这是一个创建于 1302 天前的主题,其中的信息可能已经有所发展或是发生改变。
目前的两步验证( Two-factor authenticator )需要一个类似于 Microsoft authenticator 的手机 APP 。如果遇到系统大更新,保不准就会出现软件崩溃问题。如果做成一个单独的硬件,则可以避免这个问题。
但两步验证的硬件似乎只有类似 Yubico,目前没有很多开发商支持这个协议。但是如果可以使用 Microsoft authenticator 常用的作为时间的函数的数字验证码等我方式来做,可以减少很多兼容性问题。
我查了一下淘宝和本站,好像还没有关于类似的硬件的讨论,请问大家知道有类似的硬件出现吗?
 |
1
zjyl1994 2021-04-29 19:43:14 +08:00  2
这个规范叫 TOTP,如果记录了自己的 key 的话(就是添加时扫的那个码),可以找其他软件生成。比如说 keepass,authy
|
 |
2
Dreax 2021-04-29 19:56:46 +08:00 1
|
|
5
zjyl1994 2021-04-29 21:05:02 +08:00
确实有现成的,2 楼那个就是,但是账号太多的话需要买一堆,有点难搞哦
|
 |
6
Angdo 2021-04-29 21:10:00 +08:00 via Android
还不如直接 u2f
|
 |
7
Tianao 2021-04-29 21:33:44 +08:00 3
又一说一,买个 iOS 设备,专门用来装 Microsoft Authenticator,我的还没崩过。专用的 iOS 设备,这也算是单独的硬件了。
|
 |
8
touchwithe 2021-04-29 21:53:28 +08:00 via iPhone
1password 就支持,云同步,也不怕丢。
|
 |
9
xenme 2021-04-29 22:17:56 +08:00 via iPhone 1
开放标准比如 totp,标准算法,软件就可以生成,没必要硬件。
私有算法或者实现如 rsa/yubico/gemalto 等密钥和算法可以自己控制,然后写入硬件生成 token 专有的就 fips,有硬件级别防破解设计 等等 |
 |
10
wooyuntest 2021-04-29 22:30:22 +08:00
yubikey
|
 |
11
dingwen07 2021-04-29 23:00:56 +08:00 via iPhone
Microsoft Authenticator 支持云备份,没有这个问题
大多数硬件令牌都是 TOTP 或 HOTP,一个带显示屏的东西,国外很多公司都在做,国内银行也有用,缺点是只能存储一个凭据而不是 YubiKey 的 32 个。 国内更好的 OTP 2FA 方案是手机验证码,因为没有国外的 Sim Swap 风险,要不然就直接上 WebAuthn,目前兼容性没有问题。 |
 |
14
JoJoJoJ 2021-04-30 08:13:33 +08:00 via iPhone
我买了 2 个 yubikey
|
 |
15
kangzai50136 2021-04-30 08:44:23 +08:00
以前玩梦幻买过将军令,这种东西算不算两部验证哈哈哈。
|
 |
16
chroming 2021-04-30 09:03:11 +08:00
公司内部 TOTP 系统对接过密钥写死在硬件里的 TOTP 硬件令牌,绑定令牌时需要手写密钥,并且使用几年会存在时钟不准的问题,不适合直接替换软件令牌。
要替换软件令牌的硬件我觉得需要符合以下条件: 1. 支持用户输入密钥; 1. 支持绑定多个 OTP 密钥(多个网站可以绑定同一个令牌); 2. 最好能长期使用,如果会过期需要有替换方案。 |
|
17
chroming 2021-04-30 09:05:00 +08:00
绑定令牌时需要手写密钥-->绑定令牌时需要在绑定的网站手写硬件自带的令牌;
1. 支持用户输入密钥;--> 1. 支持用户实际使用时输入待绑定网站生成的令牌,而不是直接出厂写死在硬件中; |
 |
18
yulitian888 2021-04-30 09:05:03 +08:00 1
那不就是银行的 U 盾?
|
 |
20
Veneris 2021-04-30 09:11:56 +08:00
借楼问一句,这种硬件能不能防止破解 /复制呢?
|
 |
21
zhuawadao 2021-04-30 09:20:17 +08:00
将军令?
|
 |
22
no1xsyzy 2021-04-30 09:25:34 +08:00 1
@dingwen07 Out-of-band,独立信道
甚至身份验证要求低的可以不作为 2FA,作为单一身份验证。 顺便,其实 Lastpass Authenticator 在大部分情况下是一个 OTP 的同时也实现了一个 OOB (在手机上点击✔来允许登录) 参考 NIST SP800-63B |
 |
23
tankren 2021-04-30 09:32:07 +08:00
Microsoft Authenticator/Authy
|
 |
24
Judoon 2021-04-30 09:32:30 +08:00
绑定二次验证的时候,多拿几个设备扫码绑定不就得了,两个手机外加浏览器插件,起码可以 4 个地方查到,就解决了原始的问题:系统更新,软件奔溃
是你三四个设备同时奔溃概率大还是这个硬件设备坏了的概率大呢 |
 |
25
huangmingyou 2021-04-30 09:40:08 +08:00 1
yubikey 挺好,模拟成键盘,手指触摸一下自动输入。和很多带显示屏的设备不一样。
但是也有缺点,比如你想把一次性密码发给同事的时候,要是身边没电脑,yubikey 都没办法知道密码。 不知道新款 yubikey 是否能带显示功能。 |
 |
26
cominghome 2021-04-30 09:42:56 +08:00
不需要硬件吧?绑定后如果更换手机找管理员解绑是不是就可以了?(我目前用到这玩意的场景都可以这么做)
|
 |
27
imnpc 2021-04-30 10:05:21 +08:00 1
目前软件方面 推荐 Authy 和 Microsoft Authenticator ,可以备份 /同步到其他设备,
硬件方面 在支持 U2F / WebAuthn 的网站上可以考虑使用 YubiKey / 谷歌泰坦 / 飞天诚信 的安全密钥, 如果要直接显示数字的 TOTP 硬件,现在用的比较少了,并不推荐 |
 |
28
clf 2021-04-30 10:09:01 +08:00 1
你弄个自己搭建的 bitwarden,支持二步验证和密码存储,数据全部存在服务器上,同时可以在手机端和电脑端同步以及备份。
后期打算换成其它软件了,bitwarden 还能直接看到原来的 key 是多少,直接导入到新的 app 里就行。 另外就是 anthy 印象里有账号同步功能。 |
 |
29
Yangz OP @huangmingyou 原来模拟了一个 HID 装置啊!有趣
|
 |
30
titanium98118 2021-05-25 11:41:05 +08:00
microsoft authenticator 支持云备份。
如果不放心放在云端,就用 keepass,用密码+私钥验证数据库,数据库同步到 2-3 网盘,私钥自己离线存放好。 |
Select Language