Sommario:
- Come funziona l'autenticazione a due fattori
- I molti sapori di YubiKey
- Hands On con YubiKey 5 NFC
- YubiKeys contro la chiave di sicurezza di Google Titan
- La YubiKey per il successo?
Video: Yubico YubiKey 5 NFC Security Key (Ottobre 2024)
Le password sono state il punto debole della sicurezza da quando sono state introdotte per la prima volta. Per fortuna, Yubico YubiKey 5 NFC è qui per proteggere i nostri account più importanti e molto altro ancora. La quinta generazione di YubiKey supporta FIDO U2F per un'autenticazione sicura di secondo fattore e utilizza NFC per funzionare con il telefono. Ma questo è solo l'inizio di ciò che questo dispositivo straordinariamente potente e straordinariamente piccolo può fare. Se stai solo cercando una semplice opzione U2F hardware, YubiKey 5 NFC è probabilmente eccessivo: considera invece la chiave di sicurezza più economica di Yubico o le chiavi di sicurezza di Google Titan. Ma se sei già impregnato di sicurezza, amerai ciò che il 5 NFC ha da offrire.
Come funziona l'autenticazione a due fattori
Mentre c'è molto che puoi fare con una chiave di sicurezza hardware come YubiKey, il suo ruolo principale è come secondo fattore di autenticazione. In pratica, l'autenticazione a due fattori (2FA) significa dover fare una seconda cosa dopo aver inserito la password per dimostrare che sei tu. Ma la teoria alla base di 2FA sta combinando due diversi sistemi di autenticazione da un elenco di tre:
- Qualcosa che sai
- Qualcosa che hai, o
- Qualcosa che sei.
Ad esempio: una password, è qualcosa che conosci e dovrebbe esistere solo nella tua testa (o all'interno di un gestore di password). La biometria (scansioni delle impronte digitali di thingk, scansioni della retina, firme cardiache e così via) conta come qualcosa che sei . Yubico YubiKeys e il loro genere sono qualcosa che hai .
Questa recensione esamina principalmente l'hardware 2FA, ma ci sono molti modi per aggiungere un secondo fattore. Molti siti ti invieranno codici via SMS per verificare la tua identità. App come Duo e Authy si basano su notifiche push che sono (in teoria) più difficili da intercettare rispetto ai messaggi SMS.
Sia che tu scelga una soluzione hardware o software o una combinazione di entrambi, aggiungi 2FA ovunque possibile. Quando Google ha distribuito le chiavi 2FA internamente, ha rilevato che le acquisizioni di account riuscite scendono a zero. È così buono.
I molti sapori di YubiKey
Yubico ha sempre offerto diverse dimensioni e varianti delle sue chiavi di sicurezza per adattarsi a quasi ogni esigenza. È fantastico, perché i consumatori e i professionisti IT possono ottenere esattamente ciò di cui hanno bisogno a vari prezzi. Il rovescio della medaglia è che la navigazione nel negozio Yubico è un'esperienza spesso travolgente. Farò del mio meglio per ridurre le basi.
Esistono quattro versioni dei dispositivi YubiKey Serie 5, tra cui il modello YubiKey 5 NFC da $ 45 recensito qui, nonché altri tre fattori di forma: il $ 50 YubiKey 5 Nano, il $ 50 YubiKey 5C e il $ 60 YubiKey 5C Nano. Il 5 NFC è l'unico YubiKey a offrire comunicazioni wireless, ma oltre a ciò l'unica differenza tra questi dispositivi è la dimensione, il prezzo e il connettore USB.
I due dispositivi Nano sono i dispositivi più piccoli del gruppo e si annidano negli slot USB-A o USB-C, facilmente raggiungibili se ne hai bisogno spesso. Il YubiKey 5C utilizza un connettore USB-C, è leggermente più piccolo del 5 NFC e può appendere sul portachiavi insieme al 5 NFC; manca di comunicazione wireless. Tuttavia, puoi collegare YubiKey 5C o 5C Nano direttamente al tuo dispositivo Android.
Ciò che distingue la serie YubiKey 5 dalla concorrenza non è solo la varietà di fattori di forma. Questi dispositivi sono veri coltelli dell'esercito svizzero di sicurezza digitale. Ognuno può funzionare come Smart Card (PIV), generare password singole, supportare OATH-TOTP e OATH-HOTP e può essere utilizzato per l'autenticazione challenge-response. Tutti e quattro i dispositivi supportano tre algoritmi crittografici: RSA 4096, ECC p256 e ECC p384. Questi dispositivi possono adattarsi a tanti ruoli diversi, spesso allo stesso tempo, purché tu sappia cosa stai facendo.
Mentre YubiKey 5 NFC è al centro di questa recensione, in passato ho testato i dispositivi YubiKey serie 4 e questi sono fisicamente identici alle varianti USB-C e Nano della serie YubiKey 5. Tutti sono ben fatti, rivestiti in plastica nera che nasconde l'usura e dotati di LED verdi nascosti per farti sapere che sono collegati e funzionanti. I dispositivi USB-A hanno una striscia d'oro o un disco che tocchi, a seconda delle dimensioni del dispositivo. I dispositivi USB-C, nel frattempo, hanno due piccole linguette metalliche che tocchi per autenticarti. Il dispositivo USB-A Nano è più difficile da rimuovere da uno slot rispetto al dispositivo USB-C Nano, ma l'USB-A Nano YubiKey ha un piccolo foro, quindi può essere appeso a una stringa o un cavo, mentre l'USB-C Nano non.
Quale dispositivo YubiKey acquisti dipenderà in gran parte dal contesto in cui prevedi di utilizzarlo. I dispositivi Nano sono utili se prevedi di utilizzarli con un computer affidabile e sai che dovrai accedere spesso a YubiKey. I tasti full-size sono ideali per essere appesi a un portachiavi e tenerli a portata di mano.
Hands On con YubiKey 5 NFC
Per aiutarti a iniziare, Yubico ha creato una guida pratica per i nuovi utenti. Basta scegliere il dispositivo YubiKey che hai e il sito visualizza un elenco di tutti i luoghi e contesti che è possibile utilizzare YubiKey. Alcuni di questi linkano direttamente alla pagina di onboarding di un sito o servizio, mentre altri forniscono istruzioni che devi seguire da solo.
Configurare YubiKey come secondo fattore U2F è molto semplice. Seguire le istruzioni del sito o del servizio, quindi inserire YubiKey nell'apposito slot quando richiesto. Basta toccare il disco d'oro (o le linguette metalliche, a seconda del modello) e il servizio registra la chiave. La prossima volta che accedi per accedere, inserisci la password e ti viene richiesto di inserire la chiave e toccare. Questo è tutto!
Dashlane, Google e Twitter sono alcuni dei numerosi siti che supportano U2F e accettano i dispositivi YubiKey Serie 5. Nei miei test, l'ho registrato come secondo fattore per un account Google. Durante l'accesso su un computer desktop, ho inserito le mie credenziali di accesso, quindi Google mi ha chiesto di inserire e toccare la mia chiave di sicurezza. Non è un problema, anche se ho dovuto utilizzare il browser Chrome per accedere.
Sul mio dispositivo Android, il processo è altrettanto semplice. Durante l'accesso ai test, ho inserito le mie credenziali, quindi il telefono mi ha richiesto di utilizzare la mia chiave di sicurezza. Ho selezionato NFC da un menu nella parte inferiore, quindi ho schiaffeggiato il 5 NFC sul retro del mio telefono. Ci sono voluti un paio di tentativi, ma alla fine il telefono ha suonato in modo affermativo e ho effettuato l'accesso.
La serie YubiKey 5 può autenticarti in diversi modi, non solo tramite U2F. Con LastPass, ad esempio, si registra YubiKey per generare password singole (in particolare password monouso basate su HMAC, ma userò OTP per brevità) con un tocco. Questo è diverso da U2F ma in pratica sembra molto simile. Accedi a LastPass, vai alla parte appropriata del menu Impostazioni, fai clic sul campo di testo e tocca YubiKey. Una serie di lettere viene fuori, e basta! Ora, quando si desidera accedere a LastPass, verrà richiesto di collegare YubiKey per sputare più OTP.
Molti di voi probabilmente conoscono Google Authenticator, un'app che genera codici di accesso a sei cifre ogni 30 secondi. Questa tecnologia, più in generale, si chiama Time-based One-time Passwords (TOTPs) ed è una delle forme più comuni per 2FA utilizzate oggi. Insieme a un desktop compagno o un'app mobile, Yubico offre un'interessante rotazione del sistema TOTP.
Collega il tuo YubiKey, avvia l'app Yubico Authenticator, quindi vai a un sito che supporta Google Authenticator o un servizio simile. Per proteggere un account Google, ad esempio, ho fatto clic sull'opzione per registrare un nuovo telefono con l'app di autenticazione. A questo punto in genere viene visualizzato un codice QR e il sito richiede di scansionarlo con l'app di autenticazione appropriata. Invece, ho selezionato un'opzione di menu nell'app desktop Yubico Authenticator e ho catturato il codice QR dal mio schermo. Dopo qualche altro clic, l'app ha iniziato a fornire codici univoci a sei cifre ogni 30 secondi.
Il trucco è che l'app Yubico non può generare TOTP senza YubiKey. Invece di archiviare le credenziali necessarie per creare quei codici sul tuo computer, Yubico Authenticator archivia i dati direttamente su YubiKey. Tiralo fuori e l'app Authenticator non può creare nuovi TOTP. È utile se sei preoccupato per qualcuno che ruba il dispositivo che usi per generare i tuoi TOTP. Puoi anche bloccare il tuo YubiKey con una password, quindi anche se ti è stato rubato non potrebbe essere utilizzato per generare TOTP.
Yubico offre anche un'app Android che genera TOTP che funziona con YubiKey 5 NFC, per portare i tuoi TOTP in viaggio. Quando apri l'app, è vuota, ma schiaffeggia il tuo 5 NFC sul retro e inizia a generare codici. Esci dall'app e i codici scompaiono; dovrai toccare di nuovo il 5 NFC. È meno comodo che archiviare le informazioni nell'app stessa, ma molto più sicuro.
Questi erano gli scenari che ho visto, ma la YubiKey 5 Series può fare molto di più. Puoi usarlo come smartcard per accedere al mio computer desktop. Puoi usarlo per accedere ai server SSH. È anche possibile generare una chiave PGP e quindi utilizzare YubiKey per firmare o autenticare. Francamente, tuttavia, solo farmi avvolgere la testa attorno ai tasti TOTP è stato abbastanza difficile.
Sebbene Yubico abbia molta documentazione e tre app desktop separate (e altre tre app mobili), è molto difficile utilizzare ogni aspetto di YubiKey senza una buona conoscenza delle conoscenze esistenti. Yubico ha implementato un sito Web per aiutare i clienti a sapere a cosa possono utilizzare la chiave e per guidarli verso le informazioni necessarie. Quella guida è fantastica, ma è solo una guida, non la tenuta di mano solitamente fornita da prodotti tecnologici. L'uso di YubiKey per U2F è anche molto semplice, ma ottenere il massimo da YubiKey non è facile per un principiante o anche per un giornalista della sicurezza.
YubiKeys contro la chiave di sicurezza di Google Titan
Yubico ha una soluzione per quasi ogni situazione con la YubiKey Serie 5, ma il costo è un problema. Ogni singolo dispositivo ha un prezzo compreso tra $ 40 e $ 60 per un solo YubiKey.
Il pacchetto di chiavi di sicurezza Titan di Google, d'altra parte, fornisce due dispositivi per $ 50: una chiave USB-A e un portachiavi Bluetooth / Micro USB. Questo ti dà un ricambio subito. D'altra parte YubiKey ha solo più botto di sicurezza per il tuo dollaro (supponendo che tu possa scoprire come usarlo tutto). Entrambi i dispositivi Titan possono utilizzare NFC ma, al momento della stesura di questo documento, il supporto non è stato abilitato sui dispositivi Android. Google fornisce anche un adattatore USB-C, quindi puoi utilizzare la tua chiave Titan con qualsiasi dispositivo. Le chiavi Titan, tuttavia, supportano solo FIDO U2F. Funzionerà praticamente per ogni sito Web o servizio, ma non possono essere utilizzati per TOTP, OTP, accesso a Smart Card e altri protocolli supportati da YubiKey 5 Series.
I lettori attenti al prezzo che cercano principalmente solo un dispositivo U2F preferiranno probabilmente la chiave di sicurezza da $ 20 di Yubico. Questa chiave USB-A ha la stessa silhouette della YubiKey 5 NFC, ma può essere identificata dal suo bel contenitore di plastica blu, un glifo chiave sul pulsante centrale e il numero due inciso sulla parte superiore. Come suggerisce il nome, questo dispositivo supporta FIDO U2F e FIDO2, ma questo è tutto. La chiave di sicurezza non supporta tutti i protocolli della serie YubiKey 5, quindi non è possibile utilizzarla con LastPass o come smart card, né può comunicare in modalità wireless. Costa anche meno della metà del pacchetto di chiavi Titan o 5 NFC.
La YubiKey per il successo?
La serie YubiKey 5 è una straordinaria famiglia di dispositivi che riempie un numero abbagliante di nicchie. Il suo uso più basilare è come un autenticatore FIDO U2F o un generatore OTP, ma può fare molto di più. Il problema che abbiamo sempre avuto con YubiKeys, e Yubico in generale, è semplicemente la sfida di capire quale YubiKey scegliere, tra la mezza dozzina che l'azienda offre attualmente. Capire cosa puoi fare oltre l'U2F è doppiamente impegnativo. I dispositivi Yubico sono eccellenti e la loro documentazione sta migliorando, ma sono sicuramente progettati tenendo conto degli esperti di sicurezza e dei professionisti IT.
Se dai un'occhiata all'elenco delle funzionalità di YubiKey che vanta e le capisci, o almeno sei curioso di conoscerle, questo è il dispositivo che fa per te. Non rimarrete delusi da questo piccolo dispositivo robusto. Se sai di voler proteggere meglio i tuoi account online, ma non sei sicuro di come procedere, probabilmente stai meglio con le chiavi di sicurezza di Google Titan o la chiave di sicurezza molto più economica di Yubico.
YubiKeys è una tecnologia consolidata e matura, ma stiamo ancora esplorando questo spazio. Di conseguenza, stiamo assegnando quattro stelle a YubiKey 5 NFC, ma stiamo trattenendo un premio Editors 'Choice fino a quando non avremo esaminato più opzioni.
