Innholdsfortegnelse:
- Slik fungerer tofaktorautentisering
- De mange smakene til YubiKey
- Hands On With YubiKey 5 NFC
- YubiKeys vs. Google Titan Security Key
- YubiKey til suksess?
Video: Yubico YubiKey 5 NFC Security Key (Oktober 2024)
Passord har vært det svake punktet i sikkerhet siden de ble introdusert. Heldigvis er Yubico YubiKey 5 NFC her for å beskytte våre viktigste kontoer og mye mer. Den femte generasjonen av YubiKey støtter FIDO U2F for en sikker andrefaktorautentisering og bruker NFC til å jobbe med telefonen din. Men det er bare starten på hva denne bemerkelsesverdig kraftige, og bemerkelsesverdig bittesmå enheten kan gjøre. Hvis du bare ser etter et enkelt U2F-alternativ for maskinvare, er sannsynligvis YubiKey 5 NFC overkill - vurder den rimeligere sikkerhetsnøkkelen fra Yubico eller Google Titan Security Keys i stedet. Men hvis du allerede er full av sikkerhetsvinner, vil du elske hva 5 NFC har å tilby.
Slik fungerer tofaktorautentisering
Selv om det er mye du kan gjøre med en maskinvaresikkerhetsnøkkel som YubiKey, er den primære rollen som en andre faktor for godkjenning. I praksis betyr tofaktorautentisering (2FA) å måtte gjøre en annen ting etter å ha lagt inn passordet ditt for å bevise at det er deg. Men teorien bak 2FA kombinerer to forskjellige autentiseringssystemer fra en liste over tre:
- Noe du vet,
- Noe du har, eller
- Noe du er.
For eksempel: et passord, er noe du vet , og det skal bare eksistere i hodet ditt (eller inne i et passordbehandling). Biometri - tingk fingeravtrykksskanninger, netthinneskanninger, hjertesignaturer og så videre - teller som noe du er . Yubico YubiKeys og lignende, er noe du har .
Denne gjennomgangen ser først og fremst på maskinvare 2FA, men det er mange måter å legge til en ny faktor. Mange nettsteder vil sende deg koder via SMS for å bekrefte identiteten din. Apper som Duo og Authy er avhengige av pushvarsler som (i teorien) er vanskeligere å avskjære enn SMS-meldinger.
Enten du går med en maskinvare- eller programvareløsning eller en blanding av begge deler, legg til 2FA der du kan. Da Google distribuerte 2FA-nøkler internt, så det at suksessfulle kontooverføringer falt til null. Det er så bra.
De mange smakene til YubiKey
Yubico har alltid tilbudt flere størrelser og varianter av sikkerhetsnøklene for å passe til omtrent alle behov. Dette er flott, fordi forbrukere og IT-fagpersoner kan få akkurat det de trenger til en rekke priser. Ulempen er at å bla gjennom Yubico-butikken er en ofte overveldende opplevelse. Jeg skal gjøre mitt beste for å koke det grunnleggende.
Det er fire smaker av YubiKey 5-serienheter, inkludert $ 45 YubiKey 5 NFC her, samt tre andre formfaktorer: $ 50 YubiKey 5 Nano, $ 50 YubiKey 5C og $ 60 YubiKey 5C Nano. 5 NFC er den eneste YubiKey som tilbyr trådløs kommunikasjon, men dessuten er den eneste forskjellen mellom disse enhetene størrelse, pris og USB-kontakt.
De to Nano-enhetene er de mest reduserende enhetene i gruppen og ligger innenfor USB-A- eller USB-C-sporene, lett innen rekkevidde hvis du ofte trenger dem. YubiKey 5C bruker en USB-C-kontakt, er litt mindre enn 5 NFC, og kan henge på nøkkelringen sammen med 5 NFC; den mangler trådløs kommunikasjon. Du kan imidlertid koble enten YubiKey 5C eller 5C Nano direkte til Android-enheten din.
Det som skiller YubiKey 5-serien fra konkurransen, er ikke bare forskjellige formfaktorer. Disse enhetene er ekte sveitsiske hærs kniver for digital sikkerhet. Hver og en kan fungere som et smartkort (PIV), kan generere engangspassord, støtte både OATH-TOTP og OATH-HOTP, og kan brukes til autentisering av utfordringssvar. Alle fire enhetene støtter tre kryptografiske algoritmer: RSA 4096, ECC p256 og ECC p384. Disse enhetene kan passe til så mange forskjellige roller, ofte samtidig - forutsatt at du vet hva du gjør.
Mens YubiKey 5 NFC er i fokus for denne gjennomgangen, har jeg testet YubiKey 4-serienhetene tidligere, og disse er fysisk identiske med USB-C- og Nano-variasjonene til YubiKey 5-serien. Alle av dem er godt laget, kledd i svart plast som skjuler slitasje og utstyrt med skjulte grønne lysdioder for å fortelle deg at de er tilkoblet og fungerer. USB-A-enhetene har enten en gullstripe eller disk du trykker på, avhengig av størrelsen på enheten. USB-C-enhetene har i mellomtiden to bittesmå metallflikter du trykker på for å autentisere. USB-A Nano-enheten er vanskeligere å fjerne fra et spor enn USB-C Nano-enheten, men USB-A Nano YubiKey har et lite hull, så den kan henges fra en streng eller ledning, mens USB-C Nano gjør ikke.
Hvilken YubiKey-enhet du kjøper vil i stor grad avhenge av hvilken kontekst du planlegger å bruke den. Nano-enhetene er nyttige hvis du planlegger å bruke dem med en pålitelig datamaskin, og du vet at du trenger tilgang til YubiKey ofte. Tastene i full størrelse er bedre for å henge på en nøkkelring og holde tett på hånden.
Hands On With YubiKey 5 NFC
For å hjelpe deg i gang har Yubico laget en praktisk guide for nye brukere. Bare velg YubiKey-enheten du har, og nettstedet viser en liste over alle steder og kontekster du kan bruke YubiKey. Noen av disse lenker direkte til ombordside for et nettsted eller en tjeneste, mens andre gir instruksjoner du må følge selv.
Å sette opp YubiKey som en U2F andre faktor er veldig enkelt. Følg instruksjonene for nettstedet eller tjenesten, og sett deretter YubiKey i riktig spor når du blir bedt om det. Bare trykk på gullskiven (eller metallflikene, avhengig av modell), og tjenesten registrerer nøkkelen din. Neste gang du går for å logge inn, skriver du inn passordet ditt og du får en melding om å sette inn nøkkelen og trykke på. Det er det!
Dashlane, Google og Twitter er noen av de mange nettstedene som støtter U2F og godtar YubiKey 5 Series-enheter. I testingen min registrerte jeg den som en annen faktor for en Google-konto. Da jeg logget på en stasjonær datamaskin, skrev jeg inn påloggingsinformasjon, og deretter ba Google meg om å sette inn og trykke på sikkerhetsnøkkelen. Det er ikke noe problem, selv om jeg måtte bruke Chrome-nettleseren for å logge inn.
På min Android-enhet er prosessen like enkel. Når jeg logget på tester, skrev jeg inn legitimasjon og deretter ba telefonen meg bruke sikkerhetsnøkkelen. Jeg valgte NFC fra en meny nederst, og slo deretter 5 NFC mot baksiden av telefonen. Det tok ganske mange forsøk, men etter hvert surret telefonen bekreftende, og jeg ble logget inn.
YubiKey 5-serien kan autentisere deg på flere måter, ikke bare via U2F. Med LastPass registrerer du for eksempel YubiKey for å generere engangspassord (spesielt HMAC-baserte engangspassord, men jeg bruker OTP for kortfattet) med et trykk. Dette er forskjellig fra U2F, men i praksis føles det veldig likt. Logg på LastPass, naviger til den aktuelle delen av Innstillinger-menyen, klikk på tekstfeltet og trykk på YubiKey. En streng med brev spruter ut, og det er det! Når du nå vil logge på LastPass, blir du bedt om å koble til YubiKey for å få den til å spytte ut flere OTP-er.
De fleste av dere er sannsynligvis kjent med Google Authenticator, en app som genererer sekssifrede passordskoder hvert 30. sekund. Denne teknologien, mer generelt, kalles tidsbaserte engangspassord (TOTP) og er en av de vanligste formene for 2FA som brukes i dag. Sammen med en ledsager desktop eller mobilapp setter Yubico en interessant spinn på TOTP-systemet.
Koble til YubiKey, fyr opp Yubico Authenticator-appen, og naviger deretter til et nettsted som støtter Google Authenticator eller en lignende tjeneste. For å sikre en Google-konto klikket jeg for eksempel på alternativet for å registrere en ny telefon med autentiseringsappen. En QR-kode vises vanligvis på dette tidspunktet, og nettstedet ber deg om å skanne den med den aktuelle autentiseringsappen. I stedet valgte jeg et menyalternativ i skrivebordsappen Yubico Authenticator, og den fanget QR-koden fra skjermen min. Etter noen flere klikk begynte appen å gi unike sekssifrede koder hvert 30. sekund.
Trikset er at Yubico-appen ikke kan generere TOTP-er uten YubiKey. I stedet for å lagre legitimasjon som er nødvendig for å opprette disse kodene på datamaskinen din, lagrer Yubico Authenticator disse dataene direkte på YubiKey. Trekk den ut, og Autentisering-appen kan ikke lage nye TOTP-er. Det er nyttig hvis du er bekymret for at noen stjeler enheten du bruker for å generere TOTP-ene. Du kan også låse YubiKey med et passord, så selv om det ble stjålet fra deg, kan det ikke brukes til å generere TOTP-er.
Yubico tilbyr også en TOTP-genererende Android-app som fungerer med YubiKey 5 NFC, for å ta TOTPene dine på veien. Når du åpner appen, er den tom, men smeller din 5 NFC mot baksiden, og den begynner å generere koder. Avslutt appen, og kodene forsvinner; må du trykke på 5 NFC igjen. Det er mindre praktisk enn å lagre informasjonen i selve appen, men langt sikrere.
Dette var scenariene jeg så på, men YubiKey 5-serien kan gjøre mye mer. Du kan bruke det som et smartkort for å logge på stasjonære datamaskiner. Du kan bruke den til å logge på SSH-servere. Du kan til og med generere en PGP-nøkkel og deretter bruke YubiKey til å signere eller autentisere. Helt ærlig var det bare å få hodet pakket rundt TOTP-tastene vanskelig nok.
Selv om Yubico har masse dokumentasjon og tre separate desktop-apper (og tre flere mobilapper), er det veldig vanskelig å bruke alle fasetter av YubiKey uten en god dukkert av eksisterende kunnskap. Yubico har distribuert et nettsted for å informere kunder om hva de kan bruke nøkkelen til, og for å veilede dem mot nødvendig informasjon. Den veiledningen er flott, men det er bare veiledning, ikke håndholdet som vanligvis tilbys av teknologiske produkter. Å bruke YubiKey til U2F er også veldig enkelt, men å få mest mulig ut av YubiKey er ikke lett for en nybegynner - eller til og med en sikkerhetsjournalist.
YubiKeys vs. Google Titan Security Key
Yubico har en løsning for omtrent alle situasjoner med YubiKey 5-serien, men kostnadene er et problem. Hver enkelt enhet er priset mellom $ 40 og $ 60 for bare én YubiKey.
Googles Titan Security Key Bundle gir derimot to enheter for $ 50: En USB-A-nøkkel og en Bluetooth / Micro USB-nøkkel fob. Det gir deg en ekstra rett utenfor flaggermusen. På den annen side har YubiKey bare mer sikkerhetsang for pengene (forutsatt at du pusler ut hvordan du bruker alt). Begge Titan-enhetene kan bruke NFC, men fra og med dette har støtte ikke blitt aktivert på Android-enheter. Google leverer også en USB-C-adapter, slik at du kan bruke Titan-tasten din med omtrent hvilken som helst enhet. Titan-tastene støtter imidlertid bare FIDO U2F. Det vil fungere for omtrent alle nettsteder og tjenester, men de kan ikke brukes til TOTP-er, OTP-er, smartkort-tilgang og de andre protokollene som støttes av YubiKey 5 Series.
Prisbevisste lesere som først og fremst ser etter bare en U2F-enhet, vil sannsynligvis foretrekke sikkerhetsnøkkelen på 20 dollar av Yubico. Denne USB-A-nøkkelen har den samme silhuetten som YubiKey 5 NFC, men kan identifiseres ved sin kjekke blå plastkapsling, en nøkkelglyf på midtknappen og nummer to etset på toppen. Som navnet antyder, støtter denne enheten FIDO U2F og FIDO2, men det er det. Sikkerhetsnøkkelen støtter ikke alle protokollene fra YubiKey 5-serien, så du kan ikke bruke den med LastPass eller som et smartkort, og kan heller ikke kommunisere trådløst. Det koster også mindre enn halvparten av Titan-nøkkelpakken eller 5 NFC.
YubiKey til suksess?
YubiKey 5-serien er en bemerkelsesverdig familie av enheter som fyller et blendende antall nisjer. Den mest grunnleggende bruken er som en FIDO U2F-autentisator eller en OTP-generator, men den kan gjøre så mye mer. Problemer vi alltid har hatt med YubiKeys, og Yubico totalt sett, er ganske enkelt utfordringen med å finne ut hvilken YubiKey som skal velges, blant det halvt dusinet selskapet i dag tilbyr. Det er dobbelt utfordrende å finne ut hva du kan gjøre med det utover U2F. Yubico-enhetene er utmerkede, og dokumentasjonen forbedres, men de er definitivt designet med sikkerhetsvinner og IT-fagfolk i tankene.
Hvis du ser på vaskeristen over funksjoner som YubiKey kan skryte av og forstår dem, eller i det minste er nysgjerrig på dem, så er dette enheten for deg. Du vil ikke bli skuffet over denne robuste lille enheten. Hvis du vet at du vil sikre dine online kontoer bedre, men ikke er sikker på hvordan du skal gjøre det, er du sannsynligvis bedre med Google Titan Security Keys eller den langt rimeligere Security Key av Yubico.
YubiKeys er en etablert og moden teknologi, men vi utforsker fortsatt dette rommet. Som sådan gir vi YubiKey 5 NFC fire stjerner, men holder tilbake en Editors 'Choice-pris til vi har undersøkt flere alternativer.
