Yubico yubikey 5ci recensione e valutazione

La linea YubiKey di Yubico è stata per anni la scelta ideale per l'autenticazione hardware semplice a due fattori. L'ultima frontiera di Yubico è stata l'iPhone, che finalmente affronta con YubiKey 5Ci. Questo piccolo dispositivo a doppia estremità presenta un connettore USB-C su un'estremità e un connettore Lightning conforme a Apple sull'altra. Questa idra di una chiave hardware funziona esattamente come dovrebbe e viene fornita con funzionalità che la concorrenza non può eguagliare, ma è ostacolata da un supporto limitato su iOS e da un prezzo relativamente alto.

Cos'è l'autenticazione a due fattori

In pratica, l'autenticazione a due fattori (2FA) utilizza due cose per accedere a un sito o servizio, ma non è da qui che viene il nome. Invece, si riferisce a una teoria dell'autenticazione in cui si dimostra che si dovrebbe avere accesso con:

Qualcosa che sai.

Qualcosa che sei.

O qualcosa che hai.

Qualcosa che sai è come una password, di cui gli umani sono terribili e dovremmo davvero lasciare che i gestori delle password si prendano cura di loro. Qualcosa che sei è come i dati biometrici, come usare l'impronta digitale per sbloccare un telefono. Qualcosa che possiedi potrebbe essere un autenticatore hardware, come un YubiKey. 2FA è il punto in cui si utilizzano due autenticatori dall'elenco anziché solo uno, poiché è improbabile che un utente malintenzionato abbia due dei tre. È un modo estremamente efficace per proteggere gli accessi. Tanto che dopo che Google ha richiesto l'uso interno delle chiavi hardware 2FA, gli attacchi di phishing riusciti sono scesi a zero.

Ci sono molti modi per fare 2FA. La ricezione di una sola password tramite SMS è probabilmente quella con cui le persone hanno più familiarità, anche se questa è in via di uscita a causa di problemi di sicurezza. Yubico ha guidato la creazione del protocollo FIDO2 e dello standard WebAuthn, che utilizza la crittografia a chiave pubblica per l'autenticazione sicura. Lo standard WebAuthn certificato W3C ha portato questo stile di autenticazione a un numero sempre maggiore di browser e servizi negli ultimi anni e potrebbe essere il futuro di come facciamo l'autenticazione. Microsoft, ad esempio, ha sperimentato l'utilizzo di dispositivi WebAuthn come YubiKeys per un'autenticazione completamente senza password.

Fatto per il cellulare

La famiglia YubiKey è cresciuta in modo significativo, con sette diverse chiavi di varie dimensioni e una preponderanza di spine e protocolli. La chiave di sicurezza USB-A Yubico supporta solo FIDO2 / WebAuthn e costa $ 20, mentre la chiave di sicurezza USB-A NFC aggiunge il supporto wireless per $ 27.

Immagine via Yubico.

La serie YubiKey 5, nella foto sopra, copre diversi dispositivi. A partire da sinistra, l'USB-A YubiKey 5 NFC costa $ 45 ed è forse il più capace di tutti i dispositivi. La USB-C YubiKey 5C costa $ 50 e assomiglia molto alla 5Ci nel suo design sottile e tozzo. Il 5 Nano e il 5C Nano costano rispettivamente $ 50 e $ 60 e sono progettati per vivere all'interno delle porte in modo semi-permanente. A $ 70, YubiKey 5Ci è la chiave più costosa della famiglia.

Rispetto al design USB-A YubiKey, il 5Ci è minuscolo. Ha 12 mm x 40, 3 mm e uno spessore di soli 5 mm. È poco più della metà della larghezza di una chiave USB-A e leggermente più corta. È realizzato in resistente plastica nera con un foro centrale rinforzato in metallo per fissarlo al portachiavi. Il 5Ci è, tuttavia, più spesso del YubiKey 5 NFC. Quella circonferenza extra accoppiata con il suo foro centrale lo rende un po 'strano per un portachiavi, ma funziona. È leggero come una piuma a soli 3 grammi, ma si sente ancora ben costruito.

Vicino al centro del dispositivo ci sono due nodi metallici rialzati. Quando si collega il 5Ci, si toccano questi nodi quando viene richiesto di completare la verifica. Come tutti i dispositivi YubiKey, il 5Ci non ha una batteria interna e consuma tutta la sua energia dal dispositivo a cui è collegato. In particolare, YubiKey 5Ci non supporta NFC, mentre Yubico Security Key NFC e YubiKey 5 NFC lo fanno.

YubiKey 5Ci ha un design unico a doppia estremità. Un lato ha un connettore USB-C e l'altro presenta un connettore Apple Lightning che hai visto per anni su caricabatterie per iPhone e iPad. Ironia della sorte, la mia più grande lamentela riguardo il 5Ci sono i suoi connettori. Per prima cosa, ho avuto difficoltà a trovare un computer con una porta USB-C per testare le varie funzionalità del 5Ci. È anche molto più semplice registrare la chiave da un computer piuttosto che da un dispositivo mobile. Se stai usando hardware recente, trovare una porta USB-C probabilmente non sarà un problema, ma se sei come me e usi i computer fino a quando non cadono letteralmente a pezzi, potresti aver bisogno di un adattatore.

Per un altro, l'estremità USB-C del dispositivo non si adattava bene né al Nokia 6.1 né all'Asus UX360c ZenBook Flip che ho usato nei test. Ho dovuto davvero spingere per ottenere il 5Ci, e ogni volta che pensavo che avrei rotto qualcosa. Ci sono stati anche alcuni casi in cui sembrava che il dispositivo non fosse posizionato correttamente, poiché non si connetteva. Questo non è stato in alcun modo un affare, e dopo alcune spinte e tiri il connettore ha iniziato a sembrare una soluzione migliore. Forse ha solo bisogno di entrare.

Il connettore Lightning, d'altra parte, ha funzionato molto bene. È entrato senza intoppi e si è tagliato in modo robusto. Era del tutto simile alla mela e non ho lamentele. Yubico ha sottolineato che il connettore USB-C sul 5Ci non funzionerà nei modelli di iPad con porte USB-C.

Immagine via Yubico.

Hands On con YubiKey 5Ci

Prima di poter utilizzare 5Ci o qualsiasi altro autenticatore hardware, è necessario registrarlo con ciascun servizio. Il problema è che non tutti i browser o applicazioni supportano le chiavi di autenticazione hardware. Ho riscontrato questo problema la prima volta che ho testato la chiave di sicurezza NFC di Yubico. All'epoca (come ora), il supporto di Apple per NFC non si estendeva alle chiavi di sicurezza nella maggior parte dei contesti. Ho scoperto che c'erano più contesti in cui il 5Ci funzionava su iOS rispetto a quando ho testato le chiavi NFC su iPhone, ma il supporto relativamente piccolo è un po 'frustrante.

Per testare il supporto FIDO2 / WebAuthn, ho aperto Twitter nel browser Brave, che Yubico mi ha suggerito di utilizzare perché supporta l'autenticazione basata su browser. Ho effettuato l'accesso come di consueto, sono passato al riquadro Impostazioni e ho registrato YubiKey 5Ci. La prossima volta che ho effettuato l'accesso, Twitter mi ha chiesto di inserire la mia chiave e toccarla. Ho ottemperato e ho rapidamente richiamato l'app Web.

Sfortunatamente, non sono stato in grado di accedere a Twitter con Safari o l'app iOS di Twitter. Inoltre, non sono stato in grado di registrare Yubikey 5Ci con il mio account Google su Brave, Safari o Chrome.

YubiKey 5Ci supporta anche password one-time (OTP). In questa configurazione, si inserisce la chiave e si toccano i nodi metallici e viene emesso un lungo codice univoco. Eccone uno: ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb. Alcuni servizi, come LastPass, utilizzano questa funzione anziché FIDO2 / WebAuthn. Il vantaggio è che il tasto viene letto come una tastiera, quindi è molto semplice e non richiede alcun supporto aggiuntivo dal browser.

Per testare gli OTP, per prima cosa ho dovuto registrare la chiave con un account LastPass. Non sono riuscito a farlo su un iPad o iPhone. Nel caso dei browser, non mi è stata data la possibilità di utilizzare metodi alternativi e i browser non potevano usare NFC per leggere il mio YubiKey 5 NFC. L'app LastPass ha letto la mia chiave NFC, ma l'app non include opzioni per modificare le chiavi hardware registrate. Alla fine, ho dovuto trovare un laptop con porte USB-C per registrare il 5Ci. Una volta fatto, accedere a LastPass tramite l'app o tramite l'app LastPass o il browser Brave è stato un gioco da ragazzi. Ho inserito il mio nome utente e la mia password come al solito, quindi mi è stato chiesto di inserire la mia chiave, quindi toccare i nodi metallici sulla chiave. Un secondo dopo, sono stato effettuato l'accesso.

Questi erano solo alcuni dei servizi con cui YubiKey può lavorare e Yubico mantiene un elenco abbastanza completo di siti e servizi che accettano FIDO2 / WebAuthn o YubiKey OTP. Un rappresentante dell'azienda ha menzionato 1Password, Bitwarden, Idaptive e Okta come app iOS specifiche che già supportano l'uso di YubiKeys.

YubiKey 5Ci ha tutti gli altri tipi di trucchi, ma a un certo punto richiedono tutti un computer. Ad esempio, puoi personalizzare vari aspetti della tua chiave, come far sputare una password preimpostata quando premi a lungo i nodi metallici. Può anche essere configurato per raddoppiare come una smart card e può emettere passcode (TOTP) limitati nel tempo proprio come Google Authenticator con l'aiuto di un'applicazione di autenticazione desktop. Un rappresentante Yubico mi ha confermato che, ad eccezione della comunicazione NFC, YubiKey 5Ci può fare qualsiasi cosa YubiKey 5 NFC possa fare.

La YubiKey 5Ci contro la concorrenza

Esistono numerosi concorrenti autenticatori di hardware, tra cui Google. Per $ 50, l'azienda ti invierà una chiave di sicurezza Google Titan USB-A che utilizza FIDO2 / WebAuthn e un dongle Bluetooth ricaricabile. È un buon set, ma sono sempre stato scettico sull'uso del Bluetooth per i dispositivi di sicurezza.

Se possiedi un dispositivo mobile con Android 7.0 o versioni successive, puoi utilizzarlo come autenticatore hardware anche per gli account Google. Questo ha il vantaggio di essere completamente gratuito e di utilizzare l'hardware esistente che già possiedi, ma è attualmente limitato nell'ambito. Si affida anche a batterie e radio per funzionare, a differenza di tutti i dispositivi YubiKey.

Se il marchio Google non fa per te, puoi andare direttamente a Feitian, la società che Google ha inserito nella whitelabel per le chiavi Titan. Questi dispositivi sono disponibili in numerose dimensioni, configurazioni e prezzi. L'unico aspetto negativo è l'improbabile potenziale di attacchi alla catena di approvvigionamento, poiché Feitian si trova in Cina. Yubico è sempre pronto a sottolineare che produce le sue chiavi negli Stati Uniti e in Svezia.

Alcuni potrebbero preferire un'alternativa open source, come NitroKey FIDO U2F. Questo dispositivo tedesco costa € 22, 00 e utilizza hardware e software open source. Il vantaggio dell'hardware open source è che la sua sicurezza può essere verificata in modo indipendente da qualsiasi terza parte. Ho trovato il NitroKey capace, ma goffo. Mentre le altre chiavi di sicurezza sono sottili come, beh, le chiavi, NitroKey è grosso e utilizza un connettore USB-A di dimensioni standard. Ho chiesto a un rappresentante di Yubico di utilizzare componenti open-source e mi hanno risposto che i migliori chip di elementi sicuri disponibili semplicemente non sono di origine aperta.

Una cosa da tenere a mente è che 2FA non richiede una chiave hardware. Google Authenticator, Duo Mobile e altri servizi offrono 2FA gratuitamente tramite app. Google e Apple proteggono gli account sui loro servizi con l'opzione di autenticare da un altro dispositivo attendibile. Il vantaggio delle chiavi hardware è che funzionano senza alimentazione o servizio cellulare, ma se ritieni che l'utilizzo di una chiave fisica sia una seccatura, ti consiglio semplicemente di utilizzare qualsiasi metodo 2FA abbia più senso per te.

Troppo, troppo presto

Le mie uniche vere lamentele con YubiKey 5Ci sono il suo prezzo e la sua appiccicosa presa USB-C (che potrebbe migliorare nel tempo). Il vero problema è il supporto su dispositivi iOS che, pur migliorando, è ancora limitato. Non è proprio colpa di Yubico, ma è frustrante perché USB-C YubiKey costa $ 20 in meno. Mi piacerebbe se Apple e altri sviluppatori iniziassero a lavorare seriamente sull'espansione del supporto per tutti i tipi di chiavi hardware. Una volta che ciò accade, YubiKey 5Ci brillerà davvero. Fino ad allora, il nostro badge Editors 'Choice rimane la chiave di sicurezza di Yubico, che costa solo $ 20 e funzionerà praticamente ovunque si inserisca una spina USB-A.