这是一个创建于 1035 天前的主题,其中的信息可能已经有所发展或是发生改变。
最近想购买一个 yubiKey 类似的设备
迫于 yubiKey 有点贵,加上有些功能用不到,所以准备选择其它品牌
看到了一些中意的型号,但对它们存在安全顾虑
查询了一些相关资料,基本只查到 FIDO2 的大致流程,而关于 Key 的实现原理却寥寥无几
所以,对这些 Key 的安全性(技术上是否可能存在后门)存疑,希望各位提供解答
提前感谢
 |
1
billlee 2021-07-01 17:01:04 +08:00  2
|
 |
2
ysc3839 2021-07-01 20:00:42 +08:00 via Android 1
技术原理是人家的私有技术,当然不会公开的,大部分消费电子产品也都不会公开原理的。
至于后门,那当然是有可能了,这个只能靠信任了。 |
 |
3
0o0O0o0O0o 2021-07-01 20:46:36 +08:00 via iPhone 1
solokeys
onlykey nitrikey opensk |
|
4
0o0O0o0O0o 2021-07-01 20:46:48 +08:00 via iPhone
@0o0O0o0O0o nitrokey
|
|
5
0o0O0o0O0o 2021-07-01 21:36:48 +08:00 via iPhone
我也很好奇为什么连 Google 这些巨头都在一些关乎账户安全的场景(比如高级保护计划)推荐 yubikey,它们是如何信赖 yubico 这样一家公司的闭源产品的,有什么业界的审计措施来确保这一点吗?
|
 |
6
jim9606 2021-07-01 22:04:41 +08:00
@0o0O0o0O0o 首先这个由浏览器支持的 FIDO2 标准是 FIDO 联盟制定和维护的,Google 和 Yubico 是联盟两个主要成员。
FIDO2 好歹是开放标准,你可以用别的品牌的硬件 key,只是 Yubikey 是主流选择。 Yubikey4 闭源确实是个问题,不过企业订购的大可以通过 NDA 进行内部审查,一般人只能靠商誉信任了。除非你是完全自己生产(基本不可能做到),你无法避免要去信任一个硬件生产商的。 |
Select Language