文前碎碎念
在這個網路資訊爆炸的時代,隨著越來越多服務開始雲端化,生活中幾乎離不開網路身分的綁定,隨之而來的便是對於逐漸龐大帳密組合的記憶管理,以及安全性的防範。
尤其是台灣,可能因環境特性較為敏感,也造成了各種攻擊、盜用事件頻傳。不過受攻擊頻率高,或許也只是造成資安事件的火苗之一,核心的助燃因素,更多還是出自於防範的長期疏忽,因此平時的意識養成,以及多層防護的把關,依然是這個時代不可缺少的課題。
防線
在近期線上服務的申辦過程中,應該多少都能看到要為帳號加入「2FA」雙重認證(Two-Factor Authentication)的要求,也就是除了最傳統的帳密之外,還要多一道的身份驗證,以避免帳密流出後即被盜的缺陷。
這道鎖可以是郵件、可以是簡訊,也可以是專用軟體隨時間產生的動態密碼,更可以是拿在手邊的專用硬體。
而這次要開箱介紹的這個「Atlancube ATLKey Lite」實體安全金鑰,就是可以化身那把為帳號多一層把關的鑰匙的存在。
鑰匙
這支 ATLKey 是我之前在嘖嘖募資上看到的產品,作用簡單來說就是為你的帳號加上一層「實體」的多重因素驗證(MFA)措施。
他們走的是通用的 FIDO(Fast Identity Online)標準協議,利用「公開金鑰加密」的方式,將憑證公私鑰分別存於伺服器與用戶端,需要的時候就以此為認證的依據。
不過嚴格說起來,這種實體金鑰已經不是什麼特別新穎的概念了,過去像是 Yubiko 生產的 Yubikey 系列,以及 Google 的 Titan Security Key 等產品,都已普遍常見。
這些廠牌的裝置各有不同的特色,就拿美製的 Yubikey 為例,它除了支援 FIDO2 U2F(Universal 2nd Factor)之外,還具備了 OTO(One-Time Password)與 PIV(Personal Identity Verification)智慧卡的功能。
另外 Yubikey 除了 USB 連接外,部分型號還有支援 NFC 感應來驗證,不過他雖然功能多,但相對的價格也偏高,在購物網站上查到的價格大概在台幣 2000~3000 左右。
而 ATLKey 則是走一個「精簡」路線,在驗證支援上只支援 FIDO2 U2F,也沒辦法使用感應驗證,但金鑰本身一體成型外殼,還有防水防塵耐壓的特性都沒少,而且是台灣設計製造,建議價格也落在台幣 1280 左右,相對容易入手。
註:本文非工商,請安心食用(?
其實這支 ATLKey 大概是在去年底的時候就下訂了,但中間遇到開發商的生產良率問題,需要重新調整,因而導致延到近期才順利到手。
整體包裝十分簡易,翻到背面就可以看到大大的 FIDO2 L1 認證的標示,代表他符合普遍驗證器的基礎標準,上方也可以看到「Made In Taiwan」的字樣驗明正身,另外下方也可以看到 IP68 的防水防塵認證。
跟我手邊另一支 Yubikey 放在一起看,可以發現除了 Type-C 連接頭外,在本體上都有一些外露的金屬構造。
中間是無殼版的 ATLKey
這並不是什麼單純的裝飾,而是在登錄或是驗證的時候的確認鍵,用來確定使用者是親自拿著它在使用的,實際用法後續會再作說明。
另外,兩支金鑰都有配備一顆 LED 作為狀態指示用,ATLKey 是在吊孔下方一點的那個小洞,而 Yubikey 則是直接鑲嵌在中央的金屬處。
相容性部分,ATLKey 除了沒有沒有 NFC 無法感應驗證外,基本上具備 Type-C 接孔的常見作業系統電腦、平板、手機都能使用。
總之外觀部分大致就是如此啦,接著來實際示範使用方式吧。
防護升級
現在應該已經有不少網站都支援使用實體金鑰作為 2FA 選項,這裡就以 Github 為例,並在 iPad 上做金鑰設定。
首先來到 Github 的帳號資訊,點到 Password and authentication,並在旁邊 Passkeys 點下「Add passkey」。
接著就會自動導到這個頁面,按下綠色的 Add passkey 後,依照彈出視窗的指示,找到「使用安全密鑰」按下繼續。
接著把 ATLKey 插到 iPad 的 Type-C 孔中,藍色指示燈就會開始閃爍,要用手指觸碰金鑰邊緣的金屬處,轉為綠燈即感應完成,設定解鎖 Pin 碼後,就加入成功啦。
後續可以再去 Passkeys 管理已加入的金鑰或是進行移除,下次登入跳出提示畫面時,只要將儲存的金鑰之一插上,同樣觸碰金屬感應就可以驗證了。
雖然大多情況會建議使用兩種以上的方法做備援,像 Apple ID 就要求至少兩支 FIDO 金鑰作驗證 ,但並不是每個網站都能支援同時加入多支金鑰,所以還是依情況量力即可。
結語
以上就是這支 Atlancube ATLKey Lite 實體安全金鑰的快速開箱紀錄啦,雖然他所支援的安全機制,可能不如其他相似功能產品來的強大,但對於非企業用戶基本已經足夠了。
再加上台灣生產,以及相對低價的特性,對初次接觸金鑰產品的人的入手門檻也較低,也不失為一個提升平時資安保護的好選擇。
最後還是不免俗地想再提一下,資訊安全真正重要的,其實不只是用了多複雜的密碼、多少高階加密技術,更多時候,是來自日常的習慣、警覺與管理意識。
再堅固的鎖,也無法替代使用者本身的判斷與防範,唯有在平時建立起良好的資安習慣,保持對異常訊息的敏感度,並彼此相互提醒,才能讓這層保護罩真正發揮作用。
相關資料
《全文。終了》
