Зміст:
- Як працює двофакторна автентифікація
- Багато смаків YubiKey
- Руки з YubiKey 5 NFC
- YubiKeys проти ключа безпеки Google Titan
- ЮбіКей до успіху?
Відео: Yubico YubiKey 5 NFC Security Key (Жовтень 2024)
Паролі були слабкою точкою безпеки з моменту їх введення. На щастя, Yubico YubiKey 5 NFC тут, щоб захистити наші найважливіші акаунти та багато іншого. П’яте покоління YubiKey підтримує FIDO U2F для безпечної аутентифікації другого фактора і використовує NFC для роботи з вашим телефоном. Але це лише початок того, що може зробити цей надзвичайно потужний і надзвичайно крихітний пристрій. Якщо ви просто шукаєте простий апаратний варіант U2F, YubiKey 5 NFC, ймовірно, є надмірним - врахуйте замість цього більш доступний ключ безпеки від Yubico або захисні ключі Google Titan. Але якщо ви вже пронизані вигідністю безпеки, вам сподобається те, що може запропонувати 5 NFC.
Як працює двофакторна автентифікація
Незважаючи на те, що ви можете багато зробити з апаратним ключем безпеки, таким як YubiKey, його основна роль є другим фактором аутентифікації. На практиці двофакторна автентифікація (2FA) означає, що потрібно ввести другу справу після введення пароля, щоб довести, що це ти. Але теорія 2FA поєднує дві різні системи аутентифікації зі списку трьох:
- Щось ви знаєте,
- Щось у вас є, або
- Щось ти є.
Наприклад: пароль - це те, що ви знаєте, і він повинен існувати лише у вашій голові (або всередині диспетчера паролів). Біометричні дані - сканування відбитків пальців, сканування сітківки, серцеві підписи тощо - рахують як щось таке. Yubico YubiKeys та їхні лайки - це те, що у вас є .
Цей огляд стосується в основному апаратних 2FA, проте існує багато способів додати другий фактор. Багато сайтів надсилають вам коди через SMS, щоб підтвердити вашу особу. Такі програми, як Duo та Authy, покладаються на push-сповіщення, які (теоретично) важче перехопити, ніж SMS-повідомлення.
Якщо ви працюєте з апаратним чи програмним рішенням або сумішшю обох, додайте 2FA, де тільки зможете. Коли Google внутрішньо розгорнув ключі 2FA, він побачив, що успішні поглинання облікового запису опускаються до нуля. Це так добре.
Багато смаків YubiKey
Yubico завжди пропонував кілька розмірів і варіацій своїх клавіш безпеки, щоб вони відповідали всім потребам. Це чудово, адже споживачі та ІТ-професіонали можуть отримати саме те, що їм потрібно за самими різними цінами. Мінусом є те, що перегляд магазину Yubico - часто непосильний досвід. Я зроблю все можливе, щоб збити основи.
Тут представлені чотири аромати пристроїв серії 5 YubiKey, включаючи розглянутий тут 45 доларів NFC YubiKey 5, а також три інші форм-фактори: $ 50 YubiKey 5 Nano, $ 50 YubiKey 5C та $ 60 YubiKey 5C Nano. 5 NFC - єдиний YubiKey, який пропонує бездротовий зв’язок, але крім того, єдиною різницею цих пристроїв є розмір, ціна та роз'єм USB.
Два пристрої Nano - це найменші пристрої в групі і розташовуються в межах ваших слотів USB-A або USB-C, легко досягли, якщо вони вам часто потрібні. YubiKey 5C використовує роз'єм USB-C, трохи менше, ніж 5 NFC, і може висіти на вашому брелоку поряд з 5 NFC; їй бракує бездротового зв'язку. Однак ви можете підключити або YubiKey 5C або 5C Nano безпосередньо до свого пристрою Android.
Що відрізняє YubiKey 5 Series від конкуренції - це не лише різноманітність форм-факторів. Ці пристрої - справжні цифрові захисні ножі Swiss Army. Кожна з них може функціонувати як смарт-карта (PIV), може генерувати одноразові паролі, підтримувати як OATH-TOTP, так і OATH-HOTP, і може використовуватися для аутентифікації у відповідь на виклик. Усі чотири пристрої підтримують три криптографічні алгоритми: RSA 4096, ECC p256 та ECC p384. Ці пристрої можуть вміщувати дуже багато різних ролей, часто одночасно - за умови, що ви знаєте, що робите.
Хоча YubiKey 5 NFC зосереджується на цьому огляді, я раніше перевіряв пристрої серії YubiKey 4, і це фізично ідентично варіаціям USB-C та Nano у серії YubiKey 5. Усі вони добре виготовлені, одягнені в чорний пластик, який приховує зношення, і оснащені прихованими зеленими світлодіодами, щоб ви могли знати, що вони підключені та працюють. Пристрої USB-A мають золоту смужку або диск, який ви натискаєте, залежно від розміру пристрою. Тим часом на пристроях USB-C є дві крихітні металеві вкладки, які ви натискаєте для автентифікації. Пристрій USB-A Nano важче вийняти з гнізда, ніж пристрій USB-C Nano, але USB-A Nano YubiKey має крихітний отвір, тому його можна повісити на струну або шнур, тоді як USB-C Nano не.
Який пристрій YubiKey ви придбаєте, багато в чому залежатиме від того, який контекст ви плануєте використовувати. Пристрої Nano корисні, якщо ви плануєте використовувати їх із надійним комп’ютером, і вам відомо, що вам потрібно буде часто звертатися до YubiKey. Повнорозмірні клавіші краще підвішувати на брелоки та тримати близько під рукою.
Руки з YubiKey 5 NFC
Щоб допомогти вам розпочати роботу, Yubico створив зручний посібник для нових користувачів. Просто виберіть у вас пристрій YubiKey, і на сайті з'явиться список усіх місць та контекстів, якими ви можете користуватися своїм YubiKey. Деякі з них посилаються безпосередньо на сторінку або службу на бортовій сторінці, а інші надають інструкції, які ви повинні виконувати самостійно.
Встановити YubiKey як другий фактор U2F дуже просто. Дотримуйтесь вказівок сайту або служби, а потім вставте YubiKey у відповідний слот, коли буде запропоновано. Просто торкніться золотого диска (або металевих вкладок, залежно від моделі), і сервіс записує ваш ключ. Наступного разу, коли ви перейдете до входу, ви вводите свій пароль, і вам буде запропоновано вставити ключ і натиснути. Це воно!
Dashlane, Google і Twitter - це декілька з багатьох сайтів, які підтримують U2F та приймають пристрої YubiKey 5 серії. Під час тестування я зареєстрував це як другий фактор для облікового запису Google. Під час входу на настільному комп’ютері я вводив свої облікові дані для входу, а потім Google попросив мене вставити та торкнутись ключа безпеки. Це не проблема, хоча мені довелося використовувати браузер Chrome для входу.
На моєму пристрої Android процес настільки ж простий. Під час входу в тестування я ввів свої облікові дані, і тоді телефон запропонував мені використовувати мій ключ безпеки. Я вибрав NFC з меню внизу, а потім натиснув 5 NFC на задній панелі телефону. Минуло досить багато спроб, але в підсумку телефон задзвонив ствердно, і я ввійшов у систему.
Серія YubiKey 5 може аутентифікувати вас різними способами, не лише через U2F. Наприклад, з LastPass ви реєструєте YubiKey для створення одноразових паролів (зокрема, одноразових паролів на основі HMAC, але я буду використовувати OTP для стислості) з натисканням кнопки. Це відрізняється від U2F, але на практиці він дуже схожий. Увійдіть до LastPass, перейдіть до відповідної частини меню Налаштування, натисніть на текстове поле та торкніться YubiKey. Рядок літер промальовується, і все! Тепер, коли ви хочете увійти в LastPass, вам буде запропоновано підключити ваш YubiKey, щоб він виплюнув більше OTP.
Більшість з вас, напевно, знайомі з Google Authenticator, додатком, який генерує шестизначні коди кожні 30 секунд. Ця технологія, загалом, називається одноразовими паролями на основі часу (TOTP), і це одна з найпоширеніших форм для 2FA, що застосовується сьогодні. Поряд із супутнім настільним або мобільним додатком, Yubico додає цікаву спіну в системі TOTP.
Підключіть свій YubiKey, запустіть додаток Yubico Authenticator, а потім перейдіть на сайт, який підтримує Google Authenticator або подібну службу. Наприклад, щоб захистити обліковий запис Google, я натиснув опцію зареєструвати новий телефон за допомогою програми автентифікатора. QR-код зазвичай з'являється в цей момент, і сайт пропонує вам сканувати його за допомогою відповідної програми аутентифікатора. Натомість я вибрав варіант меню у настільному додатку Yubico Authenticator, і він знімає QR-код із мого екрану. Після ще декількох клацань додаток почав надавати унікальні шестизначні коди кожні 30 секунд.
Хитрість полягає в тому, що додаток Yubico не може генерувати TOTP без YubiKey. Замість того, щоб зберігати облікові дані, необхідні для створення цих кодів на вашому комп'ютері, Yubico Authenticator зберігає ці дані безпосередньо у вашому YubiKey. Витягніть це, і програма Authenticator не може робити нові TOTP. Це зручно, якщо ви стурбовані тим, що хтось викраде пристрій, який ви використовуєте для створення ваших TOTP. Ви також можете заблокувати YubiKey паролем, тому навіть якщо він був викрадений у вас, його не можна використовувати для створення TOTP.
Yubico також пропонує додаток для Android, що генерує TOTP, який працює з YubiKey 5 NFC, щоб взяти ваші TOTP в дорогу. Коли ви відкриєте додаток, він порожній, але ляпніть 5 списками NFC по спині, і він починає генерувати коди. Закрийте додаток, і коди зникнуть; вам доведеться знову натиснути 5 NFC. Це менш зручно, ніж зберігати інформацію в самому додатку, але набагато безпечніше.
Це були сценарії, які я переглянув, але YubiKey 5 Series може зробити набагато більше. Ви можете використовувати його як смарт-карту для входу на мій настільний комп'ютер. Ви можете використовувати його для входу на SSH-сервери. Ви навіть можете генерувати ключ PGP, а потім використовувати YubiKey для підписання або автентифікації. Відверто кажучи, однак просто обмотати голову навколо клавіш TOTP було досить складно.
Хоча Yubico має багато документації та три окремі додатки для настільних комп’ютерів (і ще три мобільні додатки), дуже важко використовувати кожну грань YubiKey без хорошого накопичення наявних знань. Yubico розробив веб-сайт, щоб допомогти інформувати клієнтів про те, для чого вони можуть використовувати їх ключ, та спрямувати їх на необхідну інформацію. Це керівництво чудово, але це лише керівництво, а не рукоділля, яке зазвичай надають технічні продукти. Використовувати свій YubiKey для U2F також дуже просто, але отримувати максимум користі від YubiKey для початківців або навіть журналіста з питань безпеки непросто.
YubiKeys проти ключа безпеки Google Titan
Yubico має рішення для майже будь-якої ситуації з YubiKey 5 Series, але вартість - це проблема. Кожен окремий пристрій коштує від 40 до 60 доларів лише за один YubiKey.
З іншого боку, пакет безпеки ключа Titan Google надає два пристрої за 50 доларів: один ключ USB-A та клавіша Bluetooth / Micro USB. Це дає вам запас прямо від кажана. З іншого боку, у YubiKey просто є більший захист для вашого долара (припускаючи, що ви розгадуєте, як все це використовувати). Обидва пристрої Titan можуть використовувати NFC, але, як це писалося, підтримка не була включена на пристроях Android. Google також постачає USB-C адаптер, так що ви можете використовувати свій ключ Titan майже на будь-якому пристрої. Клавіші Titan, однак, підтримують лише FIDO U2F. Це буде працювати майже для кожного веб-сайту чи служби, але їх не можна використовувати для TOTP, OTP, доступу до смарт-карт та інших протоколів, які підтримує YubiKey 5 Series.
Цінові читачі, які в першу чергу шукають лише U2F-пристрій, швидше за все, віддадуть перевагу 20-доларовому ключу безпеки від Yubico. Цей ключ USB-A має такий же силует, як і YubiKey 5 NFC, але його можна ідентифікувати за його красивим синім пластиковим корпусом, ключовим гліфом на центральній кнопці та номером два, офортним на його верхній частині. Як випливає з назви, цей пристрій підтримує FIDO U2F і FIDO2, але це все. Ключ безпеки не підтримує всі протоколи серії YubiKey 5, тому ви не можете використовувати його з LastPass або як смарт-карту, а також не можете спілкуватися бездротово. Він також коштує менше половини пакету ключів "Титан" або 5 NFC.
ЮбіКей до успіху?
Серія YubiKey 5 - чудове сімейство пристроїв, які заповнюють сліпуче число ніш. Основне його використання - це автентифікатор FIDO U2F або генератор OTP, але він може зробити набагато більше. Проблема, яку ми завжди мали з YubiKeys та Yubico загалом, - це просто завдання визначити, який YubiKey вибрати, серед півдесятка, яку компанія пропонує зараз. Зрозуміти, що можна зробити з ним за межами U2F, є подвійним завданням. Пристрої Yubico відмінні, а їх документація покращується, але вони, безумовно, розроблені з урахуванням підмовок до безпеки та ІТ-фахівців.
Якщо ви переглянете список можливостей для прання, YubiKey може похвалитися і зрозуміти їх, або, принаймні, цікаво про них, то це пристрій для вас. Ви не розчаруєтесь у цьому міцному маленькому пристрої. Якщо ви знаєте, що хочете краще захистити свої облікові записи в Інтернеті, але не знаєте, як це зробити, вам, ймовірно, краще за допомогою ключів безпеки Google Titan або набагато більш доступного ключа безпеки від Yubico.
YubiKeys - це усталена та зріла технологія, але ми все ще вивчаємо цей простір. Таким чином, ми надаємо YubiKey 5 NFC чотири зірки, але ми відмовляємось від нагороди за вибір редакторів, поки ми не вивчимо більше варіантів.
