使用标准 USB 闪存盘作为安全令牌

安全令牌是防篡改处理器。USB 闪存盘是存储介质。从根本上说，它们是两个不同的东西。你正在比较苹果和橘子。

安全令牌包含无法（轻易）从设备中删除的秘密（私钥、随机数生成器种子等）。这种防篡改特性是设备（以及基于这些设备的整个系统）具有任何安全属性的原因。您可以相当肯定地说，安全令牌中的位仅存在于该令牌内，并且无法复制到其他令牌/设备。

USB 闪存盘（至少绝大多数）不是主动处理元件。它们无法执行加密操作（对消息进行签名、生成消息的 HMAC 等），并且它们存储的位在设计上很容易被复制。

恶意攻击者（包括被感染的计算机，对于物理连接到计算机的安全令牌的情况）无法从安全令牌中窃取秘密（至少，这是想法）。

大多数 USB 闪存盘都不是为此设计的。您可以看看价格较便宜的 Yubico。

您是否打算将 USB 设备用作唯一的身份验证机制？我认为不是，但如果是这样，请考虑一下如果设备丢失，或者办公室下属“借用”了总经理的设备，或者有人将设备忘在家里会发生什么。

有一些 USB 设备可以复制智能卡证书存储功能，因此值得一看 - 但据我所知，它们都是您想要避免的“USB 令牌”。

您可以将受密码保护的私钥存储在 USB 闪存驱动器上，并在身份验证中使用它。不确定如何让用户轻松完成此操作（取决于您的操作系统），但这是一个选择。

正如指出的那样，您可能不希望这是唯一的身份验证，因为它可能被盗、丢失等。但它很便宜，并且算作三因素身份验证的一部分，我想这正是您想要实现的。

回答你问题中的“其他”部分——我一直在使用Swivel 的 PINsafe产品已经使用了几年，它提供了所谓的 2.5 因素身份验证。它并没有完全满足您的需求，但在对产品进行初始投资后，您无需支付分发任何设备的费用，但对于除最复杂的键盘记录器之外的所有设备而言，它都非常安全。如果您担心这一点，您可能不会寻找便宜的解决方案 :-)

clauer.nisu.org 能满足您的需求吗？它尝试在标准 USB 设备上创建隐藏分区。但是，它需要特定程序和一些相当高级的设置才能运行。