SSH使用FIDO2 USB实行身份验证

发布时间：2022-07-29 10:36:16 所属栏目：安全来源：互联网

导读：在硬件认证安全领域WebAuthn和FIDO2的发展，他给我们带来了更便捷安全的方法。WebAuthn和FIDO2旨在通过标准化二者之间的通信方式使用安全设备的变得真正容易。对每一个人来说这都是一个好消息，现在大家可以使用便捷的USB密钥，无需额外的安全知识，即可非

　　在硬件认证安全领域WebAuthn和FIDO2的发展，他给我们带来了更便捷安全的方法。WebAuthn和FIDO2旨在通过标准化二者之间的通信方式使用安全设备的变得真正容易。

　　对每一个人来说这都是一个好消息，现在大家可以使用便捷的USB密钥，无需额外的安全知识，即可非常轻松地保护所有身份验证，完全避免网络钓鱼，密码盗窃以及其他恶意攻击的干扰，只需要插入USB密钥，按小按钮/输PIN或者刷指纹，然后重新登录。

　　虽然之前很多人可能都用过银行的网银，但是由于那是不标准通用的方式，不光要安装各种各样的驱动而且还要必须要特定版本的IE才行。而如果支持了FIDO2则可以被所有OS和任何浏览器所支持，当然包括今天要说的SSH。

　　对广大使用Linux和Mac的技术人员来说，除了浏览器使用最多的要数SSH了。如果可以使用FIDO2密钥通过SSH进行身份验证，那将带来很大方便和安全。为此OpenSSH也放弃一贯对硬件密钥体系的傲慢态度，现在终于支持FIDO(U2F)和FIDO2进行身份验证了，而带有驻留键的FIDO2具有更好的便捷和安全性。流程是USB设备(FIDO2设备不一定是USB，但通常是USB设备)生成一个秘密密钥。密钥要么存储在设备上(称为驻留密钥)，要么需要设备支持存储，要么不支持，需要将数据存储在其他位置。

　　使用USB key设备的好处包括消除网络钓鱼，密码盗窃，身份验证重放以及许多其他攻击。由于设备通过特定领域(服务器地址/URL/等)进行身份验证，因此攻击者无法在另一个站点上重复使用一个站点的身份验证，这使得网络钓鱼无法进行。密码或私钥在设备上并无法复制提取，任何人都不能窃取密码或私钥。唯一可能的攻击是你的USB Key丢了，但是由于设备有PIN密码，并且有错误次数限制，尝试几次错误有，该设备将会锁定实效。

　　可能有用过Yubikey的同学，使用SSH内置功能好处是不需要特别使用Yubikey，也不需要弄乱Yubikey代理，PIV模式或其他任何其他软件。只需插入任何兼容FIDO2的密钥，即可将其与SSH一起使用。有"驻留键"模式仅在Yubikey 5C和更高版本的FIDO2上有效。

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!

之于勒索软件持乐观态	通往零信任的坦途 SAS
网络安全技术趋向	防范数据偷取从了解其