Recenzie a hodnotenie Yubico yubikey 5ci

Rad Yubico YubiKey je už dlhé roky voľbou jednoduchého hardvéru a dvojfaktorovej autentifikácie. Konečnou hranicou pre Yubico bol iPhone, na ktorý sa konečne zameriava s YubiKey 5Ci. Toto malé zariadenie s dvoma koncami má na jednom konci konektor USB-C a na druhom konektor Lightning kompatibilný s Apple. Táto hydra hardvérového kľúča funguje presne tak, ako by mala a je dodávaná s funkciami, ktoré konkurencia nemôže zodpovedať, ale obmedzuje ju obmedzená podpora pre iOS a porovnateľne vysoká cena.

Čo je dvojfaktorové overenie

V praxi dvojfaktorová autentifikácia (2FA) využíva dve veci na prihlásenie na web alebo do služby, ale odtiaľ názov nepochádza. Namiesto toho sa odkazuje na teóriu autentifikácie, pri ktorej preukážete, že by ste mali mať prístup k:

Niečo, čo viete.

Niečo ste.

Alebo niečo, čo máš.

Niečo, o čom viete, je ako heslo, o ktoré sú ľudia strašní, a my by sme sa mali naozaj nechať starať o to správcov hesiel. Niečo ako biometrické údaje, ako napríklad odomknutie telefónu pomocou odtlačku prsta. Môže to byť hardvérový overovač, napríklad YubiKey. 2FA je miesto, kde používate dvoch autentifikátorov zo zoznamu namiesto jedného, ​​pretože útočník pravdepodobne nebude mať dvoch z týchto troch. Je to nesmierne efektívny spôsob, ako zabezpečiť prihlásenie. Keď spoločnosť Google vyžadovala interné používanie hardvérových kľúčov 2FA, úspešné phishingové útoky klesli na nulu.

Existuje veľa spôsobov, ako urobiť 2FA. Prijímanie jednorazového hesla prostredníctvom SMS je pravdepodobne tým, s ktorým sú ľudia najviac oboznámení, hoci toto je na ceste z bezpečnostných dôvodov. Spoločnosť Yubico stála na čele tvorby protokolu FIDO2 a štandardu WebAuthn, ktorý pre bezpečnú autentifikáciu používa kryptografiu verejného kľúča. Norma WebAuthn s certifikáciou W3C priniesla tento štýl overovania v posledných rokoch do stále väčšieho množstva prehliadačov a služieb a mohla by byť budúcnosťou spôsobu, akým vykonávame overovanie. Napríklad spoločnosť Microsoft experimentuje s použitím zariadení WebAuthn, ako je YubiKeys, na úplnú autentizáciu bez hesla.

Vyrobené pre mobil

Rodina YubiKey sa výrazne rozrástla a má sedem rôznych kľúčov v rôznych veľkostiach a prevahu zásuviek a protokolov. Bezpečnostný kľúč USB-A Yubico podporuje iba FIDO2 / WebAuthn a stojí 20 dolárov, zatiaľ čo bezpečnostný kľúč USB-A NFC dodáva podporu bezdrôtovej siete za 27 dolárov.

Obrázok cez Yubico.

Séria YubiKey 5 na obrázku vyššie pokrýva niekoľko zariadení. Počnúc zľava stojí USB-A YubiKey 5 NFC náklady na 45 dolárov a je pravdepodobne najschopnejšia zo všetkých zariadení. USB-C YubiKey 5C stojí 50 dolárov a najviac sa podobá 5Ci v tenkom, odolnom dizajne. 5 Nano a 5C Nano stoja 50 dolárov a 60 dolárov, a sú navrhnuté tak, aby žili vnútri vašich portov natrvalo. Na 70 dolárov, YubiKey 5Ci je najdrahší kľúč v rodine.

V porovnaní s dizajnom USB-A YubiKey je 5Ci malý. Má hrúbku 12 mm x 40, 3 mm a hrúbku iba 5 mm. To je o niečo viac ako polovica šírky kľúča USB-A a o niečo kratšia. Je odlievaný z odolného čierneho plastu s kovovým vystuženým stredovým otvorom, ktorý ho pripevní k krúžku na kľúče. 5Ci je však hrubší ako YubiKey 5 NFC. Tento extra obvod spojený s jeho stredovou dierou z neho robí trochu zvláštny kľúč na prívesok na kľúče, ale funguje to. Svetlo má iba 3 gramy, ale stále je dobre stavané.

V strede zariadenia sú dva vyvýšené kovové uzly. Po pripojení 5Ci klepnete na tieto uzly, keď sa zobrazí výzva na dokončenie overenia. Rovnako ako všetky zariadenia YubiKey, 5Ci nemá internú batériu a čerpá všetku energiu zo zariadenia, ku ktorému je pripojená. YubiKey 5Ci nepodporuje NFC, zatiaľ čo bezpečnostný kľúč Yubico NFC a YubiKey 5 NFC áno.

YubiKey 5Ci má jedinečný dizajn s dvoma koncami. Na jednej strane je konektor USB-C a na druhej strane konektor Apple Lightning, ktorý ste už roky videli v nabíjačkách iPhone a iPad. Je iróniou, že mojou najväčšou sťažnosťou na 5Ci sú jej konektory. Jednak som ťažko našiel počítač s portom USB-C, ktorý by otestoval rôzne schopnosti 5Ci. Je tiež oveľa jednoduchšie zaregistrovať kľúč z počítača ako z mobilného zariadenia. Ak používate najnovší hardvér, nájdenie portu USB-C pravdepodobne nebude problém, ale ak ste ako ja a používate počítače, kým sa úplne nerozpadnú, možno budete potrebovať adaptér.

Za druhé, koniec zariadenia USB-C nebol vhodný pre Nokia Nokia 6.1 ani pre Asus UX360c ZenBook Flip, ktorý som použil pri testovaní. Musel som sa skutočne snažiť dostať 5Ci dovnútra a zakaždým, keď som si myslel, že niečo zlomím. Vyskytlo sa tiež niekoľko prípadov, keď sa zdalo, že zariadenie nebolo správne umiestnené, pretože sa nepripojilo. V žiadnom zmysle nejde o istič a po niekoľkých stlačeniach a ťahoch sa konektor začal cítiť lepšie. Možno to len potrebuje preniknúť.

Konektor Lightning na druhej strane fungoval pozoruhodne dobre. Hladne vstúpil a pevne sa uchytil. Bolo to úplne podobné Apple a nemám žiadne sťažnosti. Yubico poukázal na to, že konektor USB-C na 5Ci nebude fungovať v modeloch iPad, ktoré majú porty USB-C.

Obrázok cez Yubico.

Ruky s prístrojom YubiKey 5Ci

Predtým, ako budete môcť používať 5Ci alebo iný hardvérový autentifikátor, musíte si ho zaregistrovať v každej službe. Problém je v tom, že nie každý prehliadač alebo aplikácia podporuje hardvérové ​​autentifikačné kľúče. Do tohto problému som sa prvýkrát dostal, keď som testoval bezpečnostný kľúč Nubus Nubi. V tom čase (ako teraz) sa podpora NFC od spoločnosti Apple vo väčšine kontextov nerozširovala na bezpečnostné kľúče. Zistil som, že existuje viac kontextov, v ktorých 5Ci pracoval na systéme iOS, ako keď som testoval kľúče NFC na telefónoch iPhone, ale relatívne malá podpora je trochu frustrujúca.

Aby som otestoval podporu FIDO2 / WebAuthn, otvoril som si Twitter v statočnom prehliadači, ktorý spoločnosť Yubico navrhla použiť, pretože podporuje overovanie založené na prehliadači. Prihlásil som sa ako obvykle, navigoval som do tably Nastavenia a zaregistroval som YubiKey 5Ci. Nabudúce, keď som sa prihlásil, Twitter ma vyzval na zadanie môjho kľúča a ťuknutie naň. Súhlasil som a rýchlo som vychoval webovú aplikáciu.

Bohužiaľ sa mi nepodarilo prihlásiť na Twitter pomocou aplikácie Safari alebo Twitter iOS. Tiež som nebol schopný zaregistrovať Yubikey 5Ci pomocou svojho účtu Google v Brave, Safari alebo Chrome.

YubiKey 5Ci tiež podporuje jednorazové heslá (OTP). V tejto konfigurácii zapojíte kľúč a ťuknete na kovové uzly a dôjde k vyčerpaniu dlhého jedinečného kódu. Tu je jeden: ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb. Niekoľko služieb, napríklad LastPass, používa túto funkciu namiesto FIDO2 / WebAuthn. Výhodou je, že kľúč je čítaný ako klávesnica, takže je veľmi jednoduchý a nevyžaduje žiadnu ďalšiu podporu prehliadača.

Aby som otestoval OTP, musel som si najskôr zaregistrovať kľúč pomocou účtu LastPass. Nemohol som to urobiť na iPade alebo iPhone. V prípade prehliadačov som nemal možnosť používať alternatívne metódy a prehliadače nemohli použiť NFC na čítanie môjho YubiKey 5 NFC. Aplikácia LastPass prečítala môj kľúč NFC, ale neobsahuje možnosti na úpravu prihlásených hardvérových kľúčov. Nakoniec som musel nájsť notebook s USB-C portami na zápis 5Ci. Raz som sa prihlásil do aplikácie LastPass pomocou aplikácie alebo prostredníctvom aplikácie LastPass alebo statočného prehliadača. Ako obvykle som zadal svoje užívateľské meno a heslo a potom som vyzvaný na vloženie môjho kľúča a potom na kovové uzly na kľúči. O sekundu neskôr som bol prihlásený.

To boli len niektoré zo služieb, s ktorými môže YubiKey pracovať, a spoločnosť Yubico vedie pomerne komplexný zoznam stránok a služieb, ktoré akceptujú buď OTP FIDO2 / WebAuthn, alebo YubiKey. Zástupca spoločnosti uviedol 1Password, Bitwarden, Idaptive a Okta ako konkrétne aplikácie pre iOS, ktoré už podporujú používanie YubiKeys.

YubiKey 5Ci má všetky ostatné triky, ale v určitom okamihu vyžaduje počítač. Napríklad, môžete si prispôsobiť rôzne aspekty svojho kľúča, ako napríklad nechať ho vyplivnúť prednastavené heslo, keď dlho stlačíte kovové uzly. Môže byť tiež nakonfigurovaný tak, aby sa zdvojnásobil ako inteligentná karta, a pomocou aplikácie na autentifikáciu pomocou počítača môže vyplniť časovo obmedzené prístupové kódy (TOTP) rovnako ako Google Authenticator. Zástupca spoločnosti Yubico mi potvrdil, že okrem komunikácie NFC môže YubiKey 5Ci robiť všetko, čo YubiKey 5 NFC dokáže.

YubiKey 5Ci vs. súťaž

Existuje mnoho konkurentov v oblasti hardvérového overovania, v neposlednom rade je to spoločnosť Google. Za 50 dolárov vám spoločnosť pošle USB-A Google Titan Security Key, ktorý používa FIDO2 / WebAuthn a nabíjateľný Bluetooth kľúč. Je to dobrá sada, ale vždy som bol skeptický pri používaní Bluetooth pre bezpečnostné zariadenia.

Ak vlastníte mobilné zariadenie so systémom Android 7.0 alebo novším, môžete ho použiť aj ako hardvérový overovač pre účty Google. Výhodou je úplná bezplatnosť a používanie existujúceho hardvéru, ktorý už vlastníte, ale jeho rozsah je v súčasnosti obmedzený. Na rozdiel od všetkých zariadení YubiKey sa tiež spolieha na fungovanie batérií a rádií.

Ak značka Google nie je vaša vec, môžete ísť priamo k Feitian, spoločnosti, ktorú Google označila za kľúče Titan. Tieto zariadenia sa dodávajú v mnohých veľkostiach, konfiguráciách a cenách. Jedinou nevýhodou je nepravdepodobný potenciál útokov v dodávateľskom reťazci, pretože Feitian sa nachádza v Číne. Spoločnosť Yubico vždy rýchlo upozorňuje, že vyrába kľúče v USA a Švédsku.

Niektorí môžu uprednostňovať alternatívu s otvoreným zdrojom, napríklad NitroKey FIDO U2F. Toto nemecké zariadenie prevádzkuje 22, 00 EUR a používa hardvér a softvér s otvoreným zdrojom. Výhodou open-source hardvéru je to, že jeho bezpečnosť môže nezávisle overiť ktorákoľvek tretia strana. Zistil som, že NitroKey je schopný, ale neohrabaný. Zatiaľ čo iné bezpečnostné kľúče sú tenké ako kľúče, NitroKey je robustný a používa konektor USB-A plnej veľkosti. Požiadal som zástupcu spoločnosti Yubico o používanie komponentov s otvoreným zdrojovým kódom a oni odpovedali, že najlepšie dostupné čipy bezpečných prvkov jednoducho nie sú zdrojom s otvoreným zdrojom.

Jedna vec, ktorú treba mať na pamäti, je, že 2FA nevyžaduje hardvérový kľúč. Aplikácia Google Authenticator, Duo Mobile a ďalšie služby ponúkajú prostredníctvom aplikácií 2FA zadarmo. Google a Apple zabezpečili účty vo svojich službách s možnosťou overenia totožnosti z iného dôveryhodného zariadenia. Výhodou hardvérových kľúčov je to, že pracujú bez napájania alebo poskytovania mobilných služieb, ale ak si myslíte, že používanie fyzického kľúča je priveľa problémov, odporúčam vám jednoducho použiť ktorúkoľvek metódu 2FA, ktorá vám dáva najväčší zmysel.

Príliš veľa, príliš skoro

Moje jediné skutočné sťažnosti týkajúce sa samotného YubiKey 5Ci sú jeho cena a lepkavá zástrčka USB-C (čo sa môže postupom času zlepšovať). Skutočným problémom je podpora zariadení so systémom iOS, ktorá je síce vylepšená, ale stále je obmedzená. To nie je chyba Yubica, ale je to frustrujúce, pretože USB-C YubiKey stojí o 20 dolárov menej. Bol by som rád, keby spoločnosť Apple a ďalší vývojári začali vážne pracovať na rozširovaní podpory všetkých druhov hardvérových kľúčov. Akonáhle sa to stane, YubiKey 5Ci bude naozaj žiariť. Dovtedy náš odznak Editors 'Choice zostáva bezpečnostným kľúčom od spoločnosti Yubico, ktorý stojí pouhých 20 dolárov a bude fungovať takmer kdekoľvek, kde budete pripájať konektor USB-A.