隨著網(wǎng)絡時代來臨，各種日常生活的服務開始透過網(wǎng)絡云端化，我們要管理記憶越來越多的賬號及密碼，除了日益龐大的賬號管理負擔外，隨著網(wǎng)絡發(fā)達，數(shù)據(jù)外泄也變成了普遍現(xiàn)象，你我的帳密個資都可能會因為網(wǎng)站的漏洞或各種數(shù)字病毒而導致外流。

以Google去年調(diào)查的數(shù)據(jù)為例，在臺灣，曾遭遇個人資料外泄的比例高達70%，在受訪的亞洲國家中僅低于越南的78%。當中原因有50%的人密碼設計太過簡易、86%的人會將單一密碼重復用于多個網(wǎng)站。因此兩步驟驗證(2FA)已成為當前網(wǎng)絡世界的重要工具。

兩步驟驗證，顧名思義就是賬號需要經(jīng)過兩次的登入驗證，避免單次登入因密碼外泄而被有心人士竊占，最常見的有SMS簡訊以及Email連結(jié)的第二驗證。在本篇文章中，百佳泰要介紹一種在臺灣尚未普及，但在歐美日市場已經(jīng)很熱銷的資安商品──兩步驟驗證實體密鑰。

Yubico的各式實體密鑰

大部分用戶會使用電話簡訊或Email認證連結(jié)，進行第二重的登入驗證，但也有很多消費者未必隨時有網(wǎng)絡或手機信號，因而更中意這種個人專屬、只認硬件的小工具。受疫情影響，很多歐美企業(yè)的員工都長期WFH，在沒有資安布署的居家環(huán)境下登入工作相關服務，造成情報外泄的可能性大增，因此許多大企業(yè)也偏愛這種產(chǎn)品，訂制給員工們使用以確保信息安全。

實體密鑰的使用十分簡單，插入個人計算機后即會自動安裝驅(qū)動，再來是進入各種服務里的兩步驟驗證頁面進行啟用設定，將密鑰注冊后命名即可，前后不超過三分鐘的時間。

Facebook的雙重驗證密鑰設定頁面

日后當?shù)侨氪朔諘r，第一階段的登入密碼輸入完成后，就會跳出請插入實體密鑰的頁面，插入后輕觸密鑰的感應鈕即可通過認證。

當輸入第一道密碼后，瀏覽器會跳出頁面讓你插入已注冊的實體密鑰

當插入了沒有注冊過的密鑰時，就無法通過驗證

 

由于實體密鑰為獨一性的，當密鑰壞掉或遺失時，可能再也無法登入服務，所以建議使用者準備復數(shù)密鑰注冊，或是設定備援方式(密碼或簡訊)避免窘境發(fā)生。

提到實體密鑰，就必須介紹其所依據(jù)的資安規(guī)范，也就是FIDO (Fast Identity Online）。FIDO 是指由同名的非營利組織 FIDO 聯(lián)盟所訂定的一套網(wǎng)絡識別標準，目的是確保登入流程中服務器及終端裝置協(xié)議的安全性。而這套識別標準透過公鑰加密的架構，進行多重因素驗證（MFA）以及生物辨識登入來保護云端賬號的數(shù)據(jù)。關于FIDO聯(lián)盟的詳細歷史，可至相關網(wǎng)站獲得進一步的信息，本文中百佳泰先從中列舉FIDO最重要的三大認證協(xié)議給大家做初步了解。

FIDO UAF (Universal Authentication Framework)
主要使用生物辨識來進行無密碼登入的多重驗證協(xié)議。常見的有指紋辨識，聲音辨識等。

FIDO U2F (Universal Second Factor)
雙因素驗證。本文介紹的實體密鑰主要就是支持此種協(xié)議，透過加密的實體密鑰來實現(xiàn)無密碼登入。

FIDO2
最新的FIDO協(xié)議，是由萬維網(wǎng)聯(lián)合會（W3C）的網(wǎng)絡驗證規(guī)格（Web Authentication，WebAuthn）以及 FIDO 的客戶端至驗證器協(xié)議（Client-to-Authenticator Protocols，CTAP）所共同組成的。定義對各種瀏覽器以及平臺的多重驗證支持。

?FIDO U2F以及UAF的認證標章。L1為產(chǎn)品支持的安全級別

雙重認證實體密鑰雖然在歐美銷路不錯，但相對也有不少客訴。百佳泰鎖定一款主打指紋辨識，宣稱支持U2F以及UAF的熱門密鑰產(chǎn)品來進行觀測，對其在Amazon上累計的客戶不良回饋進行搜集整理，分類歸納如下：

?

我們觀察到，在使用者占比最高的Windows平臺上，本產(chǎn)品的兼容性似乎存在許多問題，雖然不排除使用者本身環(huán)境導致的軟硬件沖突可能性，但如此高的不良回饋比例，足以證明在兼容性上的確有很大的改善空間。

基于百佳泰一貫實驗求證的精神，我們在Amazon購入了7款銷路最好的U2F實體密鑰，并對他們進行兼容性測試，看看是不是真的有很多兼容性的問題存在。這次我們遴選的密鑰如以下所列：

 

以上的實體密鑰均宣稱支持U2F協(xié)議，也是這類產(chǎn)品在Amazon US上的暢銷商品。我們依照過往的兼容性測試經(jīng)驗以及其產(chǎn)品特性，設計了以下的簡易測試組合規(guī)劃。

筆電

 

瀏覽器

Chrome 101.0.4951.67

能夠進行兼容性測試的軟硬件組合其實很多，若要進行完整的掃描，則可以考慮下列的完整組合進行深入測試。

OS & Platform：

此類產(chǎn)品兼容性測試最重要的變因，Windows各世代、macOS、Chrome OS，以及手機平板的Android/iOS系統(tǒng)都可以列入規(guī)劃，Linux系統(tǒng)也可以考慮。

瀏覽器：

加入目前最多用戶的四大家族系列：Microsoft Edge, Google Chrome, Apple Safari跟Firefox Mozilla。

Web服務：

支持U2F的常用服務是一定要列測的，Google account，Microsoft account，F(xiàn)acebook，Twitter，Dropbox，GitHub等等。

Connect/Authenticate?連接接口：

現(xiàn)有的密鑰聯(lián)機界面有這4種， USB-A，USB-C，BT，NFC。

關于測試項目，實體密鑰的目的與功能十分單純，從兼容性檢證的角度設計如下：

 

透過以上的組合以及測試設計，我們對7款市售的多重認證實體密鑰進行簡單的兼容性測試，并觀察到以下的不良現(xiàn)象：

總結(jié)百佳泰對實體認證密鑰的測試心得如下：

1. 在Windows/Chromebook/MacＢook的基本運作大多正常，偶爾在Windows下會有設備偵測不到或Yellow Bang的問題，但在實際的網(wǎng)絡賬號上可以運作成功。
2. 部分服務出現(xiàn)注冊的Key無法被辨識，可能跟操作有關，設定實體Key驗證時最好要再有一個備援措施，預防遺失或損毀而無法登入賬號的窘境。
3. 觀察Mac的雙重驗證機制，只開放電話6碼簡訊，除此之外的驗證方式都沒有?？赡苁莾?nèi)建touch ID已經(jīng)足以雙重保護使用者的關系，但對于單機的保護就不如Windows或Chrome可設定實體密鑰保護登入來的多元。
4. Chromebook/MacBook本次測試使用都是Type-C only的機種，而待測物大多為Type-A機種。因此我們透過A to C轉(zhuǎn)接頭進行測試，結(jié)果均未出現(xiàn)完全無法使用的問題，與原本預想透過轉(zhuǎn)接會問題很多的結(jié)果不同，但搭配轉(zhuǎn)接頭/Hub/Docking是使用者常見情境，十分建議加入測試組合。

資安類的產(chǎn)品在設計開發(fā)上有非常嚴格的要求，因為關系到購買者重要的情資財產(chǎn)問題，兼容性更是絕不能忽視的一環(huán)，試想，若因為臨時須使用不熟悉的平臺或瀏覽器進行賬號的登入，卻因兼容性問題造成已注冊好的密鑰無法被識別或運作，使用者將大幅降低對品牌產(chǎn)品的信任與好感。

百佳泰擁有2萬件以上的各式市場主流設備以及相對應的測試環(huán)境，可提供廣泛的兼容性測試選擇。除了兼容性外，針對客戶產(chǎn)品規(guī)格量身打造的功能性與耐久性檢證，也是我們多年來累積無數(shù)經(jīng)驗的服務項目，若您有相關產(chǎn)品驗證需求或有任何咨詢要求，竭誠歡迎與百佳泰聯(lián)系。