תוכן עניינים:
- איך עובד אימות דו גורמים
- הטעמים הרבים של יובי
- ממשיך עם ה- YubiKey 5 NFC
- YubiKeys מול מפתח האבטחה של גוגל טיטאן
- YubiKey להצלחה?
וִידֵאוֹ: Yubico YubiKey 5 NFC Security Key (נוֹבֶמבֶּר 2024)
סיסמאות היו נקודת התורפה של האבטחה מאז שהוצגו לראשונה. למרבה המזל, Yubico YubiKey 5 NFC נמצא כאן כדי להגן על החשבונות החשובים ביותר שלנו והרבה מעבר לכך. הדור החמישי של YubiKey תומך ב- FIDO U2F לאימות גורם שני מאובטח ומשתמש ב- NFC כדי לעבוד עם הטלפון שלך. אבל זו רק ההתחלה של מה שהמכשיר החזק והקטנטן להפליא הזה יכול לעשות. אם אתה רק מחפש אפשרות U2F פשוטה לחומרה, YubiKey 5 NFC הוא ככל הנראה יתר על המידה - שקול במקום זאת את מפתח האבטחה הזול יותר של Yubico או את מפתחות האבטחה של גוגל טיטאן. אבל אם אתה כבר ספוג במיומנות ביטחונית, תאהב את מה שיש ל- NFC 5 להציע.
איך עובד אימות דו גורמים
אמנם יש הרבה מה לעשות עם מפתח אבטחת חומרה כמו YubiKey, אך תפקידו העיקרי הוא כגורם שני לאימות. בפועל, אימות דו-גורמי (2FA) פירושו שעליך לעשות דבר שני לאחר הזנת הסיסמה שלך כדי להוכיח שאתה זה. אולם התיאוריה העומדת מאחורי 2FA משלבת שתי מערכות אימות שונות מרשימה של שלוש:
- משהו שאתה יודע,
- משהו שיש לך, או
- משהו שאתה.
לדוגמה: סיסמא, היא משהו שאתה יודע , והיא צריכה להתקיים רק בראש שלך (או בתוך מנהל סיסמאות). ביומטריה - סריקות טביעות אצבע של דבר, סריקות רשתית, חתימות לב וכדומה - נחשבות למשהו שאתה. Yubico YubiKeys ודומיהם הם משהו שיש לך.
סקירה זו בוחנת בעיקר חומרה 2FA, אך ישנן דרכים רבות להוסיף גורם שני. אתרים רבים ישלחו אליכם קודים באמצעות SMS כדי לאמת את זהותכם. אפליקציות כמו Duo ו- Authy מסתמכות על התראות דחיפה שקשה יותר ליירט אותן (להלכה) מאשר הודעות SMS.
בין אם אתה הולך עם פתרון חומרה או תוכנה או שילוב של שניהם, הוסף 2FA בכל מקום שאתה יכול. כשגוגל פרסה מפתחות של 2FA באופן פנימי, היא ראתה שההשתלטות המוצלחת על חשבונות יורדת לאפס. זה כל כך טוב.
הטעמים הרבים של יובי
יוביקו תמיד הציעה מספר גדלים וריאציות של מפתחות האבטחה שלה כך שיתאימו כמעט לכל צורך. זה נהדר, מכיוון שצרכנים ואנשי IT יכולים להשיג בדיוק את מה שהם צריכים במחירים מגוונים. החיסרון הוא שגלישה בחנות יוביקו היא חוויה מדהימה לעיתים קרובות. אני אעשה כמיטב יכולתי להרתיע את היסודות.
ישנם ארבעה טעמים של מכשירי YubiKey 5 סדרה, כולל YubiKey 5 NFC בסך 45 $ שנבדקו כאן, כמו גם שלושה גורמים נוספים בצורתם: YubiKey 5 Nano בסך 50 $, YubiKey 5C $ 50 ו- YubiKey 5C Nano בסך 60 דולר. ה- NFC 5 הוא YubiKey היחיד שמציע תקשורת אלחוטית, אך חוץ מזה ההבדל היחיד בין מכשירים אלה הוא גודל, מחיר ומחבר USB.
שני מכשירי הננו הם המכשירים המוזלים ביותר בקבוצה ונמצאים בתוך חריצי ה- USB-A או USB-C, בקלות בהישג יד אם אתם זקוקים להם לעיתים קרובות. ה- YubiKey 5C משתמש במחבר USB-C, קטן מעט יותר מ- 5 NFC ויכול לתלות על מחזיק המפתחות שלך לצד 5 NFC; חסר תקשורת אלחוטית. עם זאת, אתה יכול לחבר את YubiKey 5C או 5C Nano ישירות למכשיר ה- Android שלך.
מה שמבדיל את סדרת YubiKey 5 מהתחרות אינו רק מגוון גורמי הצורה. מכשירים אלה הם סכיני צבא שוויצרי אמיתיים של אבטחה דיגיטלית. כל אחד יכול לתפקד ככרטיס חכם (PIV), יכול לייצר סיסמאות חד פעמיות, לתמוך גם ב- OATH-TOTP וגם ב- OATH-HOTP, וניתן להשתמש בהן לאימות תגובת התגובה. כל ארבעת המכשירים תומכים בשלושה אלגוריתמים קריפטוגרפיים: RSA 4096, ECC p256 ו- ECC p384. מכשירים אלה יכולים להתאים לכל כך הרבה תפקידים שונים, לעתים קרובות בו זמנית - בתנאי שאתה יודע מה אתה עושה.
בעוד ש- YubiKey 5 NFC הוא המוקד בסקירה זו, בדקתי בעבר את מכשירי YubiKey 4 Series, ואלו זהים פיזית לזהות ה- USB-C וה- Nano של סדרת YubiKey 5. כולם עשויים היטב, לבושים בפלסטיק שחור שמסתיר בלאי, ומצוידים בנורות LED ירוקות נסתרות כדי ליידע אותך שהם מחוברים ומתפקדים. להתקני ה- USB-A יש רצועת זהב או דיסק שאתה לוחץ עליו, תלוי בגודל המכשיר. במכשירי ה- USB-C, בינתיים, יש שתי כרטיסיות מתכת קטנטנות שאתה מקיש עליהן כדי לאמת. מכשיר ננו USB-A קשה יותר להסיר מחריץ מאשר מכשיר ננו USB-C, אך ל- USB-A ננו YubiKey יש חור זעיר, כך שניתן לתלות אותו מיתר או כבל, ואילו ל- USB-C Nano לא.
איזה מכשיר YubiKey שתרכוש יהיה תלוי במידה רבה בהקשר שאתה מתכנן להשתמש בו. מכשירי ננו יעילים אם אתה מתכוון להשתמש בהם עם מחשב מהימן, ואתה יודע שתצטרך לגשת ל- YubiKey לעתים קרובות. המקשים בגודל מלא עדיפים לתליה על מחזיק מפתחות ולהישאר מקרוב בהישג יד.
ממשיך עם ה- YubiKey 5 NFC
כדי לעזור לך להתחיל, יוביקו יצר מדריך שימושי למשתמשים חדשים. פשוט בחר במכשיר YubiKey שיש לך, והאתר מציג רשימה של כל המקומות וההקשרים שבהם אתה יכול להשתמש ב- YubiKey שלך. חלק מאלו מקשרים ישירות לדף האינבובורד של אתר או שירות, ואילו אחרים מספקים הוראות שעליכם לעקוב אחרי עצמכם.
הגדרת ה- YubiKey כגורם שני U2F היא פשוטה מאוד. פעל בהתאם להוראות האתר או השירות ואז הכנס את YubiKey לחריץ המתאים כאשר תתבקש. פשוט הקש על דיסק הזהב (או לשוניות מתכת, תלוי בדגם) והשירות רושם את המפתח שלך. בפעם הבאה שאתה הולך להתחבר, אתה מזין את הסיסמה שלך ומקבל הנחיה להכניס את המפתח שלך ולחץ על. זהו זה!
דשליין, גוגל וטוויטר הם כמה מהאתרים הרבים התומכים ב- U2F ומקבלים מכשירי YubiKey 5 Series. בבדיקה שלי רשמתי אותו כגורם שני לחשבון Google. בעת כניסה למחשב שולחני, הזנתי את תעודות ההתחברות שלי ואז גוגל ביקשה ממני להכניס ולהקשיק על מפתח האבטחה שלי. זה לא בעיה, אם כי הייתי צריך להשתמש בדפדפן Chrome כדי להתחבר.
במכשיר האנדרואיד שלי התהליך פשוט לא פחות. כניסה לבדיקה נכנסתי לתעודה שלי ואז הטלפון שלי ביקש ממני להשתמש במפתח האבטחה שלי. בחרתי ב- NFC מהתפריט שבחלק התחתון ואז סטפתי על ה- NFC 5 בגב הטלפון שלי. זה נדרש לא מעט ניסיונות, אבל בסופו של דבר הטלפון הזיז חיוב ואני התחברתי.
סדרת YubiKey 5 יכולה לאמת אותך במספר דרכים, ולא רק באמצעות U2F. עם LastPass, למשל, אתה רושם ל- YubiKey כדי ליצור סיסמאות חד פעמיות (במיוחד סיסמאות חד פעמיות מבוססות HMAC, אבל אני אשתמש ב- OTP לצורך קיצור) עם ברז. זה שונה מ- U2F אבל בפועל זה מרגיש דומה מאוד. היכנס ל- LastPass, נווט לחלק המתאים בתפריט ההגדרות, לחץ על שדה הטקסט והקש על YubiKey. מחרוזת מכתבים יוצאת החוצה וזהו! כעת כשתרצו להיכנס ל- LastPass, תתבקשו לחבר את YubiKey שלכם כדי שזה ירק יותר OTPs.
רובכם בוודאי מכירים את Google Authenticator, אפליקציה שמייצרת קוד שישה ספרות בכל 30 שניות. בדרך כלל, טכנולוגיה זו נקראת סיסמאות חד פעמיות מבוססות זמן (TOTP) והיא אחת הצורות הנפוצות ביותר ל- 2FA המשמשות כיום. יחד עם אפליקציית מחשב שולחנית או ניידת נלווית, יוביקו מכניס סיבוב מעניין למערכת TOTP.
חבר את YubiKey שלך, הפעל את אפליקציית Yubico Authenticator ואז נווט לאתר שתומך ב- Google Authenticator או בשירות דומה. כדי לאבטח חשבון Google, למשל, לחצתי על האפשרות לרשום טלפון חדש לאפליקציית המאמת. בשלב זה מופיע קוד QR בדרך כלל, והאתר מבקש ממך לסרוק אותו באמצעות אפליקציית האימות המתאימה. במקום זאת בחרתי באפשרות תפריט באפליקציית שולחן העבודה של Yubico Authenticator והיא לוכדת את קוד ה- QR מהמסך שלי. לאחר מספר קליקים נוספים, האפליקציה החלה לספק קודים ייחודיים בת שש ספרות כל 30 שניות.
החוכמה היא שאפליקציית Yubico לא יכולה לייצר TOTPs ללא ה- YubiKey. במקום לאחסן את האישורים הדרושים ליצירת קודים אלה במחשב שלך, המאמת של Yubico מאחסן נתונים אלה ישירות ב- YubiKey שלך. משוך אותו, ואפליקציית המאמת לא יכולה ליצור TOTPs חדשים. זה שימושי אם אתה חושש שמישהו יגנוב את המכשיר בו אתה משתמש כדי לייצר את סך ה- TOTP שלך. אתה יכול גם לנעול את YubiKey באמצעות סיסמה, כך שגם אם הוא נגנב ממך לא ניתן היה להשתמש בה ליצירת TOTP.
Yubico מציעה גם אפליקציית אנדרואיד המחוללת TOTP העובדת עם YubiKey 5 NFC, בכדי לקחת את ה- TOTP שלכם על הכביש. כשאתה פותח את האפליקציה היא ריקה, אבל סטירה של ה- 5 NFC שלך בגב והיא מתחילה לייצר קודים. צא מהאפליקציה, והקודים נעלמים; תצטרך להקיש שוב על 5 NFC. זה פחות נוח מאשר לאחסן את המידע באפליקציה עצמה, אבל הרבה יותר בטוח.
אלה היו התרחישים שהסתכלתי עליהם, אבל סדרת YubiKey 5 יכולה לעשות הרבה יותר. אתה יכול להשתמש בו ככרטיס חכם כדי להיכנס למחשב השולחני שלי. אתה יכול להשתמש בו בכניסה לשרתי SSH. אתה יכול אפילו ליצור מפתח PGP ואז להשתמש ב- YubiKey כדי לחתום או לאמת. עם זאת, למען האמת, פשוט לעטוף את ראשי סביב מקשי TOTP היה קשה דיו.
למרות שיש ליוביקו המון תיעוד ושלושה אפליקציות שולחניות נפרדות (ושלושה אפליקציות ניידות נוספות), קשה מאוד להשתמש בכל היבטים של ה- YubiKey בלי בובה טובה של ידע קיים. יוביקו פרסה אתר שיעזור ליידע את הלקוחות על מה הם יכולים להשתמש במפתח שלהם וכדי להנחות אותם לעבר המידע הדרוש. ההדרכה היא נהדרת, אבל זו רק הכוונה, לא החזקת היד שמספקת בדרך כלל מוצרי טק. השימוש ב- YubiKey עבור U2F הוא גם פשוט מאוד, אך להפיק את המרב מה- YubiKey שלך לא קל למתחיל - או אפילו לעיתונאי ביטחון.
YubiKeys מול מפתח האבטחה של גוגל טיטאן
ליוביקו יש פיתרון כמעט לכל סיטואציה עם סדרת YubiKey 5, אך העלות היא סוגיה. כל מכשיר בודד מתומחר בין $ 40 ל- $ 60 עבור YubiKey אחד בלבד.
צרור מפתחות האבטחה Titan של גוגל, לעומת זאת, מספק שני מכשירים במחיר של $ 50: מפתח USB-A אחד ומפתח Bluetooth / Micro USB. זה נותן לך פנוי מייד מהמחבט. מצד שני, ל- YubiKey יש יותר מכות ביטחוניות יותר עבור הדולר שלך (בהנחה שאתה תבהר כיצד להשתמש בכל זה). שני מכשירי טיטאן יכולים להשתמש ב- NFC אך נכון לכתיבת שורות אלה התמיכה לא הופעלה במכשירי אנדרואיד. גוגל מספקת גם מתאם USB-C, כך שתוכל להשתמש במפתח הטיטאן שלך כמעט עם כל מכשיר. עם זאת, מקשי הטיטאן תומכים רק ב- FIDO U2F. זה יעבוד כמעט בכל אתר ושירות, אך לא ניתן להשתמש בהם עבור TOTPs, OTP, גישה לכרטיס חכם ושאר הפרוטוקולים הנתמכים על ידי YubiKey 5 Series.
קוראים מודעים למחיר שבראשם מחפשים מכשיר U2F בלבד יעדיפו ככל הנראה את מפתח האבטחה בסך 20 $ מאת Yubico. למפתח USB-A זה יש צללית זהה לזה של ה- YubiKey 5 NFC, אך ניתן לזהות אותו באמצעות מארז הפלסטיק הכחול והיפה, גליף מקש על כפתור המרכז ומספר 2 שנחרט בחלקו העליון. כפי שהשם מרמז, מכשיר זה תומך ב- FIDO U2F ו- FIDO2, אך זהו. מפתח האבטחה אינו תומך בכל הפרוטוקולים של סדרת YubiKey 5, כך שאתה לא יכול להשתמש בו עם LastPass או ככרטיס חכם, וגם לא יכול לתקשר באופן אלחוטי. זה גם עולה פחות ממחצית צרור המפתחות של טיטאן או 5 NFC.
YubiKey להצלחה?
סדרת YubiKey 5 היא משפחה מדהימה של מכשירים הממלאים מספר נישות מסנוור. השימוש הבסיסי ביותר בו הוא כאותנט FIDO U2F או כגנרטור OTP, אך הוא יכול לעשות כל כך הרבה יותר. הבעיות שתמיד היו לנו עם YubiKeys, ויוביקו בסך הכל, הוא פשוט האתגר להבין באילו YubiKey לבחור, מבין חצי תריסר שהחברה מציעה כיום. להבין מה אתה יכול לעשות עם זה מעבר ל- U2F זה מאתגר כפליים. מכשירי יוביקו מצוינים, והתיעוד שלהם משתפר, אך הם בהחלט מעוצבים עם מחשבי יישום אבטחה ואנשי IT.
אם אתה מביט על רשימת היכולות של הכביסה ש- YubiKey מתהדר בה ומבין אותן, או לפחות סקרן לגבין, אז זה המכשיר בשבילך. לא תתאכזבו מהמכשיר הקטן והמחוספס הזה. אם אתה יודע שברצונך לאבטח את חשבונותיך המקוונים טוב יותר, אך אינך בטוח כיצד לבצע זאת, ככל הנראה מוטב לך עם מקשי האבטחה של גוגל טיטאן או עם מפתח האבטחה הזול בהרבה של יוביקו.
YubiKeys הם טכנולוגיה מבוססת ובוגרת, אך אנו עדיין בוחנים את המרחב הזה. ככאלה, אנו נותנים ל- YubiKey 5 NFC ארבעה כוכבים, אך אנו מעוניינים בפרס בחירת העורכים עד שבחנו אפשרויות נוספות.
