如何使用硬件钱包保护Web2账户和1Password

网络安全3个月前发布 cryptobaby
147 0 0

本文作者:OneKey 中文@OneKeyCN。发文时间:下午7:15 · 2024年10月2日。


你知道吗?现在你可以用硬件钱包,去守护你的 Web2 账户了,获取和 Web3 一样的安全等级。

毕竟,你的 Web2 账户安全(比如 Google、Telegram),一样非常重要。尤其是对于 A8+ 高净值用户,很可能上面储存了不少敏感信息。

本文将带你了解目前各大公司都在使用的商业级密码技术——FIDO。并教你如何使用 OneKey 的 FIDO,相当于节省了购买 YubiKey 的钱。

⚫⚫ FIDO 的简单理解 ⚫⚫

如果你是一个多年的互联网冲浪选手,或许你已深有体会:不知道从什么时候开始,一个简单的密码已经不够了。各种验证码用个不停。

这很好理解,大部分普通人设置的密码根本不够安全!(很多密码库已经被各大海内外网站泄露无数次了)所以需要层层保护,也就是 MFA(多因素验证):

第一层,只有你知道的信息:如密码、安全问题;
第二层,只有你在持有的物品:如 SIM卡、手机、谷歌验证动态密码等;
第三层,只有你本人有的特征:如指纹、虹膜、人脸、声音等。

而 FIDO 这个身份验证标准,你就可以理解为第二第三层的保护技术的集大成——它具有二三层的安全特性。

黑客可以通过木马病毒植入和社会工程攻击(窃取你的信息或者套你的话),突破你的第一层保护。这些内容都可以在联网设备中获取。

而拥有了支持 FIDO 的设备,就可以在第二第三层抵御住钓鱼。在突破第一层的前提下,黑客还需要线下抢到你的设备并且逼着你进行生物识别(也就是打劫),才能夺走你的账号使用权。

Vitalik 的第二第三层就曾经被突破过。他推特账号在去年被盗了。他没有使用 FIDO 技术,而是使用了 SIM 卡作为推特的 2FA。结果就遭遇了 SIM Swap 攻击。(https://x.com/WuBlockchain/status/1701407498174108136 、https://chaincatcher.com/article/2101231)。

这种攻击都不需要抢走设备或者打劫威逼, SIM 并不如 FIDO 保险。

⚫⚫FIDO 的工作原理⚫⚫

公钥私钥的概念并不只属于 Web3。

FIDO 也是利用非对称加密来确保安全,实际上它从 2013 年就已经诞生了。是全球多个科技巨头和机构组成的 FIDO 联盟(FIDO Alliance),制定的统一的身份验证标准。

FIDO 的工作原理启示很简单——用户的设备会生成一对密钥:公钥 和 私钥。

公钥会存储在网站的服务器上,而私钥则保存在用户的设备中,永远不会离开设备。

每当用户登录时,网站会发起一个独一无二的[挑战请求],并使用用户之前提供的公钥进行加密。用户通过设备上的私钥解密这个挑战并进行响应,这样就完成了身份验证的过程。

也就是说——每一次验证都是独特的,而且验证的过程可以是离线的。正是这个过程,挡住了钓鱼,比一般的邮箱验证码、SIM验证码更安全。

如果你在对安全要求高的互联网大厂里,几乎所有与公司有关的账户都会被要求使用这个类似的技术。

⚫⚫ FIDO 如何抵挡 Web2 钓鱼⚫⚫

(1)部分离线的重要性:

由于 FIDO 使用的是公钥和私钥配对的方式,因此即便攻击者获取了公钥,也无法破解私钥。

这个密钥存储在用户设备中,永远不会离开设备,也不会与任何人分享。它是高度机密的,并且被多因素认证(如指纹、面部识别等)保护。这极大减少了传统密码系统中的漏洞。

这就和 Web3 防止木马钓鱼的原理很像——私钥最好是离线存放!

如果你不用硬件钱包,直接用私钥接触过联网的热钱包。那么,热钱包的风险在于,你的私钥从产生、储存加密文件和签名,都是放在这台联网的设备上的。万一被恶意程序攻击并拿到【私钥文件】或者被黑客操控,所有资产都会被一锅端。

(2)防钓鱼和重放攻击:

很多网络攻击,如钓鱼攻击,都是通过诱骗用户输入密码、个人信息来窃取账号验证信息。

而 FIDO 系统中没有单一密码这一环节,攻击者无法通过伪装网站和社交工程来获取用户的密码,从根源上杜绝了这类攻击。还帮你规避了人性的弱点。

并且对于重放攻击,黑客无法简单地截取用户的登录信息并重复发送,因为每次登录请求都是独特的挑战,需要在离线设备用私钥解密并发送,不能重复使用!

⚫⚫ 操作方法⚫⚫

现在,你也可以使用硬件钱包,作为 Web2 账户的通行密钥(作为多因素验证的一部分)——通过不联网的设备的离线私钥认证,来守护你的 Web2 账户。简直就是买一送二,省下了购买 YubiKey 的钱。

使用起来也很简单,以 Google 账号为例。点进账户设置页面,找到安全性,点击通行密钥和安全密钥:

如何使用硬件钱包保护Web2账户和1Password

Google 账号设置第一步

再点击创建密钥,这时候你就可以连接你的 OneKey Pro 了,记得升级到最新版固件:

如何使用硬件钱包保护Web2账户和1Password

创建通行密钥

这时候,你就应该可以看到机器上弹出了注册请求,点击确认即可:

如何使用硬件钱包保护Web2账户和1Password

确认请求

在登录的时候,就可以选择使用 硬件钱包来认证啦!

⚫⚫ 总结⚫⚫

正是以上的创新设计,让 FIDO 成为目前最安全的身份验证方案之一。

FIDO 已经被多个行业巨头采用,包括 IBM、Google、 Apple 和 Telegram 等——甚至还包括币安。这必然成为未来登录和身份验证的主流安全方式。不过,目前都是海外巨头在用,大陆的互联网巨头采用率并不高。

我们强烈建议对信息安全要求高的用户和高净值用户使用 FIDO,增加重要 Web2 账户的安全性。

⚫⚫ 补充:硬件钱包还可以作为密钥管理软件的验证⚫⚫

比如可以作为 1password 的验证方式!

在其个人主页的「更多操作」>「管理两部验证」中,可以添加硬件钱包作为安全密钥。

如何使用硬件钱包保护Web2账户和1Password

1password 验证操作

如何使用硬件钱包保护Web2账户和1Password

开启两步验证添加安全密钥

相对于使用手机 App 作为安全密钥,离线设备的备份和验证更能防止网络钓鱼和木马病毒。很适合对安全要求更高的特殊账户。

© 版权声明

相关文章

暂无评论

暂无评论...