YubiKey 5.7 韌體如何應對現代企業認證挑戰

企業安全團隊面臨日益嚴峻的威脅環境。隨著釣魚攻擊變得越來越高級——常常由 AI 驅動的技術支持——組織在保護員工憑證免受攻擊方面面臨巨大挑戰。傳統的密碼認證已無法充分應對這些威脅。Yubico 正在解決這一關鍵漏洞，推出 YubiKey 5.7 韌體，預計於 2024 年 5 月底推出，並配合 Yubico Authenticator 7，提供企業級的無密碼認證解決方案，規模化推廣。

不斷擴大的企業安全危機

根據 Yubico 的分析，網路威脅在種類和複雜度上持續激增。被攻破的員工登入憑證仍然是主要的攻擊途徑，經常源自釣魚攻擊。AI 增強攻擊的出現使問題更加嚴重，促使組織重新考慮其認證策略。公司產品領導表示：「我們看到組織在安全合規與用戶體驗之間掙扎。」向抗釣魚、無密碼優先的認證轉型，已不僅是選項，而是迫切的需求。

YubiKey 5.7：重新定義企業認證能力

YubiKey 5 系列和 Security Key 系列現已加入多項專為企業部署設計的安全升級。新韌體版本實現了多項關鍵改進：

PIN 安全與合規強制執行
YubiKey 5.7 在硬體層面阻擋弱 PIN 模式和常見序列，符合新興的 NIST 要求及企業合規規範。此功能適用於 FIDO2、PIV 和 OpenPGP 應用，確保組織能在不依賴軟體限制的情況下，強制執行統一的安全標準。

企業認證驗證資產管理
組織現在可以部署具有企業驗證功能的自訂程式化 YubiKeys。這使 IT 團隊能驗證認證金鑰的來源是否來自授權的採購渠道，並在 FIDO2 憑證註冊時獲取唯一識別碼，簡化資產追蹤與帳戶恢復流程。

擴展的憑證存儲容量
存儲容量大幅提升。YubiKey 5.7 現可容納多達 100 個 passkeys (FIDO2 可被發現的憑證)、24 個 PIV 憑證、64 個 OATH 种子，以及 2 個 OTP 种子——單一金鑰總計 190 個憑證。這消除了管理多個認證設備的困難，並促進跨多種應用的無密碼無縫採用。

FIDO2 協議進展
韌體實現 CTAP 2.1 (Client-to-Authenticator Protocol)，包含最新的 FIDO2 標準，如強制 PIN 更改和最低 PIN 長度規範。這些功能強化合規性，同時保持企業身份解決方案的彈性。

先進的加密金鑰支援
YubiKey 5.7 擴展 PIV 金鑰算法支援，包括 RSA-3072、RSA-4096、Ed25519 和 X25519——超越國防部備忘錄的要求，為組織提供未來可擴展的金鑰管理選項。Yubico 已轉向自主的加密函式庫，優化 RSA 和 ECC 操作的性能。

Yubico Authenticator 7：硬體支援的跨平台安全

配合韌體發布，Yubico Authenticator 7 提供統一的憑證管理體驗。更新後的應用程式支援新的 PIV 金鑰算法，並提供簡化界面來管理大量憑證集——對於部署 YubiKey 5.7 擴展存儲的企業來說尤為重要。

此認證器將憑證存儲從手機移至 YubiKey 本身，從根本上降低攻擊面。憑證不再存放在易受遠端攻擊的手機記憶體中，而是加密存放在專用硬體上。此架構在提供強大雙因素認證便利性的同時，亦不犧牲安全性。

Yubico Authenticator 7 現已支援所有主要桌面平台與 Android，並在後續版本中加入強化的 iOS 功能。該應用程式亦加入法語和日語本地化支援，擴大全球採用。

與政府及行業標準的策略對接

YubiKey 5.7 的更新直接回應美國政府近期指令，要求採用抗釣魚的 MFA。透過 passkey 技術實現無密碼認證，組織能展現合規，同時降低釣魚導致的帳戶被盜風險。

硬體支援的認證方式代表當前安全存取的金標，適用於電腦、行動裝置、伺服器、瀏覽器及網路帳戶。YubiKey 已在超過 160 個國家部署，並與數百個消費者與企業應用整合，為組織推動全公司範圍的無密碼轉型提供實務途徑。

注意：智慧卡/PIV、OATH 及 OTP 功能僅適用於 YubiKey 5 系列與 Security Key 系列 - 企業版。企業驗證功能的可用性依產品線而異。