Огляд та рейтинг Yubico yubikey 5ci

Лінія YubiKey від Yubico вже протягом багатьох років є вибором для простого, апаратного двофакторного аутентифікації. Останнім рубежем для Yubico став iPhone, який нарешті вирішує з YubiKey 5Ci. Цей крихітний пристрій із двома кінцями має USB-роз'єм на одному кінці та Apple-сумісний роз'єм Lightning. Ця гідра апаратного ключа працює точно так, як слід, і комплектується функціями, з якими конкуренція не може відповідати, але заважає обмежена підтримка iOS та порівняно висока ціна.

Що таке двофакторна автентифікація

На практиці двофакторна автентифікація (2FA) використовує дві речі для входу на сайт або службу, але не від цього походить назва. Натомість воно посилається на теорію автентифікації, де ви докажете, що вам слід мати доступ із:

Щось ти знаєш.

Щось ти є.

Або щось у вас є.

Те, що ви знаєте, схоже на пароль, за яким люди жахливі, і ми дійсно повинні дозволити менеджерам паролів подбати. Щось ти є, як біометричні дані, як-от використання відбитка пальця для розблокування телефону. Щось у вас може бути апаратним аутентифікатором, наприклад, YubiKey. 2FA - це те, коли ви використовуєте двох автентифікаторів зі списку замість одного, оскільки зловмисник навряд чи матиме два з трьох. Це надзвичайно ефективний спосіб забезпечити вхід у систему. Настільки, що після того, як Google вимагав внутрішнього використання апаратних ключів 2FA, успішні фішинг-атаки опустилися до нуля.

Є багато способів зробити 2FA. Отримання одноразового пароля через SMS - це, мабуть, найбільше знайоме з людьми, хоча це вже на виході через проблеми безпеки. Yubico очолив створення протоколу FIDO2 та стандарту WebAuthn, який використовує криптографію відкритого ключа для безпечної аутентифікації. Сертифікований W3C стандарт WebAuthn впровадив цей стиль аутентифікації у більші кількості веб-переглядачів і сервісів останніми роками, і це може стати майбутнім того, як ми робимо аутентифікацію. Наприклад, Microsoft проводила експерименти з використанням таких пристроїв WebAuthn, як YubiKeys, для повністю безоплатної автентифікації.

Зроблено для мобільних пристроїв

Сім'я YubiKey значно зросла, демонструючи сім різних клавіш у різних розмірах та перевагу вилок та протоколів. Ключ безпеки USB-A Yubico підтримує лише FIDO2 / WebAuthn і коштує 20 доларів, тоді як ключ безпеки USB-A NFC додає підтримку бездротового зв'язку за 27 доларів.

Зображення через Yubico.

Серія YubiKey 5, зображена вище, охоплює декілька пристроїв. Починаючи зліва, USB-A YubiKey 5 NFC коштує 45 доларів і, мабуть, найдієвіший з усіх пристроїв. USB-C YubiKey 5C коштує 50 доларів і найбільш тонко нагадує 5Ci за своєю тонкою, затятої конструкцією. Кошти 5 Nano і 5C Nano коштують 50 і 60 доларів відповідно, і вони призначені для того, щоб постійно жити у ваших портах. За ціною 70 доларів YubiKey 5Ci - найдорожчий ключ у сім’ї.

Порівняно з дизайном USB-A YubiKey, 5Ci крихітний. Це 12 мм х 40, 3 мм і товщиною всього 5 мм. Це трохи більше половини ширини клавіші USB-A і трохи коротше. Це литий міцний, чорний пластик з металевим посиленим отвором, щоб прикріпити його до брелока. Однак 5Ci товщі, ніж YubiKey 5 NFC. Цей додатковий обхват у поєднанні з його центральним отвором робить його трохи незвичайним пристосуванням для брелока, але він працює. Це пір'яне світло лише 3 грами, але все ще відчуває себе добре вбудованим.

Біля середини пристрою розташовані два піднятих металевих вузла. Коли ви підключите 5Ci, натисніть ці вузли, коли буде запропоновано пройти перевірку. Як і всі пристрої YubiKey, 5Ci не має внутрішнього акумулятора і черпає всю свою енергію з пристрою, до якого він підключений. Зокрема, YubiKey 5Ci не підтримує NFC, тоді як ключі безпеки NFC та YubiKey 5 NFC.

YubiKey 5Ci має унікальний дизайн з подвійним завершенням. На одній стороні є роз'єм USB-C, а на іншій - роз'єм Apple Lightning, який ви бачили на зарядних пристроях iPhone та iPad роками. Як не дивно, моя найбільша скарга на 5Ci - це його роз'єми. По-перше, мені важко було знайти комп’ютер з портом USB-C, щоб перевірити різні можливості 5Ci. Також набагато простіше записати ключ з комп’ютера, ніж це з мобільного пристрою. Якщо ви користуєтеся останнім обладнанням, пошук порту USB-C, ймовірно, не буде проблемою, але якщо ви такі, як я, і користуєтеся комп'ютерами, поки вони буквально не розпадуться, вам може знадобитися адаптер.

З іншого боку, USB-C кінець пристрою не вдалося вписатись ні в Nokia 6.1, ні в Asus UX360c ZenBook Flip, який я використовував при тестуванні. Мені довелося по-справжньому натиснути, щоб увійти 5Ci, і кожен раз, коли я думав, що збираюся щось зламати. Було також кілька випадків, коли здавалося, що пристрій не встановлено належним чином, оскільки він не підключався. Це не було жодним сенсом, і після декількох натискань і витягувань роз'єм почав відчувати себе краще. Можливо, йому просто потрібно прорватися.

З іншого боку, роз'єм блискавки працював надзвичайно добре. Він увійшов плавно і міцно вирізав. Це було ретельно схоже на Apple, і у мене немає претензій. Yubico зазначив, що роз'єм USB-C на 5Ci не працюватиме в моделях iPad, які мають порти USB-C.

Зображення через Yubico.

Руки з YubiKey 5Ci

Перш ніж використовувати 5Ci або будь-який інший апаратний автентифікатор, потрібно зареєструвати його в кожній службі. Проблема полягає в тому, що не кожен браузер чи програма підтримує апаратні ключі автентифікатора. Я вперше зіткнувся з цією проблемою, коли тестував ключ безпеки NFC від Yubico. Тоді (як і зараз) підтримка NFC від Apple не поширювалася на ключі безпеки в більшості контекстів. Я виявив, що було більше контекстів, де 5Ci працював на iOS, ніж коли я тестував клавіші NFC на iPhone, але порівняно невелика підтримка трохи засмучує.

Щоб перевірити підтримку FIDO2 / WebAuthn, я відкрив Twitter у браузері Brave, який Yubico запропонував використовувати, оскільки він підтримує автентифікацію на основі браузера. Я ввійшов у систему, як зазвичай, перейшов до панелі «Налаштування» та зареєстрував YubiKey 5Ci. Наступного разу, коли я ввійшов у систему, Twitter запропонував мені ввести свій ключ і натиснути його. Я виконав і швидко підняв веб-додаток.

На жаль, мені не вдалося увійти в Twitter ні Safari, ні додатком Twitter iOS. Я також не зміг зареєструвати Yubikey 5Ci за допомогою свого облікового запису Google у Brave, Safari або навіть Chrome.

YubiKey 5Ci також підтримує одноразові паролі (OTP). У цій конфігурації ви підключаєте ключ і торкаєтесь металевих вузлів, і випливає довгий унікальний код. Ось один: ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb. Кілька сервісів, як LastPass, використовують цю функцію замість FIDO2 / WebAuthn. Перевага полягає в тому, що ключ читається як клавіатура, тому він дуже простий і не вимагає додаткової підтримки браузера.

Щоб перевірити OTP, я спершу повинен був записати ключ з обліковим записом LastPass. Я не зміг цього зробити на iPad або iPhone. Що стосується браузерів, я не давав можливості використовувати альтернативні методи, і браузери не могли використовувати NFC для читання мого YubiKey 5 NFC. Додаток LastPass читав мій ключ NFC, але додаток не містить опцій для редагування ваших зареєстрованих апаратних ключів. Врешті-решт мені довелося знайти ноутбук з портами USB-C, щоб записати 5Ci. Як тільки я це зробив, увійти в систему LastPass через додаток або через програму LastPass або браузер Brave було нескладно. Я ввів своє ім'я користувача та пароль, як зазвичай, і мені було запропоновано вставити свій ключ, а потім натиснути металеві вузли на ключі. Через секунду мене зареєстрували.

Це лише деякі сервіси, з якими може працювати YubiKey, і Yubico веде досить вичерпний перелік сайтів і служб, які приймають або FIDO2 / WebAuthn, або YubiKey OTP. Представник компанії згадав 1Password, Bitwarden, Idaptive та Okta як конкретні програми для iOS, які вже підтримують використання YubiKeys.

У YubiKey 5Ci є всі інші хитрощі, але всі вони потребують комп’ютера в певний момент. Наприклад, ви можете налаштувати різні аспекти свого ключа, такі як, щоб він виплюнув заздалегідь встановлений пароль, коли ви довго натискаєте металеві вузли. Він також може бути налаштований на подвійну інтелектуальну карту і може виплюнути обмежені за часом паролі (TOTP) так само, як Google Authenticator за допомогою настільного додатка для автентифікації. Представник Yubico підтвердив мені, що крім зв'язку з NFC, YubiKey 5Ci може робити все, що може зробити YubiKey 5 NFC.

YubiKey 5Ci проти конкуренції

Там є безліч конкурентів з апаратних аутентифікаторів, не останнє місце - Google. За 50 доларів США компанія надішле вам ключ безпеки USB-A Titan Google, який використовує FIDO2 / WebAuthn та перезаряджаний ключ Bluetooth. Це гарний набір, але я завжди скептично використовував Bluetooth для пристроїв безпеки.

Якщо у вас є мобільний пристрій під керуванням Android 7.0 або новішої версії, ви можете використовувати його і як апаратний автентифікатор для облікових записів Google. Це має перевагу в тому, що ви абсолютно безкоштовні та користуєтесь наявним обладнанням, яким ви вже володієте, але в даний час це сфера застосування обмежена. Він також покладається на роботу акумуляторів і радіо, на відміну від усіх пристроїв YubiKey.

Якщо брендинг Google - це не ваша річ, ви можете перейти безпосередньо до Feitian, компанії, яку Google позначає клавішами Titan. Ці пристрої мають різні розміри, конфігурації та ціни. Єдиним недоліком є ​​малоймовірний потенціал для нападів на ланцюги поставок, оскільки Feitian розташований у Китаї. Yubico завжди швидко зазначає, що виготовляє свої ключі в США та Швеції.

Деякі можуть віддати перевагу альтернативі з відкритим кодом, наприклад, NitroKey FIDO U2F. Цей німецький пристрій працює 22, 00 євро та використовує апаратне та програмне забезпечення з відкритим кодом. Перевага апаратного забезпечення з відкритим кодом полягає в тому, що його безпеку може незалежно перевірити будь-яка третя сторона. Я виявив, що NitroKey здатний, але незграбний. Хоча інші клавіші безпеки тонкі, як, ну, клавіші, NitroKey є здоровим і використовує повнорозмірний роз'єм USB-A. Я запитав представника компанії Yubico про використання компонентів з відкритим кодом, і вони відповіли, що найкращі доступні захищені мікросхеми просто не мають відкритого доступу.

Варто пам’ятати, що 2FA не потребує апаратного ключа. Google Authenticator, Duo Mobile та інші послуги пропонують 2FA безкоштовно через додатки. Google та Apple захищають облікові записи своїх служб із можливістю аутентифікувати з іншого надійного пристрою. Перевага апаратних ключів полягає в тому, що вони працюють без живлення або обслуговування стільникового зв'язку, але якщо ви вважаєте, що використання фізичного ключа є занадто великим клопотом, я рекомендую просто використовувати будь-який метод 2FA, який має для вас найбільш сенс.

Надто багато, надто скоро

Єдині мої реальні скарги на саму YubiKey 5Ci - це її ціна та її липкий штекер USB-C (який з часом може покращитися). Справжня проблема полягає в підтримці пристроїв iOS, яка, вдосконалюючись, все ще обмежена. Це насправді не винна Yubico, але це неприємно, тому що USB-C YubiKey коштує на 20 доларів менше. Мені подобається, якби Apple та інші розробники почали серйозно працювати над розширенням підтримки всіх видів апаратних ключів. Як тільки це станеться, YubiKey 5Ci дійсно сяє. До цього часу наш вибір редактора залишається ключем безпеки компанії Yubico, який коштує всього 20 доларів, і він буде працювати майже в будь-якому місці, де ви вставите штекер USB-A.