令人惊讶的是,我还没有在 ServerFault 上看到这个问题。我想知道硬件令牌与软件令牌在双因素身份验证方面的优缺点——仅从安全性的角度考虑,而不是从便利性的角度考虑。我指的只是基于时间的一次性密码生成器。
在安全性方面,有明显的赢家吗?它是否根据安装软件令牌(应用程序)的平台而有所不同?
答案1
硬件令牌的优点;
- 体积小
- 不需要任何其他昂贵的设备(如智能手机)
- 自供电(因此即使移动设备的电池出现故障也不会出现问题)
- 耐用(这些设备通常能够经受住相当多的出版考验)
- 无需与其他设备进行物理或无线连接
- 不需要用户拥有移动设备
- 非常耐复制
- 未连接互联网,无需连接互联网即可操作
- 不存在病毒或黑客入侵设备的风险(与手机不同)
软件令牌的优点;
- 他们使用的应用程序都是免费的,并且可以在互联网上轻松获取
- 应用程序可以存储多个令牌,而大多数硬件令牌只有一个种子
- 可同时在多个设备上使用(种子共享)
- 可利用智能手机的生物识别功能来增强安全性
- 身份验证应用程序可以更新
除了硬件和软件令牌之外,还有可重新编程的硬件令牌,它们兼具两大阵营的一些优点(例如,参见safeid 钻石可编程代币)。这种类型的令牌通过接收种子数据(通常通过 NFC 连接)工作,然后一旦编程,物理令牌就可以直接替代 Google 身份验证器。
可编程硬件令牌的优点/缺点
- 可以在使用谷歌或微软身份验证器应用程序的任何地方使用
- 在没有 P1/P2 许可证的情况下为 Azure/office 365 提供解决方案
- 可以作为现有身份验证器应用程序的备份(例如当手机电池没电时)
并不是想让问题进一步复杂化,但还有 Fido Keys。这种类型的硬件令牌往往更昂贵,通常需要通过 USB 端口连接,而且由于较新,支持较少,但它也有特定的优势;
Fido 主要优势
- 比标准硬件令牌更新的技术解决方案
- 大多数其他解决方案所不具备的强大反网络钓鱼功能
- 保留了标准硬件令牌的许多优点(例如仍然坚固)