Innehållsförteckning:
- Hur tvåfaktorsautentisering fungerar
- De många smakerna från YubiKey
- Hands On With YubiKey 5 NFC
- YubiKeys mot Google Titan Security Key
- YubiKey till framgång?
Video: Yubico YubiKey 5 NFC Security Key (Oktober 2024)
Lösenord har varit den svaga punkten i säkerheten sedan de först introducerades. Tack och lov är Yubico YubiKey 5 NFC här för att skydda våra viktigaste konton och mycket mer förutom. Den femte generationen av YubiKey stöder FIDO U2F för en säker andrafaktorautentisering och använder NFC för att arbeta med din telefon. Men det är bara början på vad denna anmärkningsvärt kraftfulla och anmärkningsvärt små enhet kan göra. Om du bara letar efter ett enkelt U2F-alternativ för hårdvara är YubiKey 5 NFC troligen överdrivet - tänk på den billigare säkerhetsnyckeln från Yubico eller Google Titan Security Keys istället. Men om du redan är full av säkerhetsvinnighet kommer du att älska vad 5 NFC har att erbjuda.
Hur tvåfaktorsautentisering fungerar
Det finns mycket att göra med en hårdvarusäkerhetsnyckel som YubiKey, men dess huvudroll är som en andra faktorn för autentisering. I praktiken betyder tvåfaktorautentisering (2FA) att du måste göra en andra sak efter att du har angett ditt lösenord för att bevisa att det är du. Men teorin bakom 2FA kombinerar två olika autentiseringssystem från en lista med tre:
- Något du vet,
- Något du har, eller
- Något du är.
Till exempel: ett lösenord är något du vet och det bör bara existera i ditt huvud (eller inuti ett lösenordshanterare). Biometri - grejer med fingeravtrycksskanningar, näthinneskanningar, hjärtans signaturer och så vidare - räknar som något du är . Yubico YubiKeys och deras egendom är något du har .
Denna översyn tittar främst på hårdvara 2FA, men det finns många sätt att lägga till en andra faktor. Många webbplatser skickar dig koder via SMS för att verifiera din identitet. Appar som Duo och Authy förlitar sig på push-meddelanden som (i teorin) är svårare att fånga än SMS-meddelanden.
Oavsett om du går med en hårdvaru- eller mjukvarulösning eller en blandning av båda, lägg till 2FA var du än kan. När Google distribuerade 2FA-nycklar internt såg det att framgångsrika kontoövertaganden sjönk till noll. Det är så bra.
De många smakerna från YubiKey
Yubico har alltid erbjudit flera storlekar och varianter av sina säkerhetsnycklar för att passa nästan alla behov. Det här är fantastiskt eftersom konsumenter och IT-proffs kan få exakt vad de behöver till olika priser. Nackdelen är att bläddra i Yubico-butiken är en ofta överväldigande upplevelse. Jag ska göra mitt bästa för att koka ner grunderna.
Det finns fyra smaker av YubiKey 5-serienheter, inklusive $ 45 YubiKey 5 NFC som granskas här, liksom tre andra formfaktorer: $ 50 YubiKey 5 Nano, $ 50 YubiKey 5C och $ 60 YubiKey 5C Nano. 5 NFC är den enda YubiKey som erbjuder trådlös kommunikation, men dessutom är den enda skillnaden mellan dessa enheter storlek, pris och USB-kontakt.
De två Nano-enheterna är de mest minskande enheterna i gruppen och ligger i dina USB-A- eller USB-C-kortplatser, lätt inom räckhåll om du behöver dem ofta. YubiKey 5C använder ett USB-C-kontakt, är något mindre än 5 NFC och kan hänga på din nyckelring längs 5 NFC; det saknar trådlös kommunikation. Du kan dock ansluta antingen YubiKey 5C eller 5C Nano direkt till din Android-enhet.
Det som skiljer YubiKey 5-serien från tävlingen är inte bara olika formfaktorer. Dessa enheter är verkliga schweiziska arméknivar för digital säkerhet. Var och en kan fungera som ett smartkort (PIV), kan generera engångslösenord, stödja både OATH-TOTP och OATH-HOTP och kan användas för autentisering av utmaningssvar. Alla fyra enheterna stöder tre kryptografiska algoritmer: RSA 4096, ECC p256 och ECC p384. Dessa enheter kan passa så många olika roller, ofta samtidigt - förutsatt att du vet vad du gör.
Medan YubiKey 5 NFC är i fokus för denna recension, har jag testat YubiKey 4-serienheter tidigare, och dessa är fysiskt identiska med USB-C- och Nano-variationerna i YubiKey 5-serien. Alla är välgjorda, klädda i svart plast som döljer slitage och utrustade med dolda gröna lysdioder så att du vet att de är anslutna och fungerar. USB-A-enheterna har antingen en guldremsa eller -skiva som du trycker på, beroende på enhetens storlek. USB-C-enheterna har under tiden två små metallflikar som du trycker på för att verifiera. USB-A Nano-enheten är svårare att ta bort från ett fack än USB-C Nano-enheten, men USB-A Nano YubiKey har ett litet hål, så det kan hängas i en sträng eller sladd, medan USB-C Nano gör inte.
Vilken YubiKey-enhet du köper beror till stor del på vilket sammanhang du planerar att använda den. Nano-enheterna är användbara om du planerar att använda dem med en betrodd dator, och du vet att du måste komma åt YubiKey ofta. Knapparna i full storlek är bättre för att hänga på en nyckelring och hålla sig nära till hands.
Hands On With YubiKey 5 NFC
För att hjälpa dig komma igång har Yubico skapat en praktisk guide för nya användare. Välj bara den YubiKey-enhet du har, och webbplatsen visar en lista över alla platser och sammanhang du kan använda din YubiKey. Vissa av dessa länkar direkt till en sida eller tjänstens onboardingsida, medan andra ger instruktioner du måste följa själv.
Att ställa in YubiKey som en U2F-andra faktor är mycket enkelt. Följ webbplatsens eller tjänstens anvisningar och sätt sedan in YubiKey i rätt plats när du uppmanas. Klicka bara på guldskivan (eller metallflikar, beroende på modell), och tjänsten registrerar din nyckel. Nästa gång du går in för att logga in anger du ditt lösenord och du får en uppmaning att sätta in din nyckel och knacka på. Det är allt!
Dashlane, Google och Twitter är några av de många webbplatserna som stöder U2F och accepterar YubiKey 5-serienheter. I min testning registrerade jag det som en andra faktor för ett Google-konto. När jag loggade in på en stationär dator skrev jag in mina inloggningsuppgifter och sedan bad Google mig att infoga och knacka på min säkerhetsnyckel. Det är inget problem, även om jag behövde använda Chrome-webbläsaren för att logga in.
På min Android-enhet är processen lika enkel. När jag loggade in tester angav jag mina referenser och sedan bad min telefon mig att använda min säkerhetsnyckel. Jag valde NFC från en meny längst ner och slog sedan 5 NFC mot baksidan av min telefon. Det tog ganska många försök, men så småningom surrade telefonen ett bekräftande och jag var inloggad.
YubiKey 5-serien kan autentisera dig på ett antal sätt, inte bara via U2F. Med till exempel LastPass registrerar du YubiKey för att generera engångslösenord (specifikt HMAC-baserade engångslösenord, men jag använder OTP för korthet) med ett tryck. Detta skiljer sig från U2F men i praktiken känns det mycket likt. Logga in på LastPass, navigera till rätt del av menyn Inställningar, klicka på textfältet och tryck på YubiKey. En rad bokstäver sprutas ut, och det är det! Nu när du vill logga in på LastPass blir du ombedd att ansluta din YubiKey så att den spottar ut fler OTP: er.
De flesta av er känner förmodligen Google Authenticator, en app som genererar sexsiffriga lösenord var 30: e sekund. Denna teknik kallas mer generellt tidsbaserade engångslösenord (TOTP) och det är en av de vanligaste formerna för 2FA som används idag. Tillsammans med en medföljande stationär eller mobilapp sätter Yubico ett intressant snurr på TOTP-systemet.
Anslut din YubiKey, slå av Yubico Authenticator-appen och navigera sedan till en webbplats som stöder Google Authenticator eller en liknande tjänst. För att säkra ett Google-konto klickade jag till exempel på alternativet för att registrera en ny telefon med autentiseringsappen. En QR-kod visas vanligtvis vid denna punkt, och webbplatsen uppmanar dig att skanna den med lämplig autentiseringsapp. Istället valde jag ett menyalternativ i Yubico Authenticator desktop-appen och det fångar QR-koden från min skärm. Efter några fler klick började appen ge unika sexsiffriga koder var 30: e sekund.
Tricket är att Yubico-appen inte kan generera TOTP utan YubiKey. Istället för att lagra de referenser som krävs för att skapa dessa koder på din dator, lagrar Yubico Authenticator dessa data direkt på din YubiKey. Dra ut den, och Authenticator-appen kan inte skapa nya TOTP: er. Det är praktiskt om du är orolig för att någon stjäl enheten du använder för att generera dina TOTP: er. Du kan också låsa din YubiKey med ett lösenord, så även om det stulits från dig kan det inte användas för att generera TOTP: er.
Yubico erbjuder också en TOTP-genererande Android-app som fungerar med YubiKey 5 NFC för att ta dina TOTP på vägen. När du öppnar appen är den tom, men smäll din 5 NFC mot baksidan och den börjar generera koder. Stäng appen så koderna försvinner. måste du trycka på 5 NFC igen. Det är mindre bekvämt än att lagra informationen i själva appen, men mycket säkrare.
Det var de scenarier jag tittade på, men YubiKey 5-serien kan göra mycket mer. Du kan använda det som ett smartkort för att logga in på min stationära dator. Du kan använda den logga in på SSH-servrar. Du kan till och med skapa en PGP-nyckel och sedan använda YubiKey för att signera eller verifiera. Ärligt talat var det bara svårt att få huvudet lindat runt TOTP-tangenterna.
Även om Yubico har massor av dokumentation och tre separata stationära appar (och ytterligare tre mobilappar), är det väldigt svårt att använda alla aspekter av YubiKey utan en bra topp av befintlig kunskap. Yubico har distribuerat en webbplats som hjälper till att informera kunder om vad de kan använda sin nyckel till och för att vägleda dem mot nödvändig information. Den vägledningen är bra, men det är bara vägledning, inte handhållningen som vanligtvis tillhandahålls av tekniska produkter. Att använda din YubiKey för U2F är också mycket enkelt men att få ut det mesta av din YubiKey är inte lätt för en nybörjare - eller till och med en säkerhetsjournalist.
YubiKeys mot Google Titan Security Key
Yubico har en lösning för nästan alla situationer med YubiKey 5-serien, men kostnaden är en fråga. Varje enskild enhet prissätts mellan $ 40 och $ 60 för bara en YubiKey.
Googles Titan Security Key Bundle, å andra sidan, ger två enheter för $ 50: En USB-A-nyckel och en Bluetooth / Micro USB-nyckelfod. Det ger dig en reserv direkt från fladderträet. Å andra sidan har YubiKey bara mer säkerhetsbang för pengarna (förutsatt att du pusslar ut hur du använder allt). Båda Titan-enheterna kan använda NFC men från och med detta har stödet inte aktiverats på Android-enheter. Google levererar också en USB-C-adapter, så att du kan använda din Titan-nyckel med nästan vilken enhet som helst. Titan-tangenterna har dock endast stöd för FIDO U2F. Det fungerar för nästan varje webbplats eller tjänst, men de kan inte användas för TOTP: er, OTP: er, Smart Card-åtkomst och de andra protokollen som stöds av YubiKey 5 Series.
Prismedvetna läsare som främst letar efter bara en U2F-enhet föredrar förmodligen 20 $ Security Key av Yubico. Denna USB-A-nyckel har samma silhuett som YubiKey 5 NFC, men kan identifieras genom sin stiliga blå plasthölje, en tangentglyf på mittknappen och nummer två etsad på toppen. Som namnet antyder stöder den här enheten FIDO U2F och FIDO2, men det är det. Säkerhetsnyckeln stöder inte alla protokoll i YubiKey 5-serien, så du kan inte använda den med LastPass eller som ett smartkort och inte heller kan kommunicera trådlöst. Det kostar också mindre än hälften av Titan-paketet eller 5 NFC.
YubiKey till framgång?
YubiKey 5-serien är en anmärkningsvärd familj av enheter som fyller ett bländande antal nischer. Den mest grundläggande användningen är som en FIDO U2F-autentisator eller en OTP-generator, men den kan göra så mycket mer. Problemet som vi alltid har haft med YubiKeys, och Yubico totalt sett, är helt enkelt utmaningen att ta reda på vilken YubiKey att välja, bland de halvdussin som företaget för närvarande erbjuder. Att räkna ut vad du kan göra med det utöver U2F är dubbelt utmanande. Yubico-enheterna är utmärkta, och deras dokumentation förbättras, men de är definitivt designade med säkerhetsvinnar och IT-personal i åtanke.
Om du tittar över tvättlistan över funktioner som YubiKey kan skryta med och förstår dem, eller är åtminstone nyfiken på dem, så är detta enheten för dig. Du kommer inte bli besviken på denna robusta lilla enhet. Om du vet att du vill säkra bättre dina onlinekonton, men inte är säker på hur du ska göra det, har du förmodligen bättre med Google Titan Security Keys eller den mycket överkomliga säkerhetsnyckeln från Yubico.
YubiKeys är en etablerad och mogen teknik, men vi undersöker fortfarande detta utrymme. Som sådan ger vi YubiKey 5 NFC fyra stjärnor, men hämtar utmärkelsen Editors 'Choice tills vi har granskat fler alternativ.
