Valoració i valoració de Yubico yubikey 5ci

La línia YubiKey de Yubico és des de fa anys una elecció perfecta per a l’autenticació simple i senzilla de dos factors de maquinari. L’última frontera per a Yubico ha estat l’iPhone, que finalment aborda amb el YubiKey 5Ci. Aquest petit dispositiu de doble final porta un connector USB-C en un extrem i un connector Lightning compatible amb Apple en l'altre. Aquesta hidra de clau de maquinari funciona exactament com hauria de ser equipada amb funcions que la competència no pot igualar, però es veu limitada per l’assistència limitada a iOS i un preu relativament alt.

Què és l'autenticació de dos factors

A la pràctica, l'autenticació de dos factors (2FA) utilitza dues coses per iniciar la sessió en un lloc o servei, però no és d'on prové el nom. En lloc d'això, es refereix a una teoria de l'autenticació, on demostra que hauria de tenir accés amb:

Alguna cosa que saps.

Alguna cosa ets.

O alguna cosa que tingueu.

Una cosa que saps és com una contrasenya, per la qual els humans som terribles i hauríem de deixar-ne càrrec dels gestors de contrasenyes. Alguna cosa que és és com dades biomètriques, com ara utilitzar la seva empremta digital per desbloquejar un telèfon. Alguna cosa que haureu pogut ser un autenticador de maquinari, com un YubiKey. El 2FA és el lloc on utilitzeu dos autenticadors de la llista en lloc d’un sol, ja que és poc probable que un atacant tingui dos dels tres. És una manera molt eficaç de protegir els inicis de sessió. Tant és així que després que Google requerís l’ús de claus de maquinari 2FA internament, els atacs de phishing amb èxit van caure a zero.

Hi ha moltes maneres de fer 2FA. És probable que la recepció d'una contrasenya única mitjançant SMS sigui la més coneguda, tot i que aquesta es troba a la sortida a causa de problemes de seguretat. Yubico ha encapçalat la creació del protocol FIDO2 i l'estàndard WebAuthn, que utilitza criptografia de clau pública per a l'autenticació segura. L’estàndard WebAuthn certificat per W3C ha aportat aquest estil d’autenticació a cada vegada més navegadors i serveis, i podria ser el futur de com fem l’autenticació. Microsoft, per exemple, ha estat experimentant amb l'ús de dispositius WebAuthn com YubiKeys per a l'autenticació sense contrasenya.

Realitzat per a mòbils

La família YubiKey ha crescut significativament, amb set claus diferents en mides diferents i una preponderància de taps i protocols. La clau de seguretat USB-A Yubico només admet FIDO2 / WebAuthn i costa 20 dòlars, mentre que la clau de seguretat USB-A NFC afegeix suport inalàmbric per 27 dòlars.

Imatge via Yubico.

La sèrie YubiKey 5, que es mostra a la part superior, inclou diversos dispositius. A partir de l’esquerra, el USB-A YubiKey 5 NFC costa 45 dòlars i potser és el més capaç de tots els dispositius. El USB-C YubiKey 5C té un cost de 50 dòlars i s’assembla molt al 5Ci al seu disseny prim i resistent. Els 5 Nano i 5C Nano costen 50 $ i 60 $ respectivament, i estan dissenyats per viure dins dels vostres ports de manera semi-permanent. A 70 dòlars, el YubiKey 5Ci és la clau més cara de la família.

En comparació amb el disseny USB-A YubiKey, el 5Ci és minúscul. Té una longitud de 12mm x 40.3mm i un sol 5mm de gruix. És una mica més de la meitat de l'amplada d'una clau USB-A i una mica més curta. Està fosa en un plàstic negre durador i amb un forat central reforçat amb metall per fixar-lo a la seva clauer. El 5Ci és, tanmateix, més gruixut que el YubiKey 5 NFC. Aquesta circumferència addicional combinada amb el seu forat central el converteixen en una forma apta per a un portell, però funciona. Té una llum de ploma i només té 3 grams, però encara es sent bé construït.

A prop del centre del dispositiu es troben dos nodes metàl·lics elevats. Quan connecteu el 5Ci, toqueu aquests nodes quan se us demani una verificació completa. Com tots els dispositius YubiKey, el 5Ci no té bateria interna i treu tota la seva potència des del dispositiu al qual està connectat. El YubiKey 5Ci no és compatible amb NFC, mentre que la Yubico Security Key NFC i la YubiKey 5 NFC.

El YubiKey 5Ci té un disseny únic de doble final. Un costat té un connector USB-C, i l’altre porta un connector Apple Lightning que heu vist als carregadors d’iPhone i iPad des de fa anys. Irònicament, la meva major queixa sobre el 5Ci són els seus connectors. Per una cosa, vaig costar trobar un equip amb un port USB-C per provar les diverses capacitats del 5Ci. També és molt més fàcil registrar la clau des d’un ordinador que no pas des d’un dispositiu mòbil. Si utilitzeu maquinari recent, probablement el fet de trobar un port USB-C no serà un problema, però si sou com jo i utilitzeu ordinadors fins que no es cauen literalment, és possible que necessiteu un adaptador.

Per un altre, l’extrem USB-C del dispositiu no va ser adequat ni al Nokia 6.1 ni a l’Asus UX360c ZenBook Flip que vaig utilitzar en les proves. Vaig haver de pressionar realment per aconseguir el 5Ci, i cada vegada que pensava que anava a trencar alguna cosa. També hi va haver alguns casos en què semblava que el dispositiu no estava assegut correctament, ja que no es connectava. Això no va ser cap problema, i al cap de poques pressions i estiraments el connector va començar a sentir-se millor. Potser només necessita entrar.

El connector Lightning, en canvi, va funcionar notablement. Va entrar sense problemes i es va retallar amb força. Era com Apple, i no tinc cap queixa. Yubico va assenyalar que el connector USB-C del 5Ci no funcionarà en models d'iPad que tinguin ports USB-C.

Imatge via Yubico.

Hands On With the YubiKey 5Ci

Abans de poder utilitzar el 5Ci, o qualsevol altre autenticador de maquinari, heu d’inscriure’l a cada servei. El problema és que no tots els navegadors o aplicacions admeten claus d'autenticador de maquinari. Em vaig trobar amb aquest problema la primera vegada que vaig provar la clau de seguretat de Yubico NFC. En aquell moment (com ara), el suport d’Apple a NFC no s’estenia a les claus de seguretat en la majoria de contextos. Vaig trobar que hi havia més contextos en què el 5Ci funcionava amb iOS que quan vaig provar claus NFC a iPhones, però el suport relativament petit és una mica frustrant.

Per provar el suport FIDO2 / WebAuthn, vaig obrir Twitter al navegador Brave, que Yubico va suggerir que utilitzeu perquè és compatible amb l'autenticació basada en navegador. Vaig iniciar la sessió com de costum, vaig navegar al panell de configuració i em vaig inscriure al YubiKey 5Ci. La propera vegada que vaig iniciar la sessió, Twitter em va demanar que introduís la meva clau i toqueu-la. Vaig complir i vaig portar ràpidament l'aplicació web.

Malauradament, no he pogut iniciar sessió a Twitter ni amb Safari ni amb l’aplicació Twitter iOS. Tampoc no he pogut inscriure Yubikey 5Ci amb el meu compte de Google a Brave, Safari o, fins i tot, a Chrome.

El YubiKey 5Ci també admet contrasenyes (OTP). En aquesta configuració, connecteu la tecla i puntegeu els nodes metàl·lics, i us escorreu un codi llarg i únic. Aquí hi ha un: ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb. Alguns serveis, com LastPass, utilitzen aquesta funció en lloc de FIDO2 / WebAuthn. L’avantatge és que la tecla es llegeix com a teclat, de manera que és molt senzilla i no requereix cap suport addicional del navegador.

Per provar els OTP, primer he hagut d’inscriure la clau amb un compte LastPass. No he pogut fer això en un iPad o iPhone. En el cas dels navegadors, no se’m va donar l’opció d’utilitzar mètodes alternatius i els navegadors no podrien utilitzar NFC per llegir el meu NFC de YubiKey 5. L’aplicació LastPass va llegir la meva clau NFC, però l’aplicació no inclou opcions per editar les tecles de maquinari inscrites. Al final, vaig haver de trobar un ordinador portàtil amb ports USB-C per inscriure els 5Ci. Un cop ho vaig fer, iniciar la sessió a LastPass a través de l’aplicació o a través de l’aplicació LastPass o al navegador Brave va ser atractiu. Vaig introduir el meu nom d’usuari i la meva contrasenya com de costum i se’m va sol·licitar que inserís la meva clau i, a continuació, toqueu els nodes de metall de la clau. Un segon després, em van iniciar sessió.

Aquests eren només alguns dels serveis amb els quals pot treballar YubiKey i Yubico manté una llista força completa de llocs i serveis que accepten els OTP FIDO2 / WebAuthn o YubiKey. Un representant de la companyia va mencionar 1Password, Bitwarden, Idaptive i Okta com a aplicacions iOS específiques que ja admeten l'ús de YubiKeys.

El YubiKey 5Ci té tots els altres trucs, però tots necessiten un ordinador en algun moment. Per exemple, podeu personalitzar diversos aspectes de la vostra clau, com ara que us escopi una contrasenya predefinida quan premeu llargament els nodes de metall. També es pot configurar per doblar com a targeta intel·ligent i pot escopir codis de contrasenya (TOTP) amb temps limitat, igual que Google Authenticator amb l'ajuda d'una aplicació d'autenticador d'escriptori. Un representant de Yubico em va confirmar que, tret de la comunicació NFC, el YubiKey 5Ci pot fer qualsevol cosa que pugui fer el YubiKey 5 NFC.

El concurs YubiKey 5Ci vs.

Hi ha una gran quantitat de competidors d’autenticadors de maquinari que hi ha a Google, i no menys important és Google. Per 50 dòlars, la companyia us enviarà una clau de seguretat USB-A de Google Titan que utilitza FIDO2 / WebAuthn i un dongle Bluetooth recarregable. És un bon conjunt, però sempre he estat escèptic d’utilitzar Bluetooth per a dispositius de seguretat.

Si teniu un dispositiu mòbil amb Android 7.0 o posterior, també podeu utilitzar-lo com a autenticador de maquinari per a comptes de Google. Això té l’avantatge de ser completament gratuït i fer servir el maquinari ja existent, però actualment té un abast limitat. També confia en bateries i ràdios per funcionar, a diferència de tots els dispositius YubiKey.

Si la marca Google no és cosa vostra, pots dirigir-te directament a Feitian, l'empresa que Google va etiquetar per a les claus Titan. Aquests dispositius tenen diverses mides, configuracions i preus. L’únic inconvenient és el poc probable dels atacs de la cadena de subministrament, ja que Feitian es troba a la Xina. Yubico sempre s’afirma que fabrica les seves claus als Estats Units i Suècia.

Alguns poden preferir una alternativa de codi obert, com el NitroKey FIDO U2F. Aquest dispositiu alemany té 22, 00 € i utilitza maquinari i programari de codi obert. El benefici del maquinari de codi obert és que qualsevol tercera part pot verificar la seva seguretat de manera independent. Vaig trobar el NitroKey capaç, però maldestre. Tot i que les altres claus de seguretat són primes com, també, les tecles, el NitroKey és dur i fa servir un connector USB-A de mida completa. Vaig preguntar a un representant de Yubico sobre l'ús de components de codi obert i em van respondre que els xips d'elements més segurs disponibles simplement no són oberts.

Una cosa a tenir en compte és que 2FA no necessita una clau de maquinari. Google Authenticator, Duo Mobile i altres serveis ofereixen 2FA de forma gratuïta mitjançant aplicacions. Google i Apple asseguren comptes als seus serveis amb l’opció d’autentificar-se des d’un altre dispositiu de confiança. L’avantatge de les claus de maquinari és que funcionen sense servei d’alimentació o cel·lular, però si penseu que el fet d’utilitzar una clau física és molt complicat, us recomano simplement que el mètode 2FA tingui més sentit per a vosaltres.

Massa, massa aviat

Les meves úniques queixes reals amb el propi YubiKey 5Ci són el seu preu i el seu enganxós connector USB-C (que podria millorar en el temps). El veritable problema és el suport als dispositius iOS que, tot i millorar-se, continua sent limitat. En realitat no és culpa de Yubico, però és frustrant perquè el USB-C YubiKey costa 20 dòlars menys. M’encantaria que Apple i altres desenvolupadors comencessin a treballar seriosament per ampliar el suport per a tot tipus de claus de maquinari. Una vegada que això passi, el YubiKey 5Ci realment brillarà. Fins aleshores, la insígnia Elecció dels nostres editors continua essent la clau de seguretat de Yubico, que té un cost de 20 dòlars, i funcionarà gairebé a qualsevol lloc on engegueu un connector USB-A.