YubiKey的OTP接口有两个插槽(slot),分别可以用来存放两个凭据(OTP、Static Password、HOTP-TOTP等)。OTP密码是长度为45的字符串,前12位是该OTP凭据的ID,后面的是一次性密码。(获取OTP可以打开记事本,把输入法换成英文,插入YubiKey,然后触摸一下金属圆盘)。
Yubico在生产YubiKey的时候会在插槽1放入一个OTP凭据,Yubico提供的凭据ID开头是“cc”,后期上传的凭据ID开头是“
注意,YubiCloud不允许“cc”开头的凭据ID上传,你可以在YubiKey Personalization Tool上面生成“cc”甚至别的开头的凭据,不过只能上传到自己或第三方建立的OTP验证服务器上。
管理OTP接口
我们可以使用YubiKey Personalization Tool来管理YubiKey的OTP接口(YubiKey Personalization Tool支持命令行,这里只介绍GUI的使用,Linux下可以PPA安装),我们可以从Yubico支持页面获得YubiKey Personalization Tool。
在YubiKey Personalization Tool中点“Yubico OTP”,然后点击“Quick”或者“Advanced”就可以管理YubiKey的OTP接口,一般来说,Slot 1不进行改变。
如果要增加一个OTP凭据,插入YubiKey,选择“Configuration Slot 2”,然后点击“Regenerate”来生成一个凭据(这里可以多点几次增加随机数的熵),如果需要使用第三方验证服务器那需要记下所有文本框中的内容,之后点“Write Configuration”向YubiKey中写入配置。写入完后需要上传凭据到YubiCloud,工具会要求你打开一个网站,工具会自动在网站中填充刚刚生成的凭据,点击上传即可。
提示:在生成凭据的时候,请使用一台受信任的电脑。在上传凭据时,确保使用HTTPS连接并确认网站的SSL证书是由受信任的CA颁发的。
“YubiKey OTP 配置”的一个回复