Revisão e avaliação do nitrokey fido u2f

As muitas violações de dados nos últimos anos deixaram uma coisa extremamente clara: as senhas não estão funcionando. Digite a chave de segurança $ 25 Nitrokey Fido U2F USB. O Nitrokey torna muito mais difícil para os bandidos invadir sua conta adicionando uma segunda etapa de autenticação a serviços populares como Google, Twitter, Facebook e muito mais. O que torna o Nitrokey único é que ele é totalmente de código aberto, do hardware ao software. É um pouco mais caro que produtos comparáveis, mas para quem exige hardware e software de código aberto, o Nitrokey é inigualável.

Como funciona a autenticação de dois fatores

Embora a autenticação de dois fatores (ou 2FA) seja geralmente considerada como a adição de uma segunda etapa após a digitação da senha, essa não é a definição real do termo. Em vez disso, 2FA significa usar dois meios de autenticação de uma lista de três possíveis:

• Algo que você sabe,
• Algo que você tem, e
• Algo que você é.

Uma senha em sua cabeça (ou, melhor ainda, em um gerenciador de senhas), é algo que você sabe . Uma chave de hardware ou aplicativo autenticador é algo que você possui , e uma impressão digital ou outra biometria é algo que você é . Por enquanto, estamos presos a senhas, por isso o significado de fato do 2FA está adicionando um dos outros dois a uma senha. Funciona porque, embora sua senha possa ser phishing ou exposta em uma violação de dados, as outras duas são muito difíceis de obter ou falsificar.

Embora existam várias maneiras de adicionar 2FA, chaves de segurança de hardware como o Nitrokey Fido U2F têm vantagens definidas. Ao contrário dos códigos únicos enviados via SMS, eles não podem ser interceptados. Ao contrário dos códigos gerados por um aplicativo, eles não podem ser phishing. O Google provou isso quando a empresa lançou as chaves de segurança para todos os 85.000 de seus funcionários e viu que ataques bem-sucedidos de phishing caíram para zero. Dito isso, se o uso de uma chave de segurança parecer muito complicado, você deve ativar o 2FA da maneira que for mais adequada para você.

Mãos à obra com Nitrokey Fido U2F

A Nitrokey é uma empresa alemã que vende uma variedade de dispositivos de segurança com pen drive. A maioria desses dispositivos concentra-se em armazenamento e criptografia seguros. Eles podem armazenar chaves de criptografia de e-mail e disco, e alguns até vêm com armazenamento seguro integrado. O Nitrokey Fido U2F é o mais acessível do grupo por 22 Euros (cerca de US $ 25, dependendo da taxa de câmbio), e é o único dedicado exclusivamente ao 2FA.

O modelo Fido U2F funciona como um segundo autenticador para muitos sites populares, incluindo Google, Facebook, Twitter e assim por diante. É um dispositivo USB fino e preto com acabamento plástico texturizado, parecendo um pouco com uma antiga unidade de memória flash. É pequeno, de 48 por 19 por 7 mm, e bastante leve, pesando apenas 5g. Uma extremidade é cortada para acomodar um conjunto de chaves e o conector USB 1.1 tipo A na outra extremidade é protegido por um invólucro removível que você definitivamente perderá dentro de uma semana. Além da tampa, não possui partes móveis, tornando-a resistente (mas não impermeável) à água e ao esmagamento.

O conector USB maior é um pouco estranho; a linha YubiKey e as teclas do Google Titan são completamente planas. A Nitrokey diz que o uso do conector USB maior garante compatibilidade com mais dispositivos e é mais durável, mas acho que prefiro o estilo mais plano, se por nenhum outro motivo, permitir um dispositivo menor. O Nitrokey é bastante volumoso em comparação com outras chaves de segurança, que são finas como bolachas e leves. Dito isto, é menos provável que o Nitrokey chame muita atenção com sua aparência completamente branda.

O emparelhamento do Nitrokey Fido U2F com um site é um caso simples. Basta navegar até as opções de login de um site suportado, inserir a Nitrokey quando solicitado e tocar no ícone do dedo na caixa quando um LED branco interno acender. Isso me surpreendeu inicialmente, pois estou mais acostumado com a superfície da torneira de disco de ouro usada pelo Yubico e pelo Google em suas chaves de segurança, embora o Nitrokey funcionasse tão bem.

Depois que o dispositivo estiver emparelhado, você será solicitado a inserir e tocar no Nitrokey Fido U2F ao fazer login no site. Para evitar ser bloqueado em um site registrado, eu recomendo ativar outra opção 2FA, como códigos de backup que podem ser impressos e armazenados em algum lugar seguro ou registrar uma segunda chave de segurança.

Como o Nitrokey Fido U2F não suporta nenhuma comunicação sem fio, você não poderá usá-lo para autenticar um dispositivo móvel. Talvez você possa fazer isso com um adaptador USB descolado, mas eu não testei esse cenário excêntrico. Em vez disso, você precisaria usar outro método 2FA, como um aplicativo autenticador, para essas situações. O NFC do Yubico Security Key custa apenas dois dólares a mais, também suporta o Fido U2F, mas inclui o NFC, para que você possa bater no seu telefone para se autenticar.

Segurança sem obscuridade

Quando algo é de código aberto, está completamente disponível para inspeção e até alterações. Também costuma significar que é um projeto voluntário e pode estar disponível gratuitamente. Isso contrasta com a chamada "segurança através da obscuridade", na qual aspectos críticos de um produto são ocultos em nome da proteção de segredos. A idéia é que ser transparente ajuda a criar produtos melhores e mais resilientes.

O Nitrokey é inteiramente construído em torno da ideia de código aberto. A empresa resume sua abordagem e quais são os benefícios que acredita:

"Tanto o hardware quanto o firmware, as ferramentas e as bibliotecas são de código aberto e software livre, permitindo auditorias de segurança independentes. Flexibilidade adaptável, sem bloqueio de fornecedor, sem segurança através da obscuridade, sem falhas ocultas de segurança".

O uso de ferramentas de código aberto também é uma declaração ética para empresas e consumidores. Se você é o tipo de pessoa que realmente, realmente acredita em informações abertas, provavelmente gostará da posição de Nitrokey. O hardware de código aberto também é uma coisa relativamente rara de se ver e ajuda a atenuar os temores sobre as agências de inteligência colocarem backdoors em chips na fábrica.

Isso não quer dizer que ser de código aberto seja uma bala mágica contra falhas ou ataques de segurança. O Heartbleed foi causado por um erro adicionado sem saber ao software criptográfico OpenSSL de código aberto. Dito isto, é provável que, se o OpenSSL não fosse de código aberto, o bug talvez nunca tivesse sido encontrado.

Nitrokey versus amigos e inimigos

O Nitrokey Fido U2F é um dos cerca de meia dúzia de dispositivos Nitrokey atualmente à venda. Como a linha Yubikey 5 da Yubico, há uma variedade de configurações para você escolher. Ao contrário do Yubico, a linha Nitrokey faz muito mais do que apenas autenticação. O Nitrokey Storage 2, o mais robusto e caro dentre as ofertas, suporta criptografia de email e disco S / MIME, criptografia de email OpenPGP / GnuPG, senhas de uso único (OTP) e armazenamento on-line criptografado. Até armazena até 16 senhas em um gerenciador de senhas personalizado. Custa 109EU ou cerca de US $ 124.

É muita sopa de letrinhas e, se você não pegou tudo, provavelmente não é o produto para você. O suporte ao OTP é notável, pois é a única opção 2FA de hardware suportada pelo LastPass.

O Nitrokey Pro 2 descarta o armazenamento a bordo e custa apenas 49 Euros ou cerca de US $ 56. Exclusivamente, ele (ou seu primo renomeado, Purism Librem Key) pode ser usado para verificar a validade do firmware e hardware dos laptops Purism. Isso significa que eles podem detectar se alguém tentou adulterar o seu laptop Purism. É um recurso fascinante, mas interessante apenas para o tipo de pessoa que compraria um laptop Purism de código aberto.

Estranhamente, o Nitrokey Fido U2F analisado aqui é o único autenticador da Nitrokey compatível com Fido U2F. Se você comprar um Nitrokey mais caro e com maior preço, não poderá usar esse padrão amplamente adotado.

O Yubico, por outro lado, inclui o Fido U2F e o Fido2 mais novo e à prova de futuro em todos os seus dispositivos YubiKey 5, juntamente com suporte para OTP, OATH (HOTP e TOTP), OpenPGP e smartcard. Dois dispositivos YubiKey 5 também suportam USB-C. Suas duas ofertas com preços mais baixos, a Chave de Segurança e a Chave de Segurança NFC, suportam apenas o Fido2 e o Fido U2F. O último deles custa um pouco mais do que o Nitrokey Fido U2F por US $ 27, mas inclui comunicações NFC sem fio, o que o Nitrokey não. Por seu lado, a Chave de Segurança custa apenas US $ 20, colocando-a dentro do território de compra por impulso.

O pacote Titan do Google custa US $ 50 e chega a um ponto intermediário. Isso inclui dois dispositivos - uma chave USB-A e um dongle bluetooth alimentado por bateria - ambos compatíveis com o Fido U2F. A inclusão de um segundo dispositivo definitivamente o torna um pacote tentador, mas ainda estou cético sobre a utilidade do dongle a bateria.

Segurança intransigente

O Nitrokey Fido U2F não é mais fino, mais fino ou mais barato que a concorrência, mas seu compromisso com hardware e software de código aberto é um grande diferencial para alguns. Como muitos hardwares de código aberto, é mais desajeitado, mas potencialmente melhor. Ainda preferimos a nossa Escolha dos editores, a Chave de segurança da Yubico, que é um pouco menos cara e muito mais fina que a Nitrokey. Mas se você está apenas mergulhando o seu dedo no hardware 2FA, e especialmente se você é um evangelista de código aberto, o Nitrokey Fido U2F é uma boa escolha.