单位保管财务资料的电脑需要加强管理,为了防止用户随意登录,我使用用户名+复杂密码的方式来管理。可是再复杂的密码,同事多登录几次后就泄露了,定期更改密码记起来又很麻烦。有没有只有可以借助特定U盘、移动硬盘这类硬件才能登录的解决方案?这样不管哪个同事要用电脑,我只要插入指定U盘即可。
【解题思路】
这道挑战题发布以来,收到了不少读者朋友的投稿,可见大家对于电脑的安全是比较重视的。投稿中有些方法是相近的,所以不能一一刊出。今天选择这篇稿件,略有不同,介绍的是一款专业的工具——YubiKey,相对来说还需要一定的费用。不过这一产品安全好用,对于有需要的用户来说,也是一个不错的备选方案。
【解题方法】
首先要购买一个YubiKey,什么型号都可以,它的外形有点像钥匙形状的U盘。另外要安装YubiKey Personalization Tools(YubiKey配置工具),插入你的YubiKey盘后,即可对它进行配置了。
YubiKey含有两个槽(Slot),每个槽可以从四种模式中选择一种进行定制(图1)。
1.Yubico OTP(一次一密方案)
2.OATH-HOTP(政府级的安全解决方案)
3.静态口令
4.Challenge-Response(插入USB接口即可完成验证)。
为了符合大多数人的使用,一般利用YubiKey登录Windows系统时,使用的格式是Challenge-response模式的Slot 2。
YubiKey的配置使用
启动YubiKey Personalization Tools,当软件检测到有YubiKey盘插入的时候,右上角会有相应提示,否则将显示无YubiKey插入(图1)。
点击上面的文字按钮,切换到“Challenge-Responese”模式,它有“Yubico OTP”及“HMAC-SHA1”两种方式可选,根据自己的实际需要进行选择,比如点击进入“HMAC-SHA1”,接下来进入详细配置的界面。我不建议重新写入第一卡槽,建议写入第二卡槽,选择“Configuration Slot 2”即可。其他项可根据实际需要选择,或使用默认值,配置完毕,点击“Write Configuration”写入配置即可。
接下来插入你的YubiKey。下载YubiKey的Windows登录插件,安装完成后启动“YubiKey Windows Logon Administrator”程序,如果出现“If you want to enable the yubikey login?”之类的提示,选“Yes”(同意),勾选“Enable in safemode”项,选择你所需要的用户名,并且点击“Configure”。当提示配置成功后,点击界面下的“Test”(图2),程序如提示“Correct reponse”就表示配置成功。反之则需要重新检查操作过程中的错误,并再来一次。
YubiKey之外的选择
对于需要安全防护级别更高一些的用户,可以再设置一个静态密码,以防偶然YubiKey遗落在别处被人盗取并获取一些敏感信息。
其实除了YubiKey外,还有不少类似的安全产品。比如“DELL D630 0WH177 USB 指纹读卡器”,这是一种指纹识别器,价格也就在一百元左右,同样形似U盘,支持Windows 7以上系统,插入之后自动安装驱动,存储指纹之后将U盘拔出来随身携带,登录时插入,会自动运行驱动,将手指放上即可进入系统。当然,也可以既用YubiKey又用指纹识别登录,双重保险。
小提示:
Yubikey配置工具和Windows登录插件,可进入https://www.yubico.com/support/downloads页面进行下载。注意,配置工具(Personalization Tools)为Linux、MAC及Windows分别提供了相应的版本,按需下载使用即可。
由于Yubico官网的英语与标准美英英语略有差异,下面笔者按照标准计算机英语和语境翻译出部分Yubikey Personalization Tool中和官网的难以理解的英语及生僻词(表1)。
表1
英文术语 对应汉译
Condiguration Slot 配置卡槽
Serial number 序列号
Current Access Code 当前对计算机的接入码
Require user input=button press 按键以通过验证
Parameter 配置
Select the configuration slot to be programmed 选择一个卡槽来写入
With graphic interface 图形化界面
Command line 命令行
