YubiKey教程,三种使用方法,硬件安全密钥体验分享,无密码登陆,iPhone两步验证

YubiKey的三种使用方法,硬件安全密钥体验分享,无密码登陆,iPhone两步验证

YubiKey教程,三种使用方法,硬件安全密钥体验分享,无密码登陆,iPhone两步验证

YubiKey的三种使用方法,硬件安全密钥体验分享,无密码登陆,iPhone两步验证

说到网络账户的安全,相信很多小伙伴第一反应就是,我一定要设置一个安全系数比较高的密码。这样的话别人就不容易猜到我的密码,或者说破解我的密码。

HWK0a4

强密码安全吗?

但是现在黑客盗用密码的方式实在是太多了,即使我们设置了一个100位字母数字密码,但是假如黑客攻击了网站,窃取了网站数据,这样即使我们设置了非常强的密码,也没有办法保证我们账户的安全。

更何况有的小伙伴会偷懒,在很多个网站平台都使用同样的密码,包括我自己之前也是这么做的,这样如果一个密码泄露,就很容易被关联破解所有的网站服务。

LrXrzz

后来我使用的网站服务越来越多,仅仅靠脑子去记密码,肯定是不现实的,所以就订阅了密码管理软件,现在市面上流行着很多密码管理软件,比如1PasswordLastPass等,我自己用的是Mac平台上面的Elpass,这些密码管理器都可以很方便的,帮我们生成任意位数,任意字母数字组合的强密码。

这样我们就可以在不同的网站,使用不同的密码,在最大程度上避免了,账户被关联攻破的一个风险。

Plp0ES

最近的话我又使用了Fastmail的服务,他们可以生成一种伪装的电子邮件。

WlskCi

有了这个伪装电子邮件的功能之后,我不仅可以做到每一个网站都是都设置不同的密码,我也可以做到,在不同的网站设置不同的邮箱,这样我的每一个网站服务的邮箱和密码都是不同的,被关联破解的风险几乎就没有了。

但仅仅设置密码的话,安全性还是非常脆弱的,如果发生黑客拖库的情况,密码再强也没用的。所以说大部分的网站都会提供两步验证的功能。


两步验证安全吗?

所谓的两步验证就是,我们登陆账户时,除了要输入用户名和密码,还要输入一个验证码。

xTjuD4

短信验证码

现在主流的验证码主要有三种,首先第1种就是我们最常用的短信验证

也就是我们输入账户和密码之后,接下来系统会给我们的预留手机号码,发送一个短信验证码,输入这个短信验证码之后才可以登录成功。国内大部分的网站服务都是采用手机短信验证码的方式。

VyafDz

但是这种验证方式并不安全。我们看新闻经常会有一些电信诈骗,受害人收到了银行的电话或者短信验证码,按照客服的指引操作,然后自己银行账户里的钱就没有了。

DXPtRt
o55jWJ

其实受害人接到的并不是银行的电话和短信,虽然来电显示的号码和银行号码是一样的,但这其实是骗子通过技术手段,伪装成了银行的电话。一旦你在网银或者手机银行输入了假的验证码,钱可能就没了。


两步验证应用程序

第2种两步验证的方式是,用验证应用程序去生成一个,随时间变化的验证码。这种方式的安全性会高一点,他的验证码一般只在几秒的时间内有效,而且是不断变化的。

efbPqp

但这种方式最大的问题就是,不能抵御中间人攻击,在中间人攻击中,攻击者会在通信的两端之间插入自己的设备,然后开始拦截、篡改和窃取数据。攻击者会利用一个假网站,伪造一个登陆框,要求我们输入两步验证信息。然后攻击者可以使用这些信息,欺骗真正的身份验证服务器,窃取我们的账户。

naKg7A

另外这种方式还有一个大问题就是,数据迁移。比如我之前换了手机,没有备份Google验证器,结果导致数据丢失,虽然大部分的网站都通过手机验证码登陆成功了,但是Discord却死活一定要验证码,导致Discord账户无法找回使用了。

gxiPVQ

我现在在使用的两步验证器是Authy,他的一个优势是,数据可以云同步,即使手机坏了丢了换了,我们也可以通过云端找回验证信息。但这又会造成一个问题,万一Authy被黑了呢?


备用登陆代码

另外还有一种验证方式是,备用登录代码,系统会给我们一组,或者几组不同的代码,当我们验证器丢失或者无法使用的时候,就可以使用这组代码来进行登录。

SSmzMm

数字资产安全被大部分人忽视了!

这两年,我自己的网络数字资产越来越多,比如说我的YouTube账号有了几万的粉订阅,Twitter也有很多关注了, Telegram有非常多的联系人合作伙伴,一旦说自己的账号被盗的话。后果不堪设想。

如果有人恶意盗取了我的YouTube账户,删除了所有的视频,这些视频是无法恢复的,这也就意味着我这几年的心血都会白费了。另外如果别人用我的账户发布诈骗信息,或者广告,那对我的个人信誉也会造成巨大的影响,这样的事情并不少见,Google随便搜一下,就能找到非常多的账户被盗信息。

GRitJP
upk64k

目前最安全的验证方式

那么有没有一种更安全的保护我们账户的方式呢?

有!

比如说银行的U盾,即使你知道所有信息,但是在转账的时候,还是要插入U盾,输入U盾密码,才可以操作。

Vac3Q7

那有没有一种可以在登陆网站时候使用的U盾呢?答案是肯定的。

这就是硬件安全密钥。

实体的安全密钥有很多种,我这次购买使用的是YubiKey

zoZFGD

硬件安全密钥的三种用法

YubiKey主要有三种用法。

无密码登陆

我先给大家演示第一种,无密码登陆。

首先是无密码登陆微软账号,登陆前我们先去到微软账户后台,设置安全密钥。

iShot_2023-03-09_14.10.19
iShot_2023-03-09_14.10.57
iShot_2023-03-09_14.11.30
iShot_2023-03-09_14.12.04
hbOrdz

我们现在到微软的官网去登陆,我们选择下面的一种安全密钥登录。

z7m627

这个时候的话,我需要做的仅仅是插入我的安全密钥,输入四位PIN,就可以成功登陆账号,不用输入用户名,也不用输入密码,更不用去进行两步验证的操作。

IUfo1z
iShot_2023-03-09_14.14.03

无密码登陆是最理想最方便的一种方式,可惜现在支持的网站还不错,大部分网站还是需要用硬件密钥做二步验证。

两步验证登陆

接下来是第二种用法,YubiKey设置两步验证登陆。

首先是Google。我们先登陆到Google账户,点击安全性,选择两步验证。

lKs0VN
BT8FYU

选择安全密钥,选择实体。

YiAk65
nQfpwe

然后我们在电脑上插入YubiKey,触碰一下中间的小圆圈,就可以添加成功了。

iShot_2023-03-09_14.16.49

登陆账户时,只需要插入安全密钥,或者利用NFC功能感应一下,即可通过验证登陆账户。

iShot_2023-03-09_14.19.12
iShot_2023-03-09_14.21.11

Twitter账户也是一样,可以在账户安全中添加实体安全密钥,这样我们在登陆的时候,选择USB安全密钥,通过验证,就可以登陆成功了。

5gsInO

当然不是说我们每次打开YouTube,打开Twitter都需要验证,我们只需要在新设备上登录,或者手动操作退出后重新登录,才会要求使用硬件密钥验证。

苹果账户添加硬件密钥两步验证

苹果手机在更新ios16.3之后,我们也可以添加硬件安全密钥了,方法也很简单。

我们只需要到设置,点击账户头像,选择两步验证就可以了。

iShot_2023-03-09_14.21.56
t8TqTv

需要注意的是,苹果手机必须要有两个硬件密钥才可以,如果只有一个,是无法设置成功的。

6Pru1n
wQYcP3

两步验证应用程序

第三种用法是,作为两步验证应用程序。

我们需要下载YubiKey的APP,打开APP之后什么也没有的,我们点击右上角的添加账户。

iShot_2023-03-09_14.24.05

然后扫码网站的二维码,点击保存。

WXug74

然后利用YubiKey的NFC功能感应一下硬件密钥,然后就可以成功绑定两步验证了。

Txz2Zs
YJC0kf

需要注意的是,如果你有两个硬件密钥,要扫描两次网站的二维码,这样才可以两个密钥都添加的。

当我们需要两步验证码的时候,只需要打开YubiKey的APP,然后下拉刷新,扫描硬件密钥,就可以看到两步验证码了。

YubiKey使用体验分享

我自己是买了两个密钥,而且都支持NFC功能,也就是说在使用手机的时候,我只需要把YubiKey在我手机背面轻轻一碰,就可以验证成功,效率比两步验证码快出不少。

安全密钥虽然说很安全,但是他同时也牺牲了一点便利,我们在验证时,手头必须要有这个安全密钥,如果说你丢了,账户就没法再登陆。所以强烈建议大家至少去买两个,并且把它保管在不同的地方,这样即使遗失了一个,也不影响账户的使用。

实体安全密钥,另一个缺点就是,他的前期投入比较高,比如说我买的这两个的话,海淘加运费加关税基本上要接近,1000人民币。

YubiKey安全密钥,大家可以直接从它的官网去购买,大家可以直接点我跳转

他是可以直接寄到香港的,到香港之后大家找跑腿帮忙寄到国内就可以了。我是直接寄到美国,然后转运到国内,大概是两个礼拜不到的时间。

如果说大家海淘的时候,没有境外的信用卡,或者说觉得比较麻烦的话,也可以联系我进行团购,大家一起平摊运费和税费。

如果说自己的数字资产不是很多,那么其实使用两步验证的方式也完全足够,但是如果像我这样的自媒体创作者,自己的社交网络账户价值比较大的话,那么使用安全密钥作为一种认证方式,是非常非常有必要的。


感谢以下合作伙伴对本文的支持:

ExpressVPN:全球用户信任的第一,中国大陆秒连

EdNovas云:月付5元起的IPLC机场

AnytimeMailbox:可申请美国银行的私人地址

Remitly:资金回国申请,实时秒到

SurgarHost:来自英国,免备案VPS