硬件双因素认证揭秘：设置过程远比你想象的简单！

我一直把双因素认证（2FA）视为一种烦恼：每次登录都必须执行的某种琐事。短信验证码和身份验证器应用程序是我的首选。我一直认为这些是安全的选择，直到我了解到 2FA并没有我想象的那么安全——一个巧妙的网络钓鱼攻击、SIM卡交换或中间人攻击可以在几秒钟内窃取这些代码。这让我尝试了基于硬件的2FA，我只希望我能更早切换。

设置并没有我想象的那么复杂。只需一把小钥匙，轻轻一按，突然间我就保护了我的账户，免受我不知道的攻击。它不需要复制快速变化的代码或短信文本；而是轻松又即时的验证。

基于硬件的2FA到底是什么

理解安全密钥如何将认证提升到物理层面

我一直认为硬件安全密钥是数字安全的复杂解决方案，似乎只有系统管理员才需要。但实际上，它是一个简单的安全解决方案，在认证确认之前，为你的密码添加了一个物理元素——硬件密钥。

硬件2FA会为每个启用它的网站生成一对独特的公钥和私钥。硬件密钥保存并保护私钥，而公钥则发送到网站。每次你登录这个网站时，它会发出一个特别的请求，要求你的安全密钥用相应的私钥进行签名。接着，网站会用存储在你账户里的公钥来验证签名。

这是一个高度安全的验证，因为验证过程与域名相关联，使得假冒或钓鱼网站无法欺骗您的硬件密钥去签署请求或提供有效的签名。

虽然短信验证码可以通过SIM卡交换被拦截，应用程序验证码可能会被钓鱼，但硬件密钥几乎不容易受到远程攻击。它们逐渐成为最强大、最受欢迎的二次验证方式之一。

设置我的第一个安全密钥

设置过程比我想象的要简单

设置过程其实很简单。我首先在我的微软账户上设置了安全密钥（USB-C + NFC），虽然在其他服务上的具体步骤可能会有所不同，但大体上是相似的：

1. 登录您的 Microsoft 账户。
2. 安全菜单，然后点击管理我的登录方式设置按钮。
3. 选择添加新的登录或验证方式选项，比如选择任何包含安全密钥的选项。在 Microsoft 中，这是面部、指纹、PIN、安全密钥选项。
4. 当系统提示时插入密钥，然后创建并确认安全密钥 PIN。
5. 此时，系统会提示您触碰密钥以完成注册，然后按照下一个提示为您的密钥命名。

此设置花费不到三分钟，之后登录就变得非常简单：输入您的密码，轻触密钥，您就完成了。您还可以为安全密钥设置一个 PIN，以防止在丢失或被盗时被他人使用。虽然 YubiKey 设备通常使用起来非常顺畅，并提供强大的钓鱼保护，但它们的成本较高。

为什么安全密钥优于基于应用的双重身份验证

更少的攻击面、无需复制代码，以及更安心的体验

Google Authenticator、Authy 和其他身份验证应用提供了一定程度的安全性，但硬件安全密钥提供更好的保护。这些应用根据一个共享的秘密生成验证码，如果这个秘密被泄露或被钓鱼，攻击者可以生成有效的代码。

然而，由于硬件安全密钥使用源绑定加密，网站域名成为登录尝试的参与方，这样只有真正的网站才能被密钥正确签名。完美克隆的网站将无法通过验证，因为它们与域名存储的公钥不匹配。

使用身份验证器应用程序的过程包括访问您的手机，找到手机上的验证码，并在其过期之前输入它。硬件密钥减少了身份验证所需的步骤——只需插入或轻触硬件密钥即可。该密钥对所有支持 FIDO2/U2F（现代防钓鱼安全密钥标准）的服务都是通用的，因此您可以在所有地方使用相同的“拥有”因素，而不是多个身份验证器应用程序。

选择正确类型的安全密钥

将您的密钥与设备匹配以获得最佳体验

硬件安全密钥有多种连接格式，您应根据最常用的格式来选择设备。USB-C 最适合 Android 手机、平板电脑和现代笔记本电脑，而 USB-A 更适合传统的台式机和笔记本电脑。然而，较新的硬件密钥可能同时包含这两种连接器。

NFC 密钥非常适合移动便利，因为您只需轻触手机即可进行身份验证。对于 iPhone 和 iPad，Lightning、USB-C（带适配器）或 NFC 选项将是完美的选择。只有蓝牙低能耗（BLE）密钥可能会更贵，还需要充电，因为大多数标准安全密钥是被动的，电力来自设备。

然而，您应该确保，无论选择哪种硬件密钥，它都支持 FIDO2 和 U2F 标准，因为这保证了更广泛的跨平台兼容性。即使您更换设备或生态系统，您的密钥依然有效。

一把小钥匙，安全性的巨大转变

使用硬件安全密钥改变了我对在线保护的看法。它是一种增强安全性但不会增加使用难度的工具。我不再需要频繁检查验证码或等待短信。一次轻触即可验证我的身份，同时抵御网络钓鱼、凭证盗窃和远程劫持。

物理加密验证将是账户安全的未来，而密码钥匙和硬件密钥正在引领这一转变。硬件密钥不再像是多余的一步，而是至关重要的最后一步。