Yubico yubikey 5ci anmeldelse og vurdering

Yubicos YubiKey-linje har vært et valg for enkel, to-faktorsautentisering for maskinvare i mange år. Den endelige grensen for Yubico har vært iPhone, som den endelig adresserer med YubiKey 5Ci. Denne bittesmå doble enheten har en USB-C-kontakt i den ene enden og en Apple-kompatibel Lightning-kontakt på den andre. Denne hydraen til en maskinvarenøkkel fungerer nøyaktig som den skal og kommer fullpakket med funksjoner som konkurransen ikke kan matche, men er hemmet av begrenset støtte på iOS og en relativt høy pris.

Hva er tofaktorautentisering

I praksis bruker tofaktorautentisering (2FA) to ting for å logge på et nettsted eller en tjeneste, men det er ikke der navnet kommer fra. I stedet refererer det til en teori om autentisering der du beviser at du burde ha tilgang til:

Noe du vet.

Noe du er.

Eller noe du har.

Noe du vet er som et passord, som mennesker er forferdelig med, og vi burde virkelig la passordledere ta vare på. Noe du er er som biometriske data, for eksempel å bruke fingeravtrykket ditt til å låse opp en telefon. Noe du har kan være en maskinvareautentisator, for eksempel en YubiKey. 2FA er der du bruker to autentisatorer fra listen i stedet for bare en, siden det ikke er sannsynlig at en angriper har to av de tre. Det er en enorm effektiv måte å sikre pålogginger på. Så mye at etter at Google krevde bruk av 2FA maskinvarenøkler internt, falt vellykkede phishing-angrep til null.

Det er mange måter å gjøre 2FA på. Å motta engangspassord via SMS er sannsynligvis det folk er mest kjent med, selv om dette er på vei ut på grunn av sikkerhetsmessige bekymringer. Yubico har spiss i spissen for opprettelsen av FIDO2-protokollen og WebAuthn-standarden, som bruker kryptografi av offentlig nøkkel for sikker autentisering. Den W3C-sertifiserte WebAuthn-standarden har brakt denne autentiseringsstilen til flere og flere nettlesere og tjenester de siste årene, og kan være fremtiden for hvordan vi autentiserer. Microsoft har for eksempel eksperimentert med å bruke WebAuthn-enheter som YubiKeys for fullstendig passordløs autentisering.

Laget for mobil

YubiKey-familien har vokst betydelig, med syv forskjellige nøkler i forskjellige størrelser og en overvekt av plugger og protokoller. USB-A Yubico Security Key støtter bare FIDO2 / WebAuthn og koster $ 20, mens USB-A Security Key NFC legger til trådløs støtte for $ 27.

Bilde via Yubico.

YubiKey 5-serien, avbildet over, dekker flere enheter. Fra venstre koster USB-A YubiKey 5 NFC 45 dollar, og er kanskje den mest kapable av alle enhetene. USB-C YubiKey 5C koster $ 50, og ligner mest på 5Ci i sin tynne, stubby design. 5 Nano og 5C Nano koster henholdsvis $ 50 og $ 60, og er designet for å leve inne i portene dine semi-permanent. Til 70 dollar er YubiKey 5Ci den dyreste nøkkelen i familien.

Sammenlignet med USB-A YubiKey-designet er 5Ci liten. Den er 12 mm x 40, 3 mm og bare 5 mm tykk. Det er litt over halvparten av bredden på en USB-A-tast, og litt kortere. Den er støpt i holdbar, svart plast med et metallforsterket senterhull for å feste det til nøkkelringen. 5Ci er imidlertid tykkere enn YubiKey 5 NFC. Den ekstra omkretsen kombinert med det sentrale hullet gjør at det er litt merkelig passform for en nøkkelring, men det fungerer. Det er fjærlys på bare 3 gram, men føles fortsatt godt bygget.

Nær midten av enheten er to hevede metallknuter. Når du kobler 5Ci til, trykker du på disse nodene når du blir bedt om å fullføre bekreftelsen. Som alle YubiKey-enheter har 5Ci ikke noe internt batteri, og henter all sin kraft fra enheten den er koblet til. Spesielt støtter ikke YubiKey 5Ci NFC, mens Yubico Security Key NFC og YubiKey 5 NFC gjør det.

YubiKey 5Ci har et unikt design med dobbel avslutning. Den ene siden har en USB-C-kontakt, og den andre har en Apple Lightning-kontakt du har sett på iPhone og iPad-ladere i mange år. Ironisk nok er min største klage på 5Ci kontaktene. For det første hadde jeg vanskelig for å finne en datamaskin med en USB-C-port for å teste de forskjellige egenskapene til 5Ci. Det er også mye lettere å registrere nøkkelen fra en datamaskin enn fra en mobil enhet. Hvis du bruker nylig maskinvare, vil det sannsynligvis ikke være noe problem å finne en USB-C-port, men hvis du er som meg og bruker datamaskiner til de bokstavelig talt faller fra hverandre, kan det hende du trenger en adapter.

For det andre var USB-C-enden av enheten ikke god plass i verken Nokia 6.1 eller Asus UX360c ZenBook Flip jeg brukte i testingen. Jeg måtte virkelig presse for å få inn 5Ci, og hver gang tenkte jeg at jeg kom til å bryte noe. Det var også noen få tilfeller der det så ut til at enheten ikke satt ordentlig, da den ikke koblet til. Dette var ikke noen avtale, og etter noen trykk og trekk begynte kontakten å føles som en bedre passform. Kanskje det bare trenger å bryte inn.

Lynkontakten fungerte derimot bemerkelsesverdig bra. Den kom jevnt inn og klippet seg inn. Det var grundig Apple-aktig, og jeg har ingen klager. Yubico påpekte at USB-C-kontakten på 5Ci ikke vil fungere i iPad-modeller som har USB-C-porter.

Bilde via Yubico.

Hands On With YubiKey 5Ci

Før du kan bruke 5Ci, eller annen maskinvareautentisator, må du registrere den hos hver tjeneste. Problemet er at ikke alle nettlesere eller applikasjoner støtter maskinvareautentisatortaster. Jeg kjørte på dette problemet første gang da jeg testet Yubicos Security Key NFC. Da (som nå) utvidet Apples støtte til NFC seg ikke til sikkerhetsnøkler i de fleste sammenhenger. Jeg fant ut at det var flere kontekster der 5Ci fungerte på iOS enn da jeg testet NFC-nøkler på iPhones, men den relativt lille støtten er litt frustrerende.

For å teste FIDO2 / WebAuthn-støtten, åpnet jeg Twitter i den modige nettleseren, som Yubico foreslo at jeg ville bruke fordi den støtter nettleserbasert autentisering. Jeg logget inn som vanlig, navigerte til Innstillinger-ruten og registrerte YubiKey 5Ci. Neste gang jeg logget inn, ba Twitter meg om å angi nøkkelen min og trykke på den. Jeg overholdt, og hentet raskt app-appen.

Dessverre klarte jeg ikke å logge på Twitter med verken Safari eller Twitter iOS-appen. Jeg kunne heller ikke registrere Yubikey 5Ci med Google-kontoen min i Brave, Safari eller Chrome.

YubiKey 5Ci støtter også engangs passord (OTP). I denne konfigurasjonen kobler du inn nøkkelen og banker på metallnodene, og en lang, unik kode blir spyttet ut. Her er en: ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb. Noen få tjenester, som LastPass, bruker denne funksjonen i stedet for FIDO2 / WebAuthn. Fordelen er at nøkkelen leses som et tastatur, så den er veldig enkel og krever ingen ekstra støtte fra nettleseren.

For å teste OTP-er, måtte jeg først registrere nøkkelen med en LastPass-konto. Jeg klarte ikke å gjøre dette på en iPad eller iPhone. Når det gjelder nettlesere, fikk jeg ikke muligheten til å bruke alternative metoder, og nettleserne kunne ikke bruke NFC til å lese min YubiKey 5 NFC. LastPass-appen leste NFC-nøkkelen min, men appen inkluderer ikke alternativer for å redigere de registrerte maskinvarenøklene dine. Til slutt måtte jeg finne en bærbar datamaskin med USB-C-porter for å registrere 5Ci. En gang jeg gjorde det, var det raskt å logge på LastPass via appen eller gjennom LastPass-appen eller den Brave nettleseren. Jeg la inn brukernavnet og passordet mitt som vanlig, og ble deretter bedt om å sette inn nøkkelen min, og trykk deretter på metallnodene på tasten. Et sekund senere ble jeg logget inn.

Dette var bare noen få av tjenestene som YubiKey kan jobbe med, og Yubico opprettholder en ganske omfattende liste over nettsteder og tjenester som godtar enten FIDO2 / WebAuthn eller YubiKey OTP-er. En representant fra selskapet nevnte 1Password, Bitwarden, Idaptive og Okta som spesifikke iOS-apper som allerede støtter bruken av YubiKeys.

YubiKey 5Ci har alle andre slags triks, men de krever alle en datamaskin på et tidspunkt. For eksempel kan du tilpasse forskjellige aspekter av nøkkelen din, for eksempel å la den spytte ut et forhåndsinnstilt passord når du trykker lenge på metallknutene. Det kan også konfigureres til å fungere som et smartkort, og kan spytte ut tidsbegrensede passkoder (TOTP-er) akkurat som Google Authenticator ved hjelp av et skrivebordsgodkjenningsprogram. En representant fra Yubico bekreftet for meg at YubiKey 5Ci kan gjøre hva YubiKey 5 NFC kan gjøre, bortsett fra NFC-kommunikasjon.

YubiKey 5Ci vs. konkurransen

Det er en rekke maskinvareautentisator-konkurrenter der ute, ikke minst Google. For $ 50 vil selskapet sende deg en USB-A Google Titan Security Key som bruker FIDO2 / WebAuthn og en ladbar Bluetooth-dongle. Det er et bra sett, men jeg har alltid vært skeptisk til å bruke Bluetooth til sikkerhetsenheter.

Hvis du eier en mobil enhet som kjører Android 7.0 eller nyere, kan du også bruke den som en maskinvareautentisator for Google-kontoer. Dette har fordelen av å være helt gratis og bruke eksisterende maskinvare du allerede eier, men den er foreløpig begrenset i omfang. Den er avhengig av at batterier og radioer fungerer, i motsetning til alle YubiKey-enhetene.

Hvis Google-merkevarebyggingen ikke er din greie, kan du gå direkte til Feitian, selskapet som Google har merket for Titan-tastene. Disse enhetene kommer i mange størrelser, konfigurasjoner og priser. Den eneste ulempen er det usannsynlige potensialet for angrep i forsyningskjeden, ettersom Feitian er lokalisert i Kina. Yubico er alltid rask med å påpeke at den produserer nøklene sine i USA og Sverige.

Noen vil kanskje foretrekke et alternativ med åpen kildekode, for eksempel NitroKey FIDO U2F. Denne tyske enheten har € 22, 00 og bruker åpen kildekode maskinvare og programvare. Fordelen med åpen kildekode-maskinvare er at sikkerheten kan uavhengig verifiseres av enhver tredjepart. Jeg fant NitroKey den kunne, men klumpete. Mens andre sikkerhetsnøkler er tynne som vel, nøkler, er NitroKey tykk og bruker en USB-A-kontakt i full størrelse. Jeg spurte en representant for Yubico om bruk av open source-komponenter, og de svarte at de beste sikre elementbrikkene som er tilgjengelige, rett og slett ikke er åpen.

En ting å huske på er at 2FA ikke krever en maskinvarenøkkel. Google Authenticator, Duo Mobile og andre tjenester tilbyr 2FA gratis via apper. Google og Apple sikrer kontoer på sine tjenester med muligheten til å autentisere fra en annen pålitelig enhet. Fordelen med maskinvarenøkler er at de fungerer uten strøm eller celletjeneste, men hvis du synes å bruke en fysisk nøkkel er for mye bry, anbefaler jeg bare å bruke den 2FA-metoden som gir mest mening for deg.

For mye, for snart

Mine eneste virkelige klager med selve YubiKey 5Ci er prisen og den klissete USB-C-pluggen (som kan forbedre seg over tid). Den virkelige problemer er støtte på iOS-enheter som, selv om de forbedres, fremdeles er begrenset. Det er egentlig ikke Yubicos skyld, men det er frustrerende fordi USB-C YubiKey koster 20 dollar mindre. Jeg vil elske det hvis Apple og andre utviklere begynte å jobbe seriøst med å utvide støtten for alle slags maskinvarenøkler. Når det skjer, vil YubiKey 5Ci virkelig skinne. Inntil da forblir Editors 'Choice-merket Sikkerhetsnøkkelen fra Yubico, som koster bare $ 20 og vil fungere omtrent hvor som helst du stikker en USB-A-plugg.