问有触控要求的安全密钥比没有的更安全吗？

EN

触摸是唯一不能伪造的东西。

硬件安全令牌的思想是将秘密密码密钥存储在令牌本身上。即使它插入的计算机/设备被泄露，密匙也不能被窃取。

通常，令牌需要PIN条目才能开始执行加密操作。为了方便/可用性，PIN通常缓存一段时间，在此期间不需要重新进入。

假设您使用安全令牌将代码、解密秘密或SSH签名到服务器中。一旦令牌被解锁，任何这些操作都可以在不需要进一步用户交互的情况下进行。

现在假设您的计算机被破坏了。一旦您输入您的PIN，攻击者可能可以在您不知情的情况下使用您的令牌执行上述加密任务。即使您在每次操作中都需要PIN，攻击者也可以使用密钥记录或捕获它，并可能将其显示为解锁。

这里是触摸功能派上用场的地方。如果需要触摸，令牌将不会执行任何加密操作，除非用户物理地坐在计算机前进行确认。当然，这并不能防止身体的攻击，但是游戏已经结束了。

现在，虽然这为您的秘密密钥提供了一层保护，防止意外或恶意操作，但远程攻击者不一定会因此而被阻止。他们仍然可以借你的工具将恶意代码插入到已签名的提交中，复制您解密的机密，并劫持您的SSH客户端以访问您的服务器。

我猜想，如果您只使用它在本地登录，那么它几乎没有什么好处。