Taula de continguts:
- Com funciona l'autenticació de dos factors
- Els Molts Sabors de YubiKey
- Hands On With YubiKey 5 NFC
- YubiKeys vers la clau de seguretat de Titan Titan de Google
- L’èxit de YubiKey?
Vídeo: Yubico YubiKey 5 NFC Security Key (Octubre 2024)
Les contrasenyes han estat el punt feble de la seguretat des que es van introduir per primera vegada. Per sort, el Yubico YubiKey 5 NFC és aquí per protegir els nostres comptes més importants i molt més. La cinquena generació de YubiKey és compatible amb FIDO U2F per obtenir una autenticació segura de segon factor i utilitza NFC per treballar amb el telèfon. Però això és només l’inici del que pot fer aquest dispositiu notablement potent i molt minúscul. Si només busqueu una opció senzilla de maquinari U2F, el YubiKey 5 NFC és probable que tingueu massa en compte; considereu la clau de seguretat més assequible de Yubico o les claus de seguretat de Google Titan. Però si ja teniu un gran nivell de seguretat, us encantarà el que els 5 NFC ofereixen.
Com funciona l'autenticació de dos factors
Tot i que hi ha molt per fer amb una clau de seguretat de maquinari com el YubiKey, el seu paper principal és com a segon factor d’autenticació. A la pràctica, l’autenticació de dos factors (2FA) significa haver de fer una segona cosa després d’haver introduït la contrasenya per demostrar que sou vosaltres. Però la teoria del 2FA està combinant dos sistemes d'autenticació diferents d'una llista de tres:
- Alguna cosa que saps,
- Alguna cosa tens, o
- Alguna cosa ets.
Per exemple: una contrasenya, és una cosa que saps , i només hauria d’existir al cap (o a un gestor de contrasenyes). La biometria: exploracions d'empremtes digitals, exploracions de retina, signatures cardíaques, etc., compten com a cosa que sou . Yubico YubiKeys i la seva ilk són alguna cosa que teniu .
Aquesta revisió tracta principalment el maquinari 2FA, però hi ha moltes maneres d’afegir un segon factor. Molts llocs us enviaran codis mitjançant SMS per verificar la vostra identitat. Aplicacions com Duo i Authy es basen en notificacions push que, en teoria, són més difícils d’interceptar que els missatges SMS.
Tant si aneu amb una solució de maquinari o de programari o bé amb una combinació de tots dos, afegiu 2FA sempre que pugueu Quan Google va desplegar claus 2FA internament, es va veure que la compra de comptes amb èxit va baixar a zero. És tan bo.
Els Molts Sabors de YubiKey
Yubico sempre ha ofert diverses mides i variacions de les seves claus de seguretat per adaptar-se a gairebé totes les necessitats. Això és fantàstic, perquè els consumidors i professionals de les TI poden obtenir exactament el que necessiten a diversos preus. L’avantatge és que navegar per la botiga Yubico és una experiència sovint aclaparadora. Faré tot el possible per evitar els conceptes bàsics.
Hi ha quatre sabors dels dispositius de la Sèrie 5 de YubiKey, inclosos els 45 $ YubiKey 5 NFC que es revisen aquí, a més de tres altres factors: el $ 50 YubiKey 5 Nano, el $ 50 YubiKey 5C i el $ 60 YubiKey 5C Nano. El 5 NFC és l’únic YubiKey que ofereix comunicació sense fils, però a més d’això l’única diferència entre aquests dispositius és la mida, el preu i el connector USB.
Els dos dispositius Nano són els dispositius més diminutius del grup i s’inclouen dins de les ranures USB-A o USB-C, de fàcil accés si en necessiteu sovint. El YubiKey 5C utilitza un connector USB-C, és lleugerament més petit que el 5 NFC, i pot penjar-se al seu clauer al costat dels 5 NFC; no té comunicació sense fils. Tanmateix, podeu connectar el YubiKey 5C o el 5C Nano directament al vostre dispositiu Android.
El que diferencia la Sèrie 5 YubiKey a part de la competència no és només la varietat de factors de forma. Aquests dispositius són ganivets reals de seguretat de l’exèrcit suís. Cadascú pot funcionar com a targeta intel·ligent (PIV), pot generar contrasenyes d'una sola vegada, és compatible amb OATH-TOTP i OATH-HOTP i es pot utilitzar per a l'autenticació de resposta a desafiaments. Els quatre dispositius admeten tres algoritmes criptogràfics: RSA 4096, ECC p256 i ECC p384. Aquests dispositius poden adaptar-se a tants papers diferents, sovint alhora, sempre que coneguis el que fas.
Si bé el YubiKey 5 NFC és el focus d'aquesta revisió, en el passat he provat els dispositius YubiKey 4 Series i aquests són físicament idèntics a les variacions USB-C i Nano de la YubiKey 5 Series. Tots ells estan ben fets, revestits de plàstic negre que amaga el seu desgast i equipats amb LEDs verds ocults que us permeten saber que estan connectats i funcionen. Els dispositius USB-A tenen una banda d'or o disc que toqueu, depenent de la mida del dispositiu. Els dispositius USB-C, mentrestant, tenen dues pestanyes minúscules de metall que toqueu per autenticar-se. El dispositiu USB-A Nano és més difícil d’eliminar d’una ranura que el dispositiu USB-C Nano, però el USB-A Nano YubiKey té un forat minúscul, de manera que es pot penjar d’una corda o cordó, mentre que el USB-C Nano no ho fa.
El dispositiu YubiKey que adquiriu dependrà en gran mesura del context que tingueu previst utilitzar-lo. Els dispositius Nano són útils si teniu previst utilitzar-los amb un equip de confiança i sabeu que haureu d’accedir sovint a YubiKey. Les tecles a mida completa són millors per penjar un clauer i mantenir-se a la mà.
Hands On With YubiKey 5 NFC
Per ajudar-lo a començar, Yubico ha creat una guia útil per a nous usuaris. Només heu d'escollir el dispositiu YubiKey que teniu i el lloc mostra una llista de tots els llocs i contextos en què podeu utilitzar el YubiKey. Alguns d'aquests enllacen directament a la pàgina integrada d'un lloc o servei, mentre que d'altres proporcionen instruccions que heu de seguir.
Configurar el YubiKey com a segon factor U2F és molt senzill. Seguiu les instruccions del lloc o servei, i després insereu YubiKey a la ranura adequada quan se us demani. Només heu de tocar el disc d'or (o pestanyes metàl·liques, segons el model) i el servei us registrarà la vostra clau. La propera vegada que vingueu a iniciar la sessió, introduïu la vostra contrasenya i rebreu un missatge d'introducció i toqueu la clau. Això és!
Dashlane, Google i Twitter són alguns dels molts llocs que admeten U2F i accepten dispositius de la sèrie 5 de YubiKey. A la prova, el vaig registrar com a segon factor per a un compte de Google. Quan inicieu la sessió en un ordinador d’escriptori, vaig entrar les meves credencials d’inici de sessió i, a continuació, Google em va demanar que introduís i toqueu la meva clau de seguretat. No és cap problema, tot i que he de fer servir el navegador Chrome per iniciar la sessió.
Al meu dispositiu Android, el procés és igual de senzill. Quan heu registrat les proves, he entrat les meves credencials i, tot seguit, el telèfon m’ha demanat que utilitzés la meva clau de seguretat. Vaig seleccionar NFC des d'un menú a la part inferior, i després vaig colpejar els 5 NFC a la part posterior del telèfon. Va trigar uns quants intents, però al final el telèfon va emetre una veu afirmativa i em vaig iniciar.
La sèrie YubiKey 5 us pot autenticar de diverses maneres, no només mitjançant U2F. Amb LastPass, per exemple, us inscriviu a YubiKey per generar contrasenyes d’un sol ús (específicament les contrasenyes basades en un sol ús basades en HMAC, però utilitzaré OTP per a la brevetat) amb un toc. Això és diferent de l'U2F, però a la pràctica se sent molt similar. Inicieu la sessió a LastPass, aneu a la part corresponent del menú Configuració, feu clic al camp de text i toqueu YubiKey. Una cadena de lletres es destaca, i ja està! Ara, quan vulgueu iniciar la sessió a LastPass, se us demanarà que connecteu el vostre YubiKey per escopir-ne més OTP.
La majoria de vosaltres probablement coneixeu Google Authenticator, una aplicació que genera codis de passatge de sis dígits cada 30 segons. Aquesta tecnologia, més generalment, s’anomena contrasenyes basades en el temps (TOTP) i és una de les formes més habituals de 2FA que s’utilitzen avui en dia. Juben amb una aplicació d’escriptori o mòbil acompanyant, Yubico fa un gir interessant en el sistema TOTP.
Connecteu el vostre YubiKey, activeu l'aplicació Yubico Authenticator i aneu a un lloc que admet Google Authenticator o un servei similar. Per protegir un compte de Google, per exemple, he fet clic a l'opció per inscriure un telèfon nou a l'aplicació d'autenticació. Normalment apareix un codi QR en aquest punt i el lloc us demana que ho escanegeu amb l'aplicació d'autenticador adequada. En lloc d'això, vaig seleccionar una opció de menú a l'aplicació d'escriptori Yubico Authenticator i va capturar el codi QR de la meva pantalla. Després d’uns clics més, l’aplicació va començar a proporcionar codis únics de sis dígits cada 30 segons.
El truc és que l’aplicació Yubico no pot generar TOTP sense el YubiKey. En lloc d’emmagatzemar les credencials necessàries per crear aquests codis al vostre ordinador, l’autenticador de Yubico emmagatzema aquestes dades directament al vostre YubiKey. Estireu-lo i l’aplicació Authenticator no pot fer TOTP nous. Això és útil si us preocupa algú que us robi el dispositiu que feu servir per generar els vostres TOTP. També podeu bloquejar el vostre YubiKey amb una contrasenya, de manera que, fins i tot si us haguessin robat, no es podia utilitzar per generar TOTP.
Yubico també ofereix una aplicació Android que genera TOTP que funciona amb el YubiKey 5 NFC per agafar els seus TOTP a la carretera. Quan obriu l’aplicació, està buida, però buqueu els 5 NFC a la part posterior i comença a generar codis. Surt de l’aplicació i desapareixen els codis; hauràs de tornar a tocar els 5 NFC. És menys convenient que emmagatzemar la informació a l'aplicació mateixa, però molt més segur.
Aquests van ser els escenaris que vaig mirar, però la sèrie YubiKey 5 pot fer molt més. Podeu fer-la servir com a targeta intel·ligent per iniciar la sessió a l’ordinador d’escriptori. Podeu utilitzar-lo per iniciar la sessió als servidors SSH. Fins i tot es pot generar una clau PGP i, a continuació, utilitzar YubiKey per signar o autenticar-se. Francament, però, només em vaig embolicar el cap amb les tecles TOTP.
Tot i que Yubico té molta documentació i tres aplicacions d'escriptori separades (i tres aplicacions per a mòbils més), és molt difícil utilitzar totes les facetes del YubiKey sense una bona oportunitat de coneixement existent. Yubico ha desplegat un lloc web per ajudar a informar els clients sobre què poden utilitzar les seves claus i orientar-los cap a la informació necessària. Aquesta orientació és fantàstica, però és només una orientació, no la mà general que proporcionen productes de tecnologia. Utilitzar el vostre YubiKey per a U2F també és molt senzill, però treure el màxim partit al vostre YubiKey no és fàcil per a un novell, o fins i tot per a un periodista de seguretat.
YubiKeys vers la clau de seguretat de Titan Titan de Google
Yubico té una solució per a gairebé totes les situacions amb la sèrie YubiKey 5, però el cost és un problema. Cada dispositiu té un preu d'entre 40 i 60 dòlars per només un YubiKey.
El paquet de claus de seguretat de Titan de Google, d’altra banda, proporciona dos dispositius per 50 dòlars: una clau USB-A i una tecla Bluetooth / Micro USB. Això et proporciona un recanvi a la dreta. Per altra banda, YubiKey només té més seguretat per al vostre grup (suposant que us penseu com fer-ho tot). Els dos dispositius Titan poden utilitzar NFC, però, a partir d'aquest escrit, el suport no s'ha habilitat en dispositius Android. Google també subministra un adaptador USB-C, de manera que podeu utilitzar la vostra clau Titan amb gairebé qualsevol dispositiu. Les tecles Titan, però, només admeten FIDO U2F. Funcionarà per a gairebé tots els llocs web o serveis, però no es poden utilitzar per a TOTP, OTP, accés a targeta intel·ligent i la resta de protocols compatibles amb la sèrie 5 de YubiKey.
Els lectors conscients del preu que busquen només un dispositiu U2F preferiran la clau de seguretat de 20 dòlars de Yubico. Aquesta clau USB-A té la mateixa silueta que el YubiKey 5 NFC, però es pot identificar amb el seu bell recinte de plàstic blau, un glif clau en el botó central i el número dos gravat a la seva part superior. Com el seu nom indica, aquest dispositiu és compatible amb FIDO U2F i FIDO2, però ja està. La clau de seguretat no admet tots els protocols de la sèrie YubiKey 5, de manera que no es pot utilitzar amb LastPass ni com a targeta intel·ligent ni es pot comunicar sense fils. També costa menys de la meitat del paquet de claus de Titan o el de 5 NFC.
L’èxit de YubiKey?
La Sèrie 5 YubiKey és una notable família de dispositius que omplen un nombre enlluernador de nínxols. El seu ús més bàsic és com a autenticador FIDO U2F o generador OTP, però es pot fer molt més. El problema que sempre hem tingut amb YubiKeys i, en general, Yubico, és simplement el repte de descobrir quina és YubiKey a escollir, entre les dotze dotzenes que actualment ofereix la companyia. Esbrinar què es pot fer amb ell més enllà d’U2F és doblement difícil. Els dispositius Yubico són excel·lents i la seva documentació millora, però definitivament estan dissenyats tenint en compte els torns de seguretat i els professionals de les TI.
Si feu una ullada a la llista de safareigs que té YubiKey i els enteneu, o com a mínim, teniu curiositat, és el vostre dispositiu. No us decebrà en aquest petit dispositiu tan resistent. Si sabeu que voleu assegurar millor els vostres comptes en línia, però no esteu segurs de com fer-ho, probablement us ajudareu millor amb les claus de seguretat de Google Titan o la clau de seguretat molt més assequible de Yubico.
YubiKeys és una tecnologia establerta i madura, però encara estem explorant aquest espai. Com a tal, estem donant el YubiKey 5 NFC de quatre estrelles, però retenim un premi Choice Choice dels editors fins que no examinem més opcions.
