YubiKey 5Ci評論：WebAuthn為iPhone和iPad加密Lightning鍵以進行安全驗證

Yubico的新款YubiKey 5Ci是該公司首款帶有Lightning適配器的硬件認證設備。 YubiKey提供安全性，可降低基於密碼的帳戶劫持的可能性。

就像通過短信發送或由Google身份驗證器或Authy等身份驗證應用生成的第二因素令牌一樣，YubiKey在使用用戶名和密碼登錄後提供了一個額外的元素。由於電話號碼可能已被劫持並重新路由到其他電話，因此它比假設基於文本的代碼總是在同一物理設備上更可靠。

YubiKey目前使用一些應用程序和iOS中的Brave瀏覽器。 YubiKey支持World Web Web Consortium（W3C）批准的相對較新的WebAuthn協議，允許直接在瀏覽器中進行強大的加密第二因素身份驗證，而無需專有擴展或公司特定的硬件或軟件。

售價70美元的設備還包括用於桌面驗證的USB-C插頭，但其USB-C端口尚不適用於配備該連接器的iPad。

YubiKey 5Ci具有用於iOS設備的LIIGHT連接器和用於連接Mac的USB-C鍵。它還不適用於配備USB-C的iPad。

在測試中，YubiKey 5Ci按預期執行，但許多網站尚未準備好進行iPhone和iPad身份驗證。隨著WebAuthn採用率的提高以及密鑰進入市場，這種情況將在不久的將來發生變化。

廣泛的行業支持，但網站背後

Yubico已經生產了一系列支持早期安全協議的USB和NFC（非接觸式）密鑰，而其新型號也可以處理WebAuthn。 Lightning與USB-C的這一擴展試圖通過表面上創造蘋果用戶的需求和興趣，將這種更加安全的選項推向iPhone和iPad。

Microsoft Edge，谷歌Chrome（桌面和Android），Opera，Firefox（桌面和Android）以及內置的Android瀏覽器都支持WebAuthn的發布版本。 Apple已經為Safari技術預覽中的WebAuthn啟用了即將推出的版本13，該版本將在Catalina中以發布形式出現。

Apple還沒有說過適用於iOS和iPadOS的Safari是否也支持WebAuthn。作為一種廣泛採用的行業標準，將安全控制留在用戶手中，蘋果沒有理由站在一邊。

目前，您需要在iOS中使用正確的應用程序才能使用YubiKey 5Ci。其中包括直接處理WebAuthn的具有安全意識的Brave瀏覽器，以及包含支持的1Password和LastPass等獨立應用程序。 Yubico表示，預計會有更多公司效仿。

我用Dropbox，亞馬遜網絡服務控制台，Twitter，1Password等測試了YubiKey 5Ci。目前註冊似乎需要使用桌面瀏覽器，我依靠雙管齊下的USB-C端。

報名後，里程多種多樣。 1Password立刻意識到我升級了我的身份驗證，請求我在啟動應用程序時插入密鑰。我通過Lightning插入它，點擊它，1Password開始營業。

1Password for iOS從YubiKey知道。升級帳戶安全性後，系統會在下次啟動應用時提示輸入密鑰。

其他網站比較繁瑣。有些人不會認為macOS Safari Preview支持WebAuthn，所以我切換到Chrome用於桌面。然後，使用iOS中的Brave瀏覽器，一些網站拒絕承認Brave為WebAuthn支持。使用Dropbox，它知道瀏覽器可以讀取代碼，但不會接受它。然而，通過Twitter，該系統與1Password應用程序一樣無縫且完美地工作。

數以百計的網站已經允許基於WebAuthn的登錄，這些登錄需要很少的修改才能與其他第二因素方法一起使用。隨著瀏覽器在去年增加了對標準成品形式的支持，這些數字有所增加。但是開發人員顯然已經嘗試通過使用嚴格的過濾器來盡量減少兼容性問題。

WebAuthn與蘋果在iPhone中的Secure Enclave，iPad和Mac中的T2安全芯片以及其他設備中的類似安全芯片中的文本和應用程序生成的第二因素具有相同的優勢 - 需要擁有一塊獨特的硬件無法從中提取數據。 WebAuthn不使用可截獲或生成的純文本代碼，而是使用公鑰加密技術，並為每個站點創建唯一的加密密鑰。

WebAuthn從註冊開始。您訪問某個站點或使用支持該標準的應用程序，證明您的身份，然後插入您的WebAuthn配備的密鑰，如YubiKey 5Ci，然後點擊它。您的硬件設備為站點生成唯一的私有 - 公共密鑰對，並在其防篡改硬件中保留私鑰。它將公鑰發送到站點，該站點將其與帳戶一起存儲。

在後續訪問中，當使用任何需要第二個因素的場景（例如新瀏覽器，地理位置較遠的位置）或30天后（根據站點）登錄時，您可以像以前一樣輸入用戶名和密碼，但是然後插入並點按您的YubiKey進行身份驗證。

因為加密的消息是在密鑰中生成的，並且站點已經存儲了與您關聯的公鑰，所以它極大地限制了某人攔截消息並阻止生成會欺騙站點的消息的機會。它還禁止將郵件發送到與原始URL不匹配的任何站點，並且沒有您註冊的公鑰，從而阻止來自被劫持網站的網絡釣魚。

底線

YubiKey 5Ci已準備就緒，但所有部件都沒有對齊以顯示它的最佳優勢。 70美元，如果沒有網站，應用程序和Apple在iOS中一起行動，並且在macOS中有一些粗略的邊緣，這可能看起來很慘。

然而，由於WebAuthn是一項廣泛支持的行業計劃，該計劃正在順利進行並獲得動力，因此5Ci是適合未來購買的便攜式驗證器。

（tagsToTranslate）安全（t）的iPhone（T）的iPad（t）的硬件