Nitrokey fido u2f granskning och betyg

De många databrytningarna under de senaste åren har gjort en sak extremt tydlig: Lösenord fungerar inte. Ange USB-säkerhetsnyckeln Nitrokey Fido U2F USB. Nitrokey gör det mycket svårare för de dåliga killarna att bryta sig in på ditt konto genom att lägga till ett andra autentiseringssteg till populära tjänster som Google, Twitter, Facebook och mer. Det som gör Nitrokey unik är att den är helt öppen källkod, från hårdvara till mjukvara. Det är en smalare dyrare än jämförbara produkter, men för alla som kräver open source hårdvara och mjukvara är Nitrokey oändlig.

Hur tvåfaktorsautentisering fungerar

Medan tvåfaktorautentisering (eller 2FA) generellt anses lägga till ett andra steg efter att du har angett ditt lösenord, är det inte den faktiska definitionen av termen. Snarare betyder 2FA att ta två autentiseringsmedel från en lista över möjliga tre:

• Något du vet,
• Något du har, och
• Något du är.

Ett lösenord i ditt huvud (eller ännu bättre, i ett lösenordshanterare), är något du vet . En hårdvaruknapp eller autentiseringsapp är något du har och ett fingeravtryck eller annan biometrisk är något du är . Vi har fastnat med lösenord för tillfället, så det är därför 2FA: s de facto- betydelse lägger till en av de andra två till ett lösenord. Det fungerar eftersom även om ditt lösenord kan phishing eller exponeras i ett dataöverträdelse, de andra två är mycket svåra att få eller förfalskas.

Det finns många sätt att lägga till 2FA, men hårdvarusäkerhetsnycklar som Nitrokey Fido U2F har definitiva fördelar. Till skillnad från engångskoder som skickas via SMS kan de inte fångas upp. Till skillnad från koder som genereras av en app kan de inte phishing. Google bevisade detta när företaget rullade ut säkerhetsnycklar till alla 85 000 av sina anställda och såg att framgångsrika phishing-attacker sjönk till noll. Som sagt, om du använder en säkerhetsnyckel låter som för mycket krångel, bör du aktivera 2FA på något sätt som är vettigt för dig.

Händer på med Nitrokey Fido U2F

Nitrokey är ett tyskt företag som säljer en mängd olika USB-stick-säkerhetsenheter. De flesta av dessa enheter är centrerade kring säker lagring och kryptering. De kan lagra e-post- och diskkrypteringsnycklar och några få till och med med säker säker lagring ombord. Nitrokey Fido U2F är den mest prisvärda av gruppen till 22 euro (det är ungefär $ 25, beroende på växelkurs), och det är den enda som endast ägnas åt 2FA.

Fido U2F-modellen fungerar som en andra autentiserare för många populära webbplatser, inklusive Google, Facebook, Twitter och så vidare. Det är en smal, svart USB-enhet med en strukturerad plastfinish, som ser ganska ut som en gammal flashminnesenhet. Den är liten, 48 x 19 x 7 mm och ganska lätt och väger bara 5 g. Den ena änden är klippt för att rymma en nyckelring, och USB 1.1-A-kontakten i den andra änden är skyddad av ett avtagbart skal som du definitivt kommer att förlora inom en vecka. Förutom locket har den inga rörliga delar, vilket gör det motståndskraftigt (men inte ogenomträngligt) mot vatten och krossning.

Den större USB-anslutningen är lite av en outlier; YubiKey-linjen och Google Titan-tangenterna är helt platt. Nitrokey säger att deras användning av det större USB-anslutningen säkerställer kompatibilitet med fler enheter och är mer hållbart, men jag tror att jag föredrar den smickrare stilen om ingen annan anledning sedan tillåter en mindre enhet. Nitrokey är ganska skrymmande jämfört med andra säkerhetsnycklar, som är skiva tunna och fjäderlätt. Som sagt, det är mindre troligt att Nitrokey får mycket uppmärksamhet med sitt helt intetsägande utseende.

Att para Nitrokey Fido U2F med en webbplats är en enkel affär. Navigera bara till inloggningsalternativen för en webbplats som stöds, sätt in Nitrokey när du uppmanas och tryck på fingerikonen på fodralet när en intern vit LED lyser. Detta kastade mig inledningsvis, eftersom jag är mer van vid den guldskiva som Yubico och Google använde i deras säkerhetsnycklar, även om Nitrokey fungerade lika bra.

När enheten har parats ihop blir du ombedd att infoga och knacka på din Nitrokey Fido U2F när du loggar in på webbplatsen. För att undvika att låsas från en anmäld webbplats, rekommenderar jag starkt att du aktiverar ett annat 2FA-alternativ, till exempel säkerhetskopior som kan skrivas ut och lagras någonstans säkert, eller registrera en andra säkerhetsnyckel.

Eftersom Nitrokey Fido U2F inte stöder någon trådlös kommunikation kan du inte använda den för att verifiera en mobil enhet. Du kan kanske dra bort den med en funky USB-adapter, men jag testade inte det här udda scenariot. Istället måste du använda en annan 2FA-metod, till exempel en autentiseringsapp, för dessa situationer. Yubico Security Key NFC är bara två dollar mer, stöder också Fido U2F, men inkluderar NFC, så du kan smacka den mot din telefon för att verifiera.

Säkerhet utan oklarhet

När något är öppen källkod är det helt tillgängligt för inspektion och till och med förändringar. Det betyder också ofta att det är ett volontärprojekt och kan vara tillgängligt gratis. Det är i motsats till så kallade "säkerhet genom oklarhet" där kritiska aspekter av en produkt är dolda i namnet för att skydda hemligheter. Tanken är att det att vara transparent hjälper till att göra bättre, mer motståndskraftiga produkter.

Nitrokey är helt byggt kring öppen källkodsidé. Företaget sammanfattar sin strategi och vad det anser är fördelarna på detta sätt:

"Både hårdvara och firmware, verktyg och bibliotek är öppen källkod och fri programvara, vilket möjliggör oberoende säkerhetsrevisioner. Flexibelt anpassningsbart, ingen leverantörsinlåsning, ingen säkerhet genom oklarhet, inga dolda säkerhetsbrister."

Att använda open source-verktyg är också ett etiskt uttalande för både företag och konsumenter. Om du är den person som verkligen, verkligen tror på öppen information, kommer du förmodligen att uppskatta Nitrokeys inställning. Öppen källkodshårdvara är också en relativt sällsynt sak att se, och hjälper till att spräcka rädsla för att underrättelsebyråer släpper bakdörrar i chips på fabriken.

Det är inte att säga att att vara öppen källkod är en magisk kula mot säkerhetsbrister eller attacker. Heartbleed orsakades av ett fel som omedvetet lagts till den öppna källkodsprogrammet OpenSSL. Som sagt är det troligt att om OpenSSL inte var öppen källkod, kunde felet aldrig ha hittats.

Nitrokey kontra vänner och fiender

Nitrokey Fido U2F är en av cirka ett halvt dussin Nitrokey-enheter för närvarande till salu. Liksom Yubicos Yubikey 5-linje finns det en mängd olika konfigurationer att välja mellan. Till skillnad från Yubico gör Nitrokey-linjen mycket mer än bara autentisering. Nitrokey Storage 2, den mest robusta och dyra av erbjudandena, stöder S / MIME-e-post och diskkryptering, OpenPGP / GnuPG-e-postkryptering, One Time Passwords (OTP) och krypterad ombordlagring. Det lagrar till och med upp till 16 lösenord i en anpassad lösenordshanterare. Det kostar 109EU eller ungefär 124 $.

Det är mycket alfabetssoppa, och om du inte fångar allt är det troligtvis inte produkten för dig. OTP-stöd är anmärkningsvärt eftersom det här är det enda hårdvaru-2FA-alternativet som stöds av LastPass.

Nitrokey Pro 2 kastar ombordlagring och kostar endast 49 euro eller cirka 56 dollar. Unikt kan den (eller dess omväxlade kusin Purism Librem Key) användas för att kontrollera giltigheten av firmism och hårdvara för Purism-bärbara datorer. Det betyder att de kan upptäcka om någon har försökt att manipulera med din Purism-bärbara dator. Det är en fascinerande funktion, men bara intressant för den typ av person som i första hand skulle köpa en öppen källkods purismbärbar dator.

Konstigt nog är Nitrokey Fido U2F som granskas här den enda Fido U2F-kompatibla autentiseraren från Nitrokey. Om du köper en billigare och mer kapabel Nitrokey, kommer du inte att kunna använda denna allmänt antagna standard.

Yubico, å andra sidan, inkluderar både Fido U2F och den nyare, mer framtidssäkra Fido2 i alla sina YubiKey 5-enheter, tillsammans med OTP, OATH (HOTP och TOTP), OpenPGP och smartcard-stöd. Två YubiKey 5-enheter stöder också USB-C. Dess två lägsta priser, säkerhetsnyckeln och säkerhetsnyckeln NFC, stöder endast Fido2 och Fido U2F. Den senare av dessa kostar lite mer än Nitrokey Fido U2F till 27 $, men den inkluderar trådlös NFC-kommunikation, vilket Nitrokey inte gör. Säkerhetsnyckeln är för sin del bara $ 20, vilket placerar den väl inom impulsköpsområdet.

Googles paket Titan är $ 50 och landar någonstans däremellan. Detta inkluderar två enheter - en USB-A-nyckel och en batteridriven Bluetooth-dongel - som båda stöder Fido U2F. Att inkludera en andra enhet gör det definitivt till ett lockande paket, men jag är fortfarande skeptisk till användbarheten i den batteridrivna dongeln.

Kompromisslös säkerhet

Nitrokey Fido U2F är inte smalare, smalare eller billigare än tävlingen, men dess engagemang för öppen källkodshårdvara och programvara är en viktig differentierare för vissa. Liksom mycket öppen källkodshårdvara är den klunkigare men potentiellt bättre. Vi föredrar fortfarande våra Editors 'Choice, Security Key av Yubico, som är något billigare och mycket smalare än Nitrokey. Men om du bara doppar din tå i 2FA-hårdvara, och särskilt om du är en evangelist med öppen källkod, är Nitrokey Fido U2F ett bra val.