方面的权衡。人工指纹(欺骗)仍然可以用来冒充用户,我们认为,当我们开始设计YubiKey Bio时,除了考虑其他生物识别特定的威胁外,将其作为威胁模型的一部分,这一点非常重要。

例如,2015年,人事管理办公室(OPM)的泄密事件包括申请政府许可并能够接触国家机密的个人的指纹。这种口径的泄密引发了人们的合理担忧,即老练的对手可能会使用指纹欺骗来物理攻击用户的生物识别设备。

对生物识别系统的威胁也在

此外,我们存储注册的指纹模板,并在专用安全元件中执行生物特征匹配,以保护其免受数字和物理攻击。然后,我们对这个生物特征安全元素和我们用于核心YubiKey软件的安全元素之间的通信进行加密,以减少窃听和重放攻击。

值得注意的是,我们测试的所有指纹传感器都容易受到合作注册用户创建的高质量假冒指纹的影响,包括流行手机和笔记本电脑上的指纹,以及YubiKey Bio中的指纹。我们相信,凭借足够的技能和实践,即使是使用潜伏指纹,也可以做到这一点,而不需要注册用户的合作。这方面的一个例子是在混沌通信大会上展示的,它使用手的照片来恶搞注册用户的指纹。然而,绝大多数潜在攻击者并不靠近受害者,也无法实际接触到他们的设备。

即便如此,为了让指纹欺骗变得更加困难,Yubio团队进行了广泛的研究,并测试了许多不同的指纹传感器。这些结果为我们为YubiKey Bio选择、调优和开发组件提供了依据。我们相信,与市场上类似的设备相比,我们的设备在可用性和防欺骗性方面做了很好的调整。

因为监视用户输入他们的PIN、复制指纹或窃取YubiKey都属于耐心、熟练、身临其境的攻击者的领域,所以一些用户可能仍然希望选择一种设备,比如YubiKey Bio,这样可以在选择使用PIN或指纹时提供更多便利。我们认为,向这些用户提供市场上最好的生物特征安全密钥作为选项是有意义的。

YubiKey Bio将为所有用途要求注册的手指匹配(对于某些FIDO2使用案例,也可以选择PIN+触摸)来保护用户。它将适用于目前支持FIDO U2F、FIDO2或WebAuthn的任何地方。

与YubiKey 5系列一样,YubiKey Bio在服务支持FIDO2时提供无密码体验,并且使用安全密钥常驻凭证而不是用户名和密码。与YubiKey 5系列不同的是,用户只需通过指纹匹配就可以获得这些基于FIDO的体验,而不是总是需要PIN+触摸。

如今,有几项服务支持这种增强的体验,但我们预计,随着时间的推移,这一数字还会增加。在上面的演示视频中,我们选择使用我们自己的演示站点的无密码选项,因为这是展示这种体验的最简单方式,而不会被第三方服务和帐户选项分心。

自2008年推出第一款YubiKey以来,多年来,我们的客户一直很欣赏YubiKey的核心价值:易用性、安全性、耐用性以及外形美观。YubiKey Bio遵循同样的设计原则。

要了解YubiKey Bio全面上市的最新信息,并申请关闭的预览计划,请在此处注册。要与Yubio销售代表联系,了解即将推出的YubiKey Bio是否适合您的组织,请在此处联系我们。