Revisão e classificação do Yubico yubikey 5ci

A linha YubiKey da Yubico tem sido a escolha ideal para autenticação simples de dois fatores por hardware há anos. A fronteira final para o Yubico foi o iPhone, que finalmente aborda com o YubiKey 5Ci. Este pequeno dispositivo de extremidade dupla possui um conector USB-C em uma extremidade e um conector Lightning compatível com a Apple na outra. Essa hidra de uma chave de hardware funciona exatamente como deveria e vem com recursos que a concorrência não pode igualar, mas é dificultada pelo suporte limitado no iOS e um preço comparativamente alto.

O que é autenticação de dois fatores

Na prática, a autenticação de dois fatores (2FA) está usando duas coisas para fazer login em um site ou serviço, mas não é daí que o nome vem. Em vez disso, refere-se a uma teoria de autenticação na qual você prova que deve ter acesso com:

Algo que você sabe.

Algo que você é.

Ou algo que você tem.

Algo que você sabe é como uma senha, na qual os humanos são péssimos e realmente devemos deixar os gerenciadores de senhas cuidarem. Algo que você é é como dados biométricos, como usar sua impressão digital para desbloquear um telefone. Algo que você possui pode ser um autenticador de hardware, como um YubiKey. O 2FA é onde você usa dois autenticadores da lista em vez de apenas um, pois é improvável que um invasor tenha dois dos três. É uma maneira extremamente eficaz de garantir logins. Tanto que, depois que o Google exigiu o uso de chaves de hardware 2FA internamente, ataques de phishing bem-sucedidos caíram para zero.

Existem várias maneiras de fazer o 2FA. Receber uma senha única via SMS é provavelmente a pessoa com quem mais se familiariza, embora isso esteja saindo devido a problemas de segurança. O Yubico liderou a criação do protocolo FIDO2 e do padrão WebAuthn, que usa criptografia de chave pública para autenticação segura. O padrão WebAuthn certificado pelo W3C trouxe esse estilo de autenticação para mais e mais navegadores e serviços nos últimos anos, e pode ser o futuro de como fazemos a autenticação. A Microsoft, por exemplo, vem experimentando o uso de dispositivos WebAuthn como o YubiKeys para autenticação completamente sem senha.

Feito para celular

A família YubiKey cresceu significativamente, apresentando sete chaves diferentes em diversos tamanhos e uma preponderância de plugues e protocolos. A chave de segurança USB-A Yubico suporta apenas FIDO2 / WebAuthn e custa US $ 20, enquanto a chave de segurança USB-A NFC adiciona suporte sem fio por US $ 27.

Imagem via Yubico.

A série YubiKey 5, na foto acima, abrange vários dispositivos. Começando pela esquerda, o USB-A YubiKey 5 NFC custa US $ 45, e talvez seja o mais capaz de todos os dispositivos. O USB-C YubiKey 5C custa US $ 50 e se assemelha mais ao 5Ci em seu design fino e atarracado. O 5 Nano e o 5C Nano custam US $ 50 e US $ 60, respectivamente, e são projetados para viver dentro de suas portas semi-permanentemente. Por US $ 70, o YubiKey 5Ci é a chave mais cara da família.

Comparado ao design USB-A YubiKey, o 5Ci é minúsculo. Tem 12 mm x 40, 3 mm e apenas 5 mm de espessura. Isso tem um pouco mais da metade da largura de uma chave USB-A e é um pouco menor. Ele é fundido em plástico preto durável com um orifício central reforçado com metal para prendê-lo ao seu chaveiro. O 5Ci é, no entanto, mais espesso que o YubiKey 5 NFC. Essa circunferência extra, juntamente com o orifício central, o tornam um pouco estranho para um chaveiro, mas funciona. É leve como pena em apenas 3 gramas, mas ainda parece bem construído.

Perto do meio do dispositivo, existem dois nós de metal elevados. Ao conectar o 5Ci, você toca nesses nós quando solicitado a concluir a verificação. Como todos os dispositivos YubiKey, o 5Ci não possui bateria interna e consome toda a energia do dispositivo ao qual está conectado. Notavelmente, o YubiKey 5Ci não suporta NFC, enquanto o Yubico Security Key NFC e o YubiKey 5 NFC o fazem.

O YubiKey 5Ci possui um design de extremidade dupla exclusivo. Um lado tem um conector USB-C e o outro possui um conector Apple Lightning que você vê nos carregadores de iPhone e iPad há anos. Ironicamente, minha maior reclamação sobre o 5Ci são seus conectores. Por um lado, tive dificuldade em encontrar um computador com uma porta USB-C para testar os vários recursos do 5Ci. Também é muito mais fácil registrar a chave em um computador do que em um dispositivo móvel. Se você estiver usando hardware recente, encontrar uma porta USB-C provavelmente não será um problema, mas se você gosta de mim e usa computadores até que eles literalmente desmoronem, você pode estar precisando de um adaptador.

Por outro lado, a extremidade USB-C do dispositivo não se encaixava bem no Nokia 6.1 ou no ZenBook Asus UX360c ZenBook Flip I usado nos testes. Eu realmente tive que pressionar para conseguir o 5Ci e toda vez que pensava em quebrar alguma coisa. Houve também alguns casos em que parecia que o dispositivo não estava encaixado corretamente, pois não era conectado. De qualquer forma, isso não foi um problema, e depois de alguns empurrões e puxões, o conector começou a parecer melhor. Talvez só precise invadir.

O conector Lightning, por outro lado, funcionou notavelmente bem. Entrou sem problemas e entrou com firmeza. Era completamente parecido com a Apple, e não tenho queixas. Yubico apontou que o conector USB-C no 5Ci não funcionará nos modelos de iPad que possuem portas USB-C.

Imagem via Yubico.

Mãos à obra com o YubiKey 5Ci

Antes de poder usar o 5Ci, ou qualquer outro autenticador de hardware, você deve registrá-lo em cada serviço. O problema é que nem todo navegador ou aplicativo suporta chaves de autenticador de hardware. Encontrei esse problema na primeira vez em que testei a NFC da chave de segurança do Yubico. Naquela época (como agora), o suporte da Apple ao NFC não se estendia às chaves de segurança na maioria dos contextos. Descobri que havia mais contextos em que o 5Ci funcionava no iOS do que quando eu testava chaves NFC em iPhones, mas o suporte relativamente pequeno é um pouco frustrante.

Para testar o suporte ao FIDO2 / WebAuthn, abri o Twitter no navegador Brave, que Yubico sugeriu que eu usasse porque ele suporta autenticação baseada em navegador. Entrei como de costume, naveguei para o painel Configurações e inscrevi o YubiKey 5Ci. Na próxima vez que eu entrei, o Twitter me pediu para inserir minha chave e toque nela. Eu cumpri e rapidamente criei o aplicativo Web.

Infelizmente, não consegui fazer login no Twitter com o Safari ou o aplicativo do Twitter para iOS. Também não consegui inscrever o Yubikey 5Ci na minha conta do Google no Brave, Safari ou mesmo no Chrome.

O YubiKey 5Ci também suporta senhas de uso único (OTP). Nesta configuração, você conecta a chave e toca nos nós de metal, e um código único e longo é emitido. Aqui está um: ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb. Alguns serviços, como o LastPass, usam esse recurso em vez do FIDO2 / WebAuthn. A vantagem é que a tecla é lida como um teclado, por isso é muito simples e não requer suporte adicional do navegador.

Para testar os OTPs, primeiro tive que registrar a chave em uma conta LastPass. Não consegui fazer isso em um iPad ou iPhone. No caso de navegadores, não tive a opção de usar métodos alternativos e os navegadores não podiam usar o NFC para ler meu NFC do YubiKey 5. O aplicativo LastPass leu minha chave NFC, mas o aplicativo não inclui opções para editar suas chaves de hardware registradas. No final, tive que encontrar um laptop com portas USB-C para registrar o 5Ci. Depois disso, o login no LastPass pelo aplicativo ou pelo aplicativo LastPass ou pelo navegador Brave foi muito fácil. Digitei meu nome de usuário e senha como de costume e fui solicitado a inserir minha chave e toque nos nós de metal da chave. Um segundo depois, eu estava logado.

Esses foram apenas alguns dos serviços com os quais o YubiKey pode trabalhar, e o Yubico mantém uma lista bastante abrangente de sites e serviços que aceitam OTPs FIDO2 / WebAuthn ou YubiKey. Um representante da empresa mencionou 1Password, Bitwarden, Idaptive e Okta como aplicativos iOS específicos que já oferecem suporte ao uso das teclas YubiKeys.

O YubiKey 5Ci possui todos os outros tipos de truques, mas todos exigem um computador em algum momento. Por exemplo, você pode personalizar vários aspectos da sua chave, como cuspir uma senha predefinida ao pressionar os nós de metal por um longo tempo. Ele também pode ser configurado para funcionar como um cartão inteligente e pode cuspir códigos de acesso com tempo limitado (TOTPs), exatamente como o Google Authenticator, com a ajuda de um aplicativo autenticador de desktop. Um representante da Yubico confirmou para mim que, exceto pela comunicação NFC, o YubiKey 5Ci pode fazer qualquer coisa que o YubiKey 5 NFC possa fazer.

O YubiKey 5Ci vs. a competição

Existem muitos concorrentes de autenticadores de hardware por aí, entre os quais o Google. Por US $ 50, a empresa enviará uma chave de segurança do Google Titan USB-A que usa FIDO2 / WebAuthn e um dongle Bluetooth recarregável. É um bom conjunto, mas sempre fui cético ao usar o Bluetooth para dispositivos de segurança.

Se você possui um dispositivo móvel com Android 7.0 ou posterior, também pode usá-lo como um autenticador de hardware para contas do Google. Isso tem a vantagem de ser totalmente gratuito e de usar o hardware existente que você já possui, mas atualmente seu escopo é limitado. Ele também conta com baterias e rádios para funcionar, ao contrário de todos os dispositivos YubiKey.

Se a marca do Google não é sua opção, você pode ir diretamente para a Feitian, a empresa que o Google colocou na lista branca para as chaves do Titan. Esses dispositivos vêm em vários tamanhos, configurações e preços. A única desvantagem é o potencial improvável de ataques à cadeia de suprimentos, pois o Feitian está localizado na China. A Yubico é sempre rápida em apontar que fabrica suas chaves nos EUA e na Suécia.

Alguns podem preferir uma alternativa de código aberto, como o NitroKey FIDO U2F. Este dispositivo alemão custa € 22, 00 e usa hardware e software de código aberto. O benefício do hardware de código aberto é que sua segurança pode ser verificada independentemente por terceiros. Achei o NitroKey capaz, mas desajeitado. Enquanto outras chaves de segurança são finas como, bem, chaves, o NitroKey é robusto e usa um conector USB-A em tamanho normal. Perguntei a um representante da Yubico sobre o uso de componentes de código aberto e eles responderam que os melhores chips de elemento seguro disponíveis simplesmente não são de código aberto.

Uma coisa a ter em mente é que o 2FA não requer uma chave de hardware. O Google Authenticator, o Duo Mobile e outros serviços oferecem 2FA gratuitamente por meio de aplicativos. O Google e a Apple protegem contas em seus serviços com a opção de autenticar em outro dispositivo confiável. A vantagem das chaves de hardware é que elas funcionam sem energia ou serviço de célula, mas se você acha que usar uma chave física é muito trabalhoso, recomendo simplesmente o uso de qualquer método 2FA que faça mais sentido para você.

Demais e antes da hora

Minhas únicas reclamações reais com o YubiKey 5Ci são o preço e o plugue USB-C (que pode melhorar com o tempo). O verdadeiro problema é o suporte a dispositivos iOS que, embora melhorem, ainda são limitados. Isso realmente não é culpa do Yubico, mas é frustrante porque o USB-C YubiKey custa US $ 20 a menos. Eu adoraria se a Apple e outros desenvolvedores começassem a trabalhar seriamente na expansão do suporte a todos os tipos de chaves de hardware. Quando isso acontecer, o YubiKey 5Ci realmente brilhará. Até então, o selo do Editors 'Choice continua sendo a Chave de Segurança da Yubico, que custa apenas US $ 20 e funcionará em qualquer lugar em que você conectar um plugue USB-A.