Nitrokey fido u2f recensione e valutazione

Le numerose violazioni dei dati degli ultimi anni hanno reso estremamente chiara una cosa: le password non funzionano. Immettere la chiave di sicurezza USB $ 25 Nitrokey Fido U2F. Nitrokey rende molto più difficile per i malintenzionati entrare nel tuo account aggiungendo un secondo passaggio di autenticazione a servizi popolari come Google, Twitter, Facebook e altro. Ciò che rende unico Nitrokey è che è interamente open-source, dall'hardware al software. È un fumo più costoso di prodotti comparabili, ma per chiunque richieda hardware e software open source, Nitrokey è impareggiabile.

Come funziona l'autenticazione a due fattori

Sebbene l'autenticazione a due fattori (o 2FA) significhi generalmente aggiungere un secondo passaggio dopo aver inserito la password, questa non è la definizione effettiva del termine. Piuttosto, 2FA significa prendere due mezzi di autenticazione da un elenco di tre possibili:

• Qualcosa che sai
• Qualcosa che hai, e
• Qualcosa che sei.

Una password in testa (o, meglio ancora, in un gestore di password), è qualcosa che conosci . Una chiave hardware o un'app di autenticazione è qualcosa che possiedi e un'impronta digitale o altro biometrico è qualcosa che sei . Siamo bloccati con le password per ora, quindi è per questo che il significato di fatto di 2FA è l'aggiunta di una delle altre due a una password. Funziona perché sebbene la tua password possa essere phishing o esposta in una violazione dei dati, gli altri due sono molto difficili da ottenere o falsificare.

Mentre ci sono molti modi per aggiungere 2FA, le chiavi di sicurezza hardware come Nitrokey Fido U2F presentano vantaggi evidenti. A differenza dei codici una tantum inviati via SMS, non possono essere intercettati. A differenza dei codici generati da un'app, non possono essere phishing. Google lo ha dimostrato quando l'azienda ha distribuito le chiavi di sicurezza a tutti gli 85.000 dei suoi dipendenti e ha visto che gli attacchi di phishing riusciti sono scesi a zero. Detto questo, se l'utilizzo di una chiave di sicurezza sembra troppo complicato, dovresti abilitare 2FA in qualsiasi modo abbia senso per te.

Hands On Con Nitrokey Fido U2F

Nitrokey è una società tedesca che vende numerosi dispositivi di sicurezza con chiavetta USB. La maggior parte di questi dispositivi è incentrata su archiviazione sicura e crittografia. Possono archiviare e-mail e chiavi di crittografia del disco e alcuni addirittura sono dotati di archiviazione sicura integrata. Il Nitrokey Fido U2F è il più conveniente del gruppo a 22 euro (circa $ 25, a seconda del tasso di cambio), ed è l'unico dedicato esclusivamente al 2FA.

Il modello Fido U2F funziona come secondo autenticatore per molti siti Web popolari, tra cui Google, Facebook, Twitter e così via. È un sottile dispositivo USB nero con una finitura in plastica ruvida, che assomiglia un po 'a una vecchia memoria flash. È piccolo, a 48 per 19 per 7 mm, e abbastanza leggero, pesa solo 5 g. Un'estremità è tagliata per ospitare un portachiavi e il connettore USB 1.1 di tipo A sull'altra estremità è protetto da un guscio rimovibile che perderai sicuramente entro una settimana. Oltre al cappuccio, non ha parti mobili, il che lo rende resistente (ma non impermeabile) all'acqua e allo schiacciamento.

Il connettore USB più grande è un po 'anomalo; la linea YubiKey e le chiavi di Google Titan sono completamente piatte. Nitrokey afferma che il loro uso del connettore USB più grande garantisce la compatibilità con più dispositivi ed è più durevole, ma penso che preferisco lo stile più piatto se non altro per consentire un dispositivo più piccolo. Il Nitrokey è piuttosto voluminoso rispetto ad altre chiavi di sicurezza, che sono sottili e leggere. Detto questo, il Nitrokey ha meno probabilità di attirare molta attenzione con il suo aspetto completamente insipido.

Associare Nitrokey Fido U2F a un sito Web è un affare semplice. Basta accedere alle opzioni di accesso per un sito supportato, inserire il tasto nitro quando richiesto e toccare l'icona a forma di dito sulla custodia quando si accende un LED bianco interno. Questo inizialmente mi ha gettato, poiché sono più abituato alla superficie del rubinetto del disco dorato usata da Yubico e Google nelle loro chiavi di sicurezza, anche se il Nitrokey ha funzionato altrettanto bene.

Una volta che il dispositivo è stato associato, ti verrà chiesto di inserire e toccare Nitrokey Fido U2F quando accedi con il sito. Per evitare di essere bloccato fuori da un sito registrato, consiglio vivamente di attivare un'altra opzione 2FA, come codici di backup che possono essere stampati e archiviati in un luogo sicuro o di registrare una seconda chiave di sicurezza.

Poiché Nitrokey Fido U2F non supporta alcuna comunicazione wireless, non sarà possibile utilizzarlo per autenticare un dispositivo mobile. Forse potresti farlo con un adattatore USB funky, ma non ho testato questo strano scenario. Invece, dovresti usare un altro metodo 2FA, come un'app di autenticazione, per queste situazioni. La chiave di sicurezza Yubico NFC costa solo due dollari in più, supporta anche Fido U2F, ma include NFC, quindi puoi autenticarla sul tuo telefono per autenticarti.

Sicurezza senza oscurità

Quando qualcosa è open-source, è completamente disponibile per l'ispezione e persino l'alterazione. Spesso significa anche che è un progetto volontario e potrebbe essere disponibile gratuitamente. Ciò è in contrasto con la cosiddetta "sicurezza attraverso l'oscurità" in cui gli aspetti critici di un prodotto sono nascosti in nome della protezione dei segreti. L'idea è che essere trasparenti aiuta a rendere i prodotti migliori e più resistenti.

Nitrokey è interamente costruito attorno all'idea open source. La società riassume il suo approccio e ciò che ritiene siano i vantaggi in questo modo:

"Sia hardware che firmware, strumenti e librerie sono software open source e gratuito, che consentono controlli di sicurezza indipendenti. Adattabile in modo flessibile, nessun blocco del fornitore, nessuna sicurezza attraverso l'oscurità, nessun difetto di sicurezza nascosto."

L'uso di strumenti open source è anche una dichiarazione etica sia per le aziende che per i consumatori. Se sei il tipo di persona che crede davvero nelle informazioni aperte, probabilmente apprezzerai la posizione di Nitrokey. Anche l'hardware open source è una cosa relativamente rara da vedere e aiuta ad alleviare i timori per le agenzie di intelligence che infilano backdoor nei chip della fabbrica.

Questo non vuol dire che essere open-source sia un proiettile magico contro difetti o attacchi alla sicurezza. Heartbleed è stato causato da un bug aggiunto inconsapevolmente al software crittografico OpenSSL open source. Detto questo, è probabile che se OpenSSL non fosse open-source, il bug non sarebbe mai stato trovato.

Nitrokey contro amici e nemici

Il Nitrokey Fido U2F è uno dei circa una mezza dozzina di dispositivi Nitrokey attualmente in vendita. Come la linea Yubikey 5 di Yubico, ci sono una varietà di configurazioni tra cui scegliere. A differenza di Yubico, la linea Nitrokey fa molto di più della semplice autenticazione. Nitrokey Storage 2, la più robusta e costosa delle offerte, supporta la crittografia e-mail e disco S / MIME, la crittografia OpenPGP / GnuPG, One Time Passwords (OTP) e l'archiviazione crittografata a bordo. Memorizza anche fino a 16 password in un gestore password personalizzato. Costa 109EU o circa $ 124.

È un sacco di zuppa di alfabeto, e se non l'hai preso tutto, probabilmente non è il prodotto che fa per te. Il supporto OTP è notevole in quanto questa è l'unica opzione hardware 2FA supportata da LastPass.

Nitrokey Pro 2 perde la memoria di bordo e costa solo 49 euro o circa $ 56. Unico, esso (o suo cugino rinominato Purism Librem Key) può essere utilizzato per verificare la validità del firmware e dell'hardware dei laptop Purism. Ciò significa che possono rilevare se qualcuno ha tentato di manomettere il tuo laptop Purism. È una caratteristica affascinante, ma interessante solo per il tipo di persona che in primo luogo acquisterebbe un laptop Purism open-source.

Stranamente, Nitrokey Fido U2F recensito qui è l'unico autenticatore conforme a Fido U2F di Nitrokey. Se acquisti un Nitrokey più costoso e più capace, non sarai in grado di utilizzare questo standard ampiamente adottato.

Yubico, d'altra parte, include sia Fido U2F sia il più recente, Fido2 più a prova di futuro in tutti i suoi dispositivi YubiKey 5, insieme a OTP, OATH (HOTP e TOTP), OpenPGP e supporto per smart card. Anche due dispositivi YubiKey 5 supportano USB-C. Le sue due offerte più economiche, la chiave di sicurezza e la chiave di sicurezza NFC, supportano solo Fido2 e Fido U2F. Quest'ultimo costa un po 'di più del Nitrokey Fido U2F a $ 27, ma include le comunicazioni wireless NFC, cosa che il Nitrokey non ha. Da parte sua, la chiave di sicurezza è di soli $ 20, collocandola bene all'interno del territorio di acquisto d'impulso.

Il pacchetto Titan di Google costa $ 50 e arriva da qualche parte nel mezzo. Ciò include due dispositivi, una chiave USB-A e un dongle bluetooth alimentato a batteria, che supportano entrambi Fido U2F. Includere un secondo dispositivo lo rende sicuramente un pacchetto allettante, ma sono ancora scettico sull'utilità del dongle alimentato a batteria.

Sicurezza senza compromessi

Nitrokey Fido U2F non è più elegante, più sottile o più economico della concorrenza, ma il suo impegno per l'hardware e il software open source è un fattore di differenziazione importante per alcuni. Come un sacco di hardware open source, è più complicato ma potenzialmente migliore. Preferiamo ancora la nostra scelta dei redattori, la chiave di sicurezza di Yubico, che è leggermente meno costosa e molto più sottile della Nitrokey. Ma se stai semplicemente immergendo il dito nell'hardware 2FA, e specialmente se sei un evangelista open source, allora Nitrokey Fido U2F è una buona scelta.