Índice:
- Como funciona a autenticação de dois fatores
- Os Muitos Sabores de YubiKey
- Mãos à obra com o YubiKey 5 NFC
- YubiKeys vs. a chave de segurança do Google Titan
- A YubiKey para o sucesso?
Vídeo: Yubico YubiKey 5 NFC Security Key (Novembro 2024)
As senhas têm sido o ponto fraco da segurança desde que foram introduzidas. Felizmente, o Yubico YubiKey 5 NFC está aqui para proteger nossas contas mais importantes e muito mais. A quinta geração do YubiKey suporta o FIDO U2F para uma autenticação segura de segundo fator e usa o NFC para trabalhar com o seu telefone. Mas isso é apenas o começo do que este dispositivo notavelmente poderoso e notavelmente minúsculo pode fazer. Se você está procurando apenas uma opção U2F de hardware simples, a NFC do YubiKey 5 provavelmente é um exagero - considere a Chave de segurança mais acessível da Yubico ou as Chaves de segurança do Google Titan. Mas se você já está imerso em questões de segurança, vai adorar o que a 5 NFC tem a oferecer.
Como funciona a autenticação de dois fatores
Embora você possa fazer muito com uma chave de segurança de hardware como o YubiKey, sua principal função é o segundo fator de autenticação. Na prática, a autenticação de dois fatores (2FA) significa ter que fazer uma segunda coisa depois de digitar sua senha para provar que é você. Mas a teoria por trás do 2FA está combinando dois sistemas diferentes de autenticação de uma lista de três:
- Algo que você sabe,
- Algo que você tem, ou
- Algo que você é.
Por exemplo: uma senha, é algo que você conhece e deve existir apenas na sua cabeça (ou dentro de um gerenciador de senhas). A biometria - digitalizações de impressões digitais, retinas, assinaturas cardíacas etc. - conta como algo que você é . Yubico YubiKeys e seus tipos são algo que você tem .
Esta revisão aborda principalmente o hardware 2FA, mas há muitas maneiras de adicionar um segundo fator. Muitos sites enviarão códigos por SMS para verificar sua identidade. Aplicativos como Duo e Authy contam com notificações push que são (em teoria) mais difíceis de interceptar do que as mensagens SMS.
Se você optar por uma solução de hardware ou software ou uma mistura de ambos, adicione 2FA sempre que puder. Quando o Google implantou chaves 2FA internamente, viu as aquisições bem-sucedidas de contas caírem para zero. Isso é bom.
Os Muitos Sabores de YubiKey
A Yubico sempre ofereceu vários tamanhos e variações de suas chaves de segurança para atender a praticamente todas as necessidades. Isso é ótimo, porque os consumidores e profissionais de TI podem obter exatamente o que precisam a uma variedade de preços. A desvantagem é que navegar na loja Yubico é uma experiência frequentemente esmagadora. Eu farei o meu melhor para resumir o básico.
Existem quatro tipos de dispositivos YubiKey 5 Series, incluindo a NFC de US $ 45 YubiKey 5 revisada aqui, além de três outros fatores de forma: o YubiKey 5 Nano de US $ 50, o YubiKey 5C de US $ 50 e o YubiKey 5C de US $ 50 e o YubiKey 5C de US $ 60. O 5 NFC é o único YubiKey a oferecer comunicação sem fio, mas, além disso, a única diferença entre esses dispositivos é tamanho, preço e conector USB.
Os dois dispositivos Nano são os dispositivos mais diminutos do grupo e estão localizados nos slots USB-A ou USB-C, facilmente acessíveis se você precisar deles com frequência. O YubiKey 5C usa um conector USB-C, é um pouco menor que o 5 NFC e pode pendurar no seu chaveiro ao lado do 5 NFC; falta comunicação sem fio. No entanto, você pode conectar o YubiKey 5C ou 5C Nano diretamente ao seu dispositivo Android.
O que diferencia a YubiKey 5 Series da concorrência não é apenas a variedade de fatores de forma. Esses dispositivos são verdadeiros canivetes suíços de segurança digital do exército. Cada um pode funcionar como um cartão inteligente (PIV), gerar senhas únicas, suportar OATH-TOTP e OATH-HOTP e pode ser usado para autenticação de resposta a desafios. Todos os quatro dispositivos suportam três algoritmos criptográficos: RSA 4096, ECC p256 e ECC p384. Esses dispositivos podem ter muitos papéis diferentes, geralmente ao mesmo tempo - desde que você saiba o que está fazendo.
Enquanto o YubiKey 5 NFC é o foco desta revisão, eu testei os dispositivos YubiKey 4 Series no passado, e eles são fisicamente idênticos às variações USB-C e Nano do YubiKey 5 Series. Todos eles são bem feitos, revestidos com plástico preto que oculta o desgaste e equipados com LEDs verdes ocultos para que você saiba que está conectado e funcionando. Os dispositivos USB-A possuem uma faixa ou disco dourado em que você toca, dependendo do tamanho do dispositivo. Enquanto isso, os dispositivos USB-C têm duas pequenas abas de metal que você toca para se autenticar. O dispositivo USB-A Nano é mais difícil de remover de um slot que o dispositivo USB-C Nano, mas o USB-A Nano YubiKey possui um pequeno orifício, para que possa ser pendurado em uma corda ou cabo, enquanto o USB-C Nano não.
O dispositivo YubiKey que você compra depende muito do contexto em que planeja usá-lo. Os dispositivos Nano são úteis se você planeja usá-los com um computador confiável e sabe que precisará acessar o YubiKey frequentemente. As teclas de tamanho normal são melhores para pendurar em um chaveiro e manter-se à mão.
Mãos à obra com o YubiKey 5 NFC
Para ajudar você a começar, o Yubico criou um guia útil para novos usuários. Basta escolher o dispositivo YubiKey que você possui e o site exibe uma lista de todos os lugares e contextos em que você pode usar o seu YubiKey. Alguns deles apontam diretamente para a página de integração de um site ou serviço, enquanto outros fornecem instruções para você seguir.
Configurar o YubiKey como um segundo fator U2F é muito simples. Siga as instruções do site ou serviço e insira o YubiKey no slot apropriado quando solicitado. Basta tocar no disco dourado (ou nas guias de metal, dependendo do modelo), e o serviço registra sua chave. Na próxima vez que você fizer login, digite sua senha e receberá uma solicitação para inserir sua chave e toque em. É isso aí!
Dashlane, Google e Twitter são alguns dos muitos sites que suportam U2F e aceitam dispositivos YubiKey 5 Series. Nos meus testes, inscrevi-o como um segundo fator para uma Conta do Google. Ao fazer login em um computador desktop, digitei minhas credenciais de login e, em seguida, o Google me pediu para inserir e tocar em minha chave de segurança. Isso não é problema, embora eu tenha que usar o navegador Chrome para fazer login.
No meu dispositivo Android, o processo é igualmente simples. Ao efetuar o teste, digitei minhas credenciais e, em seguida, meu telefone solicitou que eu usasse minha chave de segurança. Selecionei NFC em um menu na parte inferior e, em seguida, bati o 5 NFC na parte de trás do meu telefone. Foram necessárias algumas tentativas, mas o telefone tocou afirmativamente e eu estava logado.
O YubiKey 5 Series pode autenticá-lo de várias maneiras, não apenas via U2F. Com o LastPass, por exemplo, você inscreve o YubiKey para gerar senhas de uso único (especificamente senhas de uso único baseadas em HMAC, mas usarei o OTP por questões de brevidade) com um toque. Isso é diferente do U2F, mas, na prática, parece muito semelhante. Faça login no LastPass, navegue até a parte apropriada do menu Configurações, clique no campo de texto e toque no YubiKey. Uma série de letras sai e é isso! Agora, quando você quiser fazer login no LastPass, será solicitado que você conecte seu YubiKey para que ele cuspa mais OTPs.
A maioria de vocês provavelmente conhece o Google Authenticator, um aplicativo que gera senhas de seis dígitos a cada 30 segundos. Essa tecnologia, geralmente, é chamada de senhas descartáveis baseadas em tempo (TOTPs) e é uma das formas mais comuns de 2FA usadas atualmente. Juntamente com um aplicativo complementar para desktop ou celular, o Yubico dá uma guinada interessante no sistema TOTP.
Conecte seu YubiKey, inicie o aplicativo Yubico Authenticator e navegue até um site que suporte o Google Authenticator ou um serviço similar. Para proteger uma Conta do Google, por exemplo, cliquei na opção para registrar um novo telefone com o aplicativo autenticador. Um código QR geralmente aparece nesse momento, e o site solicita que você o digitalize com o aplicativo autenticador apropriado. Em vez disso, selecionei uma opção de menu no aplicativo de desktop Yubico Authenticator e ele capturou o código QR da minha tela. Após mais alguns cliques, o aplicativo começou a fornecer códigos exclusivos de seis dígitos a cada 30 segundos.
O truque é que o aplicativo Yubico não pode gerar TOTPs sem o YubiKey. Em vez de armazenar as credenciais necessárias para criar esses códigos no seu computador, o Yubico Authenticator armazena esses dados diretamente no seu YubiKey. Retire-o e o aplicativo Authenticator não pode criar novos TOTPs. Isso é útil se você estiver preocupado com alguém que rouba o dispositivo que você usa para gerar seus TOTPs. Você também pode bloquear seu YubiKey com uma senha, portanto, mesmo que tenha sido roubado de você, não poderá ser usado para gerar TOTPs.
O Yubico também oferece um aplicativo Android gerador de TOTP que funciona com o YubiKey 5 NFC, para levar seus TOTPs para viagem. Quando você abre o aplicativo, ele está vazio, mas bata no seu 5 NFC na parte traseira e ele começará a gerar códigos. Saia do aplicativo e os códigos desaparecem; você terá que tocar no NFC 5 novamente. Isso é menos conveniente do que armazenar as informações no próprio aplicativo, mas muito mais seguro.
Esses foram os cenários que observei, mas o YubiKey 5 Series pode fazer muito mais. Você pode usá-lo como um cartão inteligente para fazer login no meu computador desktop. Você pode usá-lo para fazer login nos servidores SSH. Você pode até gerar uma chave PGP e usar o YubiKey para assinar ou autenticar. Francamente, no entanto, apenas envolver minha cabeça nas teclas TOTP já era bastante difícil.
Embora o Yubico tenha muita documentação e três aplicativos de desktop separados (e mais três aplicativos móveis), é muito difícil usar todas as facetas do YubiKey sem uma boa dose de conhecimento existente. A Yubico implantou um site para ajudar a informar os clientes sobre o que eles podem usar sua chave e orientá-los para as informações necessárias. Essa orientação é ótima, mas é apenas uma orientação, não a manipulação de mãos normalmente fornecida por produtos de tecnologia. Usar o seu YubiKey para U2F também é muito simples, mas tirar o máximo proveito do seu YubiKey não é fácil para um iniciante - ou mesmo um jornalista de segurança.
YubiKeys vs. a chave de segurança do Google Titan
O Yubico tem uma solução para praticamente todas as situações da YubiKey 5 Series, mas o custo é um problema. Cada dispositivo individual custa entre US $ 40 e US $ 60 por apenas um YubiKey.
O Titan Security Key Bundle do Google, por outro lado, fornece dois dispositivos por US $ 50: uma chave USB-A e um chaveiro Bluetooth / Micro USB. Isso lhe dá um direito extra imediatamente. Por outro lado, o YubiKey tem mais segurança para você (assumindo que você sabe como usar tudo). Ambos os dispositivos Titan podem usar NFC, mas, até o momento, o suporte não foi ativado em dispositivos Android. O Google também fornece um adaptador USB-C, para que você possa usar sua chave Titan com praticamente qualquer dispositivo. As teclas Titan, no entanto, suportam apenas o FIDO U2F. Isso funcionará para praticamente todos os sites ou serviços, mas eles não podem ser usados para TOTPs, OTPs, acesso a cartão inteligente e outros protocolos suportados pelo YubiKey 5 Series.
Os leitores preocupados com os preços que procuram principalmente um dispositivo U2F provavelmente preferirão a Chave de Segurança de US $ 20 da Yubico. Essa chave USB-A tem a mesma silhueta que a NFC YubiKey 5, mas pode ser identificada por seu belo invólucro de plástico azul, um glifo de chave no botão central e o número dois gravado em sua parte superior. Como o nome sugere, este dispositivo suporta FIDO U2F e FIDO2, mas é isso. A chave de segurança não suporta todos os protocolos da YubiKey 5 Series, portanto você não pode usá-la com o LastPass ou como um cartão inteligente, nem pode se comunicar sem fio. Também custa menos da metade do pacote de chaves do Titan ou do 5 NFC.
A YubiKey para o sucesso?
A YubiKey 5 Series é uma família notável de dispositivos que preenchem um número impressionante de nichos. Seu uso mais básico é como um autenticador FIDO U2F ou um gerador OTP, mas pode fazer muito mais. O problema que sempre tivemos com o YubiKeys e com o Yubico em geral é simplesmente o desafio de descobrir qual o YubiKey a escolher, entre as meia dúzia que a empresa oferece atualmente. Descobrir o que você pode fazer além do U2F é duplamente desafiador. Os dispositivos Yubico são excelentes, e sua documentação está melhorando, mas eles são definitivamente projetados com profissionais de segurança e profissionais de TI em mente.
Se você der uma olhada na lista de recursos que o YubiKey possui e entender, ou pelo menos tiver curiosidade, então este é o dispositivo para você. Você não ficará desapontado com este pequeno dispositivo robusto. Se você sabe que deseja proteger melhor suas contas on-line, mas não sabe ao certo como fazê-lo, provavelmente está melhor com as Chaves de segurança do Google Titan ou com a Chave de segurança muito mais acessível da Yubico.
YubiKeys é uma tecnologia estabelecida e madura, mas ainda estamos explorando esse espaço. Como tal, concedemos ao YubiKey 5 NFC quatro estrelas, mas estamos retendo o prêmio Editors 'Choice até examinarmos mais opções.
