YubiKey 的 OTP 接口有两个插槽(slot),分别可以用来存放两个凭据(OTP、Static Password、HOTP-TOTP等)。OTP 密码是长度为45的字符串,前12位是该 OTP 凭据的 ID,后面的是一次性密码。(获取 OTP 可以打开记事本,把输入法换成英文,插入 YubiKey,然后触摸一下金属圆盘)。
Yubico在生产YubiKey的时候会在插槽1放入一个OTP凭据,Yubico 提供的凭据 ID 开头是“cc”,后期上传的凭据 ID 开头是“vv”。Yubico提供的 OTP 凭据是受信任的,后期上传的没有出厂自带的那么可信,因为在传输和保存的时候私钥可能会泄露。这是官方的说法:’vv‘ prefix credentials are not guaranteed to have the same availability as production ‘cc’ prefix credentials. Yubico reserves the right to revoke any ‘vv‘ prefix credential on the Yubico validation service (YubiCloud) at any time, for any reason, including if abuse is detected or if the credential is loaded onto a counterfeit YubiKey. (From Yubico AES Key Upload)
注意,YubiCloud 不允许“cc”开头的凭据 ID 上传,你可以在 YubiKey Personalization Tool 上面生成“cc”甚至别的开头的凭据,不过只能上传到自己或第三方建立的 OTP 验证服务器上。
管理 OTP 接口
我们可以使用 YubiKey Personalization Tool 来管理 YubiKey 的 OTP 接口(YubiKey Personalization Tool 支持命令行,这里只介绍 GUI 的使用,Linux 下可以 PPA 安装),我们可以从 Yubico 支持页面获得 YubiKey Personalization Tool。
在 YubiKey Personalization Tool 中点“Yubico OTP”,然后点击“Quick”或者“Advanced”就可以管理 YubiKey 的 OTP 接口,一般来说,Slot 1 不进行改变。
如果要增加一个 OTP 凭据,插入 YubiKey,选择“Configuration Slot 2”,然后点击“Regenerate”来生成一个凭据(这里可以多点几次增加随机数的熵),如果需要使用第三方验证服务器那需要记下所有文本框中的内容,之后点“Write Configuration”向 YubiKey 中写入配置。写入完后需要上传凭据到 YubiCloud,工具会要求你打开一个网站,工具会自动在网站中填充刚刚生成的凭据,点击上传即可。
提示:在生成凭据的时候,请使用一台受信任的电脑。在上传凭据时,确保使用 HTTPS 连接并确认网站的 SSL 证书是由受信任的 CA 颁发的。
2019年2月9日由 Extrawdw 发布于 Extrawdw Blog。其中的一些信息可能已经过时。