Yubikey桌面身份验证器

Question

你会说使用Yubikey桌面身份验证器比谷歌认证更安全吗？

而不是每次我想登录到某个网站时都使用Google身份验证器，我想知道使用Yubikey桌面身份验证程序是否同样安全(或更安全)？

Answer 1

很难将两者进行比较，但我认为它们在风险简介方面大致相似。

与使用标准桌面环境的应用相比，运行在手机上的应用程序通常与其他应用程序更加隔离。一个没有根级访问权限的流氓智能手机应用程序将无法访问其他应用程序的数据，也无法查看屏幕上显示的内容。对于许多使用监视器显示的进程之间的隔离程度较低的桌面环境，情况并非如此(尤其是在Linux上使用X，这在这方面是可怕的)。然而，一个足够坏的智能手机漏洞将使攻击者能够访问用于生成一次性代码的实际预共享密钥，因此，为了保护您的多因素身份验证代码，您手机上的安全漏洞要严重得多。如果有人窃取用于生成OTP代码的预共享密钥，则您的帐户将被完全破坏。

另一方面，Yubikey桌面应用程序不会向桌面计算机公开您的实际预共享秘密，因为代码是直接在Yubikey上生成的。因此，即使攻击者能够访问您的计算机，他们所能获得的只是当前的OTP代码--这是很糟糕的，但并不像智能手机上类似规模的漏洞那么糟糕。

这取决于你权衡利弊，但在我看来，风险大致相同--因此，使用由硬件Yubikey支持的Yubikey桌面应用程序是Google身份验证的一个可以接受的替代方案。