Yubico yubikey 5ci recension och betyg

Yubicos YubiKey-linje har varit ett val att välja för enkel, tvåfaktors autentisering i maskinvara i flera år. Den sista gränsen för Yubico har varit iPhone, som den äntligen adresserar med YubiKey 5Ci. Denna lilla dubbla enhet har en USB-C-kontakt i ena änden och en Apple-kompatibel Lightning-kontakt på den andra. Denna hydra av en hårdvaruknapp fungerar exakt som den borde och är fullpackad med funktioner som tävlingen inte kan matcha, men hindras av begränsat stöd på iOS och ett relativt högt pris.

Vad är tvåfaktorsautentisering

I praktiken använder tvåfaktorautentisering (2FA) två saker för att logga in på en webbplats eller tjänst, men det är inte där namnet kommer från. I stället hänvisar det till en teori om autentisering där du bevisar att du bör ha tillgång till:

Något du vet.

Något du är.

Eller något du har.

Något du vet är som ett lösenord, som människor är fruktansvärda för och vi borde verkligen låta lösenordschefer ta hand om. Något du är är som biometriska data, till exempel att använda ditt fingeravtryck för att låsa upp en telefon. Något du har kan vara en maskinvarugentifierare, till exempel en YubiKey. 2FA är där du använder två autentiserare från listan istället för bara en, eftersom det inte är troligt att en angripare har två av de tre. Det är ett oerhört effektivt sätt att säkra inloggningar. Så mycket att efter att Google krävde användning av 2FA hårdvaruknappar internt sjönk framgångsrika phishingattacker till noll.

Det finns många sätt att göra 2FA. Att ta emot engångslösenord via SMS är förmodligen det som folk är mest bekanta med, även om detta är på väg ut på grund av säkerhetsproblem. Yubico har spetsen för skapandet av FIDO2-protokollet och WebAuthn-standarden, som använder kryptografi för offentlig nyckel för säker autentisering. Den W3C-certifierade WebAuthn-standarden har tagit denna autentiseringsstil till fler och fler webbläsare och tjänster under de senaste åren och kan vara framtiden för hur vi verifierar. Microsoft har till exempel experimenterat med att använda WebAuthn-enheter som YubiKeys för helt lösenordsfri autentisering.

Gjord för mobil

Familjen YubiKey har vuxit väsentligt och har sju olika nycklar i olika storlekar och en övervägande av pluggar och protokoll. USB-A Yubico Security Key stöder endast FIDO2 / WebAuthn och kostar $ 20, medan USB-A Security Key NFC lägger till trådlöst stöd för $ 27.

Bild via Yubico.

YubiKey 5-serien, bilden ovan, täcker flera enheter. Från vänster kostar USB-A YubiKey 5 NFC $ 45 och är kanske den mest kapabla för alla enheter. USB-C YubiKey 5C kostar $ 50 och liknar närmast 5Ci i sin tunna, knubbiga design. 5 Nano och 5C Nano kostar $ 50 respektive $ 60 och är utformade för att bo i dina hamnar semi-permanent. På $ 70 är YubiKey 5Ci den dyraste nyckeln i familjen.

Jämfört med USB-A YubiKey-designen är 5Ci liten. Den är 12 mm x 40, 3 mm och bara 5 mm tjock. Det är drygt hälften av bredden på en USB-A-nyckel och något kortare. Den är gjuten i hållbar, svart plast med ett metallförstärkt centrumhål för att fästa det på din nyckelring. 5Ci är dock tjockare än YubiKey 5 NFC. Den extra omkretsen i kombination med dess centrala hål gör det lite udda passande för en nyckelring, men det fungerar. Det är fjäderlätt på bara 3 gram, men känns fortfarande välbyggt.

Nära mitten av enheten finns två upphöjda metallnoder. När du ansluter 5Ci klickar du på dessa noder när du uppmanas att slutföra verifieringen. Liksom alla YubiKey-enheter har 5Ci inget internt batteri och drar all sin kraft från den enhet som den är ansluten till. YubiKey 5Ci stöder inte NFC, medan Yubico Security Key NFC och YubiKey 5 NFC gör det.

YubiKey 5Ci har en unik design med dubbla ändar. Den ena sidan har ett USB-C-kontakt, och den andra har en Apple Lightning-kontakt som du har sett på iPhone- och iPad-laddare i flera år. Ironiskt nog är mitt största klagomål om 5Ci dess anslutningar. För en sak hade jag svårt att hitta en dator med en USB-C-port för att testa de olika funktionerna i 5Ci. Det är också mycket lättare att registrera nyckeln från en dator än från en mobil enhet. Om du använder ny maskinvara är det förmodligen inte ett problem att hitta en USB-C-port, men om du är som jag och använder datorer tills de bokstavligen faller isär kan du behöva en adapter.

För en annan var USB-C-änden på enheten inte bra i Nokia 6.1 eller Asus UX360c ZenBook Flip som jag använde vid testning. Jag var tvungen att verkligen pressa för att få in 5Ci, och varje gång jag trodde att jag skulle bryta något. Det fanns också några få fall där det verkade som om enheten inte satt ordentligt, eftersom den inte anslöt. Detta var inte någon avtalsbrytare, och efter några tryck och drag börjar kontakten att känns som en bättre passform. Det kanske bara behöver brytas in.

Lightning-kontakten, å andra sidan, fungerade anmärkningsvärt bra. Den gick in smidigt och klipptes in ordentligt. Det var grundligt Apple-liknande, och jag har inga klagomål. Yubico påpekade att USB-C-anslutningen på 5Ci inte fungerar i iPad-modeller som har USB-C-portar.

Bild via Yubico.

Hands On With YubiKey 5Ci

Innan du kan använda 5Ci eller någon annan hårdvaruutifierare måste du registrera den med varje tjänst. Problemet är att inte alla webbläsare eller applikationer stöder hårdvaruutifieringsnycklar. Jag stötte på det här problemet första gången när jag testade Yubicos säkerhetsnyckel NFC. Då (som nu) omfattade Apples stöd för NFC inte säkerhetsnycklar i de flesta sammanhang. Jag fann att det fanns fler sammanhang där 5Ci fungerade på iOS än när jag testade NFC-nycklar på iPhones, men det relativt lilla stödet är lite frustrerande.

För att testa FIDO2 / WebAuthn-supporten öppnade jag Twitter i den modiga webbläsaren, som Yubico föreslog att jag skulle använda eftersom det stöder webbläsarbaserad autentisering. Jag loggade in som vanligt, navigerade till Inställningsfönstret och registrerade YubiKey 5Ci. Nästa gång jag loggade in, uppmanade Twitter mig att ange min nyckel och knacka på den. Jag följde och tog snabbt upp webbappen.

Tyvärr kunde jag inte logga in på Twitter med varken Safari eller Twitter iOS-appen. Jag kunde inte heller registrera Yubikey 5Ci med mitt Google-konto i Brave, Safari eller till och med Chrome.

YubiKey 5Ci stöder också engångslösenord (OTP). I den här konfigurationen ansluter du nyckeln och knackar på metallnoderna, och en lång, unik kod spytas ut. Här är en: ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb. Några tjänster, som LastPass, använder den här funktionen i stället för FIDO2 / WebAuthn. Fördelen är att tangenten läses som ett tangentbord, så det är väldigt enkelt och kräver inget extra stöd från webbläsaren.

För att testa OTP måste jag först registrera nyckeln med ett LastPass-konto. Jag kunde inte göra det på en iPad eller iPhone. När det gäller webbläsare fick jag inte alternativet att använda alternativa metoder och webbläsarna kunde inte använda NFC för att läsa min YubiKey 5 NFC. LastPass-appen läste min NFC-nyckel, men appen innehåller inte alternativ för att redigera dina inskrivna hårdvaruknappar. Till slut var jag tvungen att hitta en bärbar dator med USB-C-portar för att registrera 5Ci. När jag gjorde det, var det snabbt att logga in på LastPass via appen eller via LastPass-appen eller den modiga webbläsaren. Jag skrev in mitt användarnamn och lösenord som vanligt och uppmanades sedan att sätta in min nyckel och knacka sedan på metallnoderna på tangenten. En sekund senare var jag inloggad.

Detta var bara några av de tjänster som YubiKey kan arbeta med, och Yubico har en ganska omfattande lista över webbplatser och tjänster som antingen accepterar FIDO2 / WebAuthn eller YubiKey OTP. En företagsrepresentant nämnde 1Password, Bitwarden, Idaptive och Okta som specifika iOS-appar som redan stöder användningen av YubiKeys.

YubiKey 5Ci har alla andra sätt att göra, men de kräver alla en dator vid någon tidpunkt. Du kan till exempel anpassa olika aspekter av din nyckel, till exempel att låta den lämna ut ett förinställt lösenord när du trycker länge på metallnoderna. Det kan också konfigureras så att det fungerar som ett smartkort och kan spjuta ut tidsbegränsade lösenord (TOTP), precis som Google Authenticator med hjälp av en skrivbordsautentiseringsapplikation. En Yubico-representant bekräftade för mig att YubiKey 5Ci kan göra vad YubiKey 5 NFC kan göra förutom NFC-kommunikation.

YubiKey 5Ci mot tävlingen

Det finns en mängd hårdvara-autentiserande konkurrenter där ute, inte minst Google. För $ 50 kommer företaget att skicka en USB-A Google Titan-säkerhetsnyckel som använder FIDO2 / WebAuthn och en laddningsbar Bluetooth-dongel. Det är en bra uppsättning, men jag har alltid varit skeptisk till att använda Bluetooth för säkerhetsenheter.

Om du äger en mobil enhet som kör Android 7.0 eller senare kan du också använda den som en maskinvarugentifierare för Google-konton. Detta har fördelen att vara helt gratis och använda befintlig hårdvara som du redan äger, men den är för närvarande begränsad i omfattning. Det är också beroende av att batterier och radioapparater fungerar, till skillnad från alla YubiKey-enheter.

Om Googles varumärke inte är din sak kan du gå direkt till Feitian, företaget som Google märkte för Titan-nycklarna. Dessa enheter finns i många storlekar, konfigurationer och priser. Den enda nackdelen är den osannolika potentialen för supply chain attacker, eftersom Feitian är beläget i Kina. Yubico är alltid snabb att påpeka att den tillverkar sina nycklar i USA och Sverige.

Vissa kanske föredrar ett alternativ med öppen källkod, till exempel NitroKey FIDO U2F. Denna tyska enhet har € 22, 00 och använder open source-hårdvara och programvara. Fördelen med open source-hårdvara är att dess säkerhet kan verifieras oberoende av tredje part. Jag tyckte att NitroKey var kapabel, men klumpig. Medan andra säkerhetsnycklar är tunna som, ja, nycklar, är NitroKey chunky och använder ett USB-A-kontakt i full storlek. Jag frågade en representant för Yubico om att använda komponenter med öppen källkod, och de svarade att de bästa säkra elementchipsna helt enkelt inte är öppna.

En sak att tänka på är att 2FA inte kräver en hårdvarukälla. Google Authenticator, Duo Mobile och andra tjänster erbjuder 2FA gratis via appar. Google och Apple säkrar konton på sina tjänster med möjlighet att verifiera från en annan betrodd enhet. Fördelen med hårdvaruknappar är att de fungerar utan ström eller celltjänst, men om du tycker att det är för mycket besvär att använda en fysisk nyckel, rekommenderar jag att helt enkelt använda 2FA-metoden är det bästa för dig.

För mycket, för snart

Mina enda riktiga klagomål med själva YubiKey 5Ci är dess pris och dess klibbiga USB-C-kontakt (som kan förbättras med tiden). Det verkliga problemet är stöd på iOS-enheter som, trots att de förbättras, fortfarande är begränsade. Det är egentligen inte Yubicos fel, men det är frustrerande eftersom USB-C YubiKey kostar 20 dollar mindre. Jag skulle älska det om Apple och andra utvecklare började arbeta på allvar med att utöka supporten för alla typer av hårdvaruknappar. När detta händer kommer YubiKey 5Ci verkligen att lysa. Fram till dess förblir vårt Editors 'Choice-märke Säkerhetsnyckeln från Yubico, som kostar bara $ 20 och fungerar nästan var du än sätter en USB-A-kontakt.