Obsah:
- Ako funguje dvojfaktorové overenie
- Mnoho príchutí YubiKey
- Hands On With YubiKey 5 NFC
- YubiKeys verzus bezpečnostný kľúč Google Titan
- YubiKey k úspechu?
Video: Yubico YubiKey 5 NFC Security Key (Október 2024)
Heslá boli slabým bodom bezpečnosti od ich prvého zavedenia. Našťastie, Yubico YubiKey 5 NFC je tu na ochranu našich najdôležitejších účtov a ešte oveľa viac. Piata generácia modelu YubiKey podporuje technológiu FIDO U2F pre bezpečnú autentizáciu pomocou druhého faktora a na prácu s telefónom používa technológiu NFC. Ale to je len začiatok toho, čo dokáže tento pozoruhodne silný a pozoruhodne malý prístroj. Ak hľadáte iba jednoduchú hardvérovú možnosť U2F, YubiKey 5 NFC je pravdepodobne nadmerná - namiesto toho zvážte dostupnejší bezpečnostný kľúč od spoločnosti Yubico alebo bezpečnostné kľúče Google Titan. Ale ak ste už ponorení do bezpečia, budete radi, čo 5 NFC môže ponúknuť.
Ako funguje dvojfaktorové overenie
Aj keď s hardvérovým bezpečnostným kľúčom, ako je YubiKey, môžete urobiť veľa, jeho hlavnou úlohou je druhý faktor autentifikácie. V praxi dvojfaktorová autentifikácia (2FA) znamená, že po zadaní hesla musíte urobiť druhú vec, aby ste dokázali, že ste to vy. Teória za 2FA však spája dva rôzne systémy autentifikácie zo zoznamu troch:
- Niečo, čo viete,
- Niečo, čo máte, alebo
- Niečo ste.
Napríklad: heslo je niečo, čo poznáte a malo by existovať iba vo vašej hlave (alebo vo vnútri správcu hesiel). Biometria - skenovanie odtlačkov prstov vecných snímok, skenovanie sietnice, podpisy srdca atď. - sa považuje za niečo, čím ste. Yubico YubiKeys a ich ilk sú niečo, čo máte .
Táto recenzia sa zameriava predovšetkým na hardvér 2FA, ale existuje mnoho spôsobov, ako pridať druhý faktor. Mnoho stránok vám pošle kódy prostredníctvom SMS na overenie vašej totožnosti. Aplikácie, ako sú Duo a Authy, sa spoliehajú na oznámenia push, ktoré sa teoreticky ťažšie zachytávajú ako správy SMS.
Či už idete s hardvérovým alebo softvérovým riešením alebo kombináciou oboch, pridajte 2FA kdekoľvek môžete. Keď spoločnosť Google interne nasadila kľúče 2FA, došlo k poklesu úspešných prevzatí účtov na nulu. Je to dobré.
Mnoho príchutí YubiKey
Spoločnosť Yubico vždy ponúkala niekoľko veľkostí a variácií svojich bezpečnostných kľúčov, aby vyhovovali takmer každej potrebe. To je skvelé, pretože spotrebitelia a odborníci v oblasti IT môžu získať presne to, čo potrebujú za rôzne ceny. Nevýhodou je, že prehliadanie obchodu Yubico je často ohromujúci zážitok. Urobím, čo bude v mojich silách, aby som zovrel základy.
Zariadenia YubiKey 5 Series majú štyri príchute vrátane 45 NUB YubiKey 5 NFC, ktoré sú tu recenzované, ako aj tri ďalšie formálne faktory: NUB 50 $ YubiKey 5 Nano, 50 dolárov YubiKey 5C a 60 dolárov YubiKey 5C Nano. 5 NFC je jediný server YubiKey, ktorý ponúka bezdrôtovú komunikáciu, ale okrem toho je jediným rozdielom medzi týmito zariadeniami veľkosť, cena a konektor USB.
Obidve zariadenia Nano sú najrozvinutejšie zariadenia v skupine a zasunú sa do slotov USB-A alebo USB-C, ak sú často potrebné, ľahko sa nachádzajú na dosah. YubiKey 5C používa konektor USB-C, je o niečo menší ako 5 NFC a môže zavesiť na kľúčenku vedľa 5 NFC; chýba mu bezdrôtová komunikácia. K zariadeniu Android však môžete pripojiť buď YubiKey 5C alebo 5C Nano priamo.
To, čo odlišuje model YubiKey 5 od konkurencie, nie je len rozmanitosť tvarových faktorov. Ide o skutočné digitálne bezpečnostné nože Švajčiarskej armády. Každý z nich môže fungovať ako inteligentná karta (PIV), môže generovať jednorazové heslá, podporovať OATH-TOTP a OATH-HOTP a môže sa použiť na autentifikáciu výzvou a odpoveďou. Všetky štyri zariadenia podporujú tri kryptografické algoritmy: RSA 4096, ECC p256 a ECC p384. Tieto zariadenia dokážu zmestiť toľko rôznych úloh, často naraz - za predpokladu, že viete, čo robíte.
Kým YubiKey 5 NFC je stredobodom tohto prehľadu, v minulosti som testoval zariadenia YubiKey 4 Series, ktoré sú fyzicky totožné s variáciami USB-C a Nano v sérii YubiKey 5. Všetky sú dobre vyrobené, odeté do čierneho plastu, ktorý ukrýva opotrebenie, a sú vybavené skrytými zelenými LED diódami, aby ste vedeli, že sú pripojené a funkčné. Zariadenia USB-A majú buď zlatý prúžok alebo disk, na ktorý klepnete, v závislosti od veľkosti zariadenia. Zariadenia USB-C sú medzitým vybavené dvoma malými kovovými kartami, na ktoré klepnutím overíte. Zariadenie USB-A Nano je ťažšie odstrániť zo slotu ako zariadenie USB-C Nano, ale zariadenie USB-A Nano YubiKey má malú dieru, takže ho možno zavesiť na šnúru alebo kábel, zatiaľ čo zariadenie USB-C Nano nemá.
Ktoré zariadenie YubiKey si zakúpite, bude do veľkej miery závisieť od toho, v akom kontexte ho plánujete používať. Zariadenia Nano sú užitočné, ak ich plánujete používať v dôveryhodnom počítači a viete, že k zariadeniu YubiKey budete musieť pristupovať často. Kľúče v plnej veľkosti sú lepšie na zavesenie na kľúčenku a na dosah ruky.
Hands On With YubiKey 5 NFC
Aby ste mohli začať, spoločnosť Yubico vytvorila praktického sprievodcu pre nových používateľov. Stačí si vybrať zariadenie YubiKey, ktoré máte, a na webe sa zobrazí zoznam všetkých miest a kontextov, ktoré môžete použiť so zariadením YubiKey. Niektoré z nich odkazujú priamo na vstupnú stránku stránky alebo služby, zatiaľ čo iné poskytujú pokyny, ktoré musíte dodržiavať.
Nastavenie YubiKey ako druhého faktora U2F je veľmi jednoduché. Postupujte podľa pokynov na stránke alebo službe a po zobrazení výzvy vložte disk YubiKey do príslušného slotu. Stačí klepnúť na zlatý disk (alebo kovové karty, v závislosti od modelu) a služba zaznamená váš kľúč. Pri najbližšom prihlásení zadáte svoje heslo a zobrazí sa výzva na vloženie kľúča a klepnutie na. To je všetko!
Dashlane, Google a Twitter sú niektoré z mnohých stránok, ktoré podporujú U2F a prijímajú zariadenia YubiKey 5 Series. Pri svojom testovaní som ho zaregistroval ako druhý faktor pre účet Google. Pri prihlasovaní na stolnom počítači som zadal svoje prihlasovacie údaje a spoločnosť Google ma požiadala o vloženie a klepnutie na bezpečnostný kľúč. To nie je problém, aj keď som sa musel prihlásiť pomocou prehliadača Chrome.
Na mojom zariadení s Androidom je postup rovnako jednoduchý. Pri testovaní prihlásenia som zadal svoje poverenia a potom ma telefón vyzval, aby som použil bezpečnostný kľúč. Vybral som NFC z ponuky pozdĺž dolnej časti a potom plácl 5 NFC na zadnú časť môjho telefónu. Trvalo to niekoľko pokusov, ale nakoniec sa ozval kladný telefón a ja som bol prihlásený.
Séria YubiKey 5 vás môže autentifikovať niekoľkými spôsobmi, nielen prostredníctvom U2F. Napríklad pomocou LastPass sa zaregistrujete na serveri YubiKey, aby ste generovali jednorazové heslá (konkrétne jednorazové heslá založené na HMAC, ale pre stručnosť použijem OTP). To sa líši od U2F, ale v praxi je to veľmi podobné. Prihláste sa do LastPass, prejdite na príslušnú časť ponuky Nastavenia, kliknite na textové pole a klepnite na YubiKey. Vystúpi reťazec písmen, a to je všetko! Teraz, keď sa chcete prihlásiť na LastPass, budete vyzvaný, aby ste zapojili YubiKey, aby vám to vyplivlo viac OTP.
Väčšina z vás pravdepodobne pozná aplikáciu Google Authenticator, aplikáciu, ktorá generuje šesťmiestne prístupové kódy každých 30 sekúnd. Táto technológia sa všeobecne nazýva jednorazové heslá založené na čase (TOTP) a je to jedna z najbežnejších foriem 2FA, ktorá sa dnes používa. Spolu so sprievodnou pracovnou plochou alebo mobilnou aplikáciou prináša Yubico zaujímavú rotáciu v systéme TOTP.
Pripojte zariadenie YubiKey, spustite aplikáciu Yubico Authenticator a potom prejdite na web, ktorý podporuje aplikáciu Google Authenticator alebo podobnú službu. Napríklad kvôli zabezpečeniu účtu Google som klikol na možnosť zaregistrovať nový telefón pomocou aplikácie overovania. V tomto okamihu sa zvyčajne objaví QR kód a web vás vyzve, aby ste ho naskenovali pomocou príslušnej aplikácie autentifikátora. Namiesto toho som v pracovnej ploche aplikácie Yubico Authenticator vybral možnosť ponuky a zachytil som QR kód z mojej obrazovky. Po niekoľkých ďalších kliknutiach začala aplikácia každých 30 sekúnd poskytovať jedinečné šesťmiestne kódy.
Trik je v tom, že aplikácia Yubico nemôže generovať TOTP bez aplikácie YubiKey. Namiesto ukladania poverení potrebných na vytvorenie týchto kódov v počítači, aplikácia Yubico Authenticator tieto údaje ukladá priamo do zariadenia YubiKey. Vytiahnite ju a aplikácia Authenticator nedokáže vytvoriť nové TOTP. To je užitočné, ak máte obavy z toho, že niekto ukradne zariadenie, ktoré používate na generovanie TOTP. Môžete tiež uzamknúť svoje YubiKey pomocou hesla, takže aj keby vám bolo ukradnuté, nemohlo by sa použiť na generovanie TOTP.
Spoločnosť Yubico tiež ponúka aplikáciu pre Android, ktorá generuje TOTP a spolupracuje s YubiKey 5 NFC, aby vaše TOTP mohla byť na cestách. Keď otvoríte aplikáciu, je prázdna, ale plesknite 5 NFC za zadnú stranu a začne generovať kódy. Ukončite aplikáciu a kódy zmiznú; budete musieť znova klepnúť na 5 NFC. Je to menej pohodlné ako ukladanie informácií v samotnej aplikácii, ale oveľa bezpečnejšie.
Na tieto scenáre som sa pozrel, ale YubiKey 5 Series dokáže oveľa viac. Môžete ju použiť ako čipovú kartu na prihlásenie do môjho stolného počítača. Môžete ho použiť na prihlásenie na servery SSH. Môžete dokonca vygenerovať kľúč PGP a potom pomocou YubiKey podpísať alebo overiť totožnosť. Úprimne povedané, len dostať hlavu zabalenú okolo kľúčov TOTP bolo dosť ťažké.
Aj keď má Yubico veľa dokumentácie a tri samostatné aplikácie pre stolné počítače (a ďalšie tri mobilné aplikácie), je veľmi ťažké používať všetky aspekty YubiKey bez dobrého množstva existujúcich znalostí. Spoločnosť Yubico nasadila webovú stránku s cieľom informovať zákazníkov o tom, na čo môžu použiť ich kľúč, a usmerniť ich k potrebným informáciám. Toto usmernenie je skvelé, ale je to iba usmernenie, nie ručné držanie, ktoré zvyčajne poskytujú technické výrobky. Používanie YubiKey pre U2F je tiež veľmi jednoduché, ale vyťažiť maximum zo svojho YubiKey nie je ľahké pre začiatočníkov - alebo dokonca novinárov o bezpečnosti.
YubiKeys verzus bezpečnostný kľúč Google Titan
Yubico má riešenie pre takmer každú situáciu s YubiKey 5 Series, ale cena je problém. Cena každého jednotlivého zariadenia sa pohybuje medzi 40 a 60 $ len za jedno YubiKey.
Balík bezpečnostných kľúčov spoločnosti Google na druhej strane poskytuje dve zariadenia za 50 dolárov: jeden kľúč USB-A a kľúčenka Bluetooth / Micro USB. To vám dáva náhradné hned z netopiera. Na druhú stranu YubiKey má len väčšiu ranu za svoje peniaze (za predpokladu, že puzzle, ako to všetko použiť). Obe zariadenia Titan môžu používať NFC, ale od tohto písania nie je podpora podporovaná na zariadeniach s Androidom. Google tiež dodáva adaptér USB-C, takže môžete používať svoj Titanový kľúč s takmer akýmkoľvek zariadením. Klávesy Titan však podporujú iba FIDO U2F. Toto bude fungovať takmer pre všetky webové stránky alebo služby, ale nemôžu byť použité pre TOTP, OTP, prístup k čipovým kartám a ďalšie protokoly podporované YubiKey 5 Series.
Čitatelia, ktorí si uvedomujú cenu a hľadajú predovšetkým zariadenie U2F, pravdepodobne uprednostnia bezpečnostný kľúč 20 USD od spoločnosti Yubico. Tento kľúč USB-A má rovnakú siluetu ako model YubiKey 5 NFC, možno ho však identifikovať podľa pekného modrého plastového krytu, kľúča glyf na strednom tlačidle a čísla 2 vyleptaného na jeho vrchu. Ako už názov napovedá, toto zariadenie podporuje FIDO U2F a FIDO2, ale to je všetko. Bezpečnostný kľúč nepodporuje všetky protokoly YubiKey 5 Series, takže ho nemôžete používať s LastPass alebo ako čipovú kartu, ani nemôže komunikovať bezdrôtovo. Tiež stojí menej ako polovicu zväzku kľúčov Titan alebo 5 NFC.
YubiKey k úspechu?
Séria YubiKey 5 je pozoruhodná skupina zariadení, ktoré zaplňujú oslnivý počet výklenkov. Jeho najzákladnejšie použitie je ako autentizátor FIDO U2F alebo generátor OTP, ale dokáže oveľa viac. Problémy, ktoré sme mali vždy s YubiKeys, a celkovo Yubico, je jednoducho výzva zistiť, ktoré YubiKey si vybrať, z polovice tuctov, ktoré spoločnosť v súčasnosti ponúka. Zistiť, čo s tým môžete urobiť za hranicami U2F, je dvojnásobne náročné. Zariadenia Yubico sú vynikajúce a ich dokumentácia sa zdokonaľuje, ale určite sú navrhnuté s ohľadom na bezpečnostné winks a IT profesionálov.
Ak sa pozriete na zoznam funkcií bielizne, ktoré sa YubiKey môže pochváliť a porozumieť im alebo ste na ne aspoň zvedaví, potom je to pre vás zariadenie. Nebudete sklamaní z tohto drsného malého zariadenia. Ak viete, že si chcete lepšie zabezpečiť svoje online účty, ale neviete, ako to urobiť, pravdepodobne máte lepšiu bezpečnosť pomocou bezpečnostných kľúčov Google Titan alebo oveľa dostupnejšieho bezpečnostného kľúča od spoločnosti Yubico.
YubiKeys sú zavedená a vyspelá technológia, ale stále skúmame tento priestor. Ako taký dávame YubiKey 5 NFC štyri hviezdičky, ale udeľujeme cenu Editors 'Choice, až kým neskúmame ďalšie možnosti.
