תוכן עניינים:
וִידֵאוֹ: How to use a YubiKey Security Key with an iPhone (נוֹבֶמבֶּר 2024)
קו YubiKey של יוביקו הוא בחירה ניתנת לבחירה באימות דו-גורמי פשוט וחומרה מזה שנים. הגבול האחרון של יוביקו היה ה- iPhone, אליו הוא סוף סוף פונה אל ה- YubiKey 5Ci. המכשיר הזעיר כפול הקצוות הזה מחבר מחבר USB-C בקצהו ומחבר ברק התואם של אפל בצידו השני. הידרה זו של מפתח חומרה עובדת בדיוק כפי שהיא צריכה ומגיעה עמוסה בתכונות שהתחרות לא יכולה להתאים להן, אך מונעת על ידי תמיכה מוגבלת ב- iOS ומחיר גבוה יחסית.
מהי אימות דו גורמים
בפועל, אימות דו-גורמי (2FA) משתמש בשני דברים בכדי להיכנס לאתר או לשירות, אך לא לשם בא השם. במקום זאת, זה מתייחס לתיאוריה של אימות שבה אתה מוכיח שאתה צריך גישה עם:
משהו שאתה יודע.
משהו שאתה.
או משהו שיש לך.
משהו שאתה יודע הוא כמו סיסמא, שבני אדם נוראים בהם ואנחנו צריכים לתת למנהלי סיסמאות לטפל בהם. משהו שאתה דומה לנתונים ביומטריים, כמו שימוש בטביעת האצבע שלך כדי לבטל את נעילת הטלפון. משהו שיש לך יכול להיות מאמת חומרה, כגון YubiKey. 2FA הוא המקום בו אתה משתמש בשני מאמתים מהרשימה במקום רק באחד, מכיוון שלא סביר שלתוקף יש שניים מתוך השלושה. זוהי דרך יעילה להפליא לאבטחת כניסות. עד כדי כך שגוגל דרשה שימוש במפתחות חומרה של 2FA באופן פנימי, התקפות דיוג מוצלחות ירדו לאפס.
יש המון דרכים לעשות 2FA. קבלת סיסמא חד פעמית באמצעות SMS היא ככל הנראה האנשים שהכי מכירים אותה, אם כי זה בדרך החוצה בגלל חששות ביטחוניים. יוביקו הוביל את הקמתו של פרוטוקול FIDO2 ותקן WebAuthn, המשתמש בקריפטוגרפיה של מפתח ציבורי לצורך אימות מאובטח. תקן WebAuthn המוסמך W3C הביא את סגנון האימות הזה ליותר ויותר דפדפנים ושירותים בשנים האחרונות, ויכול להיות העתיד של האופן בו אנו מבצעים אימות. מיקרוסופט, למשל, ניסתה שימוש במכשירי WebAuthn כמו YubiKeys לצורך אימות ללא סיסמה.
מיוצר לנייד
משפחת YubiKey גדלה משמעותית, והציגה שבעה מפתחות שונים בגדלים שונים ושונות של תקעים ופרוטוקולים. מפתח האבטחה USB-A Yubico תומך רק ב- FIDO2 / WebAuthn ועולה 20 $, ואילו מפתח ה- USB-A Security NFC מוסיף תמיכה אלחוטית תמורת 27 $.
סדרת YubiKey 5, בתמונה למעלה, מכסה מספר מכשירים. החל משמאל, USB-A YubiKey 5 NFC עולה 45 $, והוא אולי המסוגל ביותר לכל המכשירים. ה- USB-C YubiKey 5C עולה 50 $, ודומה ביותר ל- 5Ci בעיצוב הדק והמעושן שלו. ננו 5 ו- 5C ננו עולים 50 $ ו 60 $ בהתאמה, ונועדו לחיות בתוך הנמלים שלך באופן קבוע למחצה. במחיר של 70 דולר, ה- YubiKey 5Ci הוא המפתח היקר ביותר במשפחה.
בהשוואה לעיצוב ה- USB-A YubiKey, ה- 5Ci הוא זעיר. זה 12 מ"מ x 40.3 מ"מ ועובי של 5 מ"מ בלבד. זה קצת יותר מחצי רוחב מפתח USB-A, וקצר יותר. זה יצוק בפלסטיק שחור ושחור עם חור מרכזי מחוזק מתכת כדי לחבר אותו לטבעת המפתחות שלך. עם זאת, ה- 5Ci עבה יותר מ- YubiKey 5 NFC. היקף הנוסף הנוסף, יחד עם החור המרכזי שלו, הופכים אותו למעט מתאים למוזר, אך הוא עובד. הוא אור נוצה ב -3 גרם בלבד, אך עדיין מרגיש בנוי היטב.
בסמוך לאמצע המכשיר שני צמתים מתכתיים מורמים. כשאתה מחבר את ה- 5Ci, אתה מקיש על צמתים אלה כשתתבקש להשלים את האימות. כמו כל מכשירי YubiKey, ל- 5Ci אין סוללה פנימית, ושואב את כל כוחו מהמכשיר שאליו הוא מחובר. יש לציין כי YubiKey 5Ci אינו תומך ב- NFC, בעוד שמפתח ה- Yubico Security NFC ו- YubiKey 5 NFC כן.
ל- YubiKey 5Ci עיצוב ייחודי כפול הסתיים. בצד אחד יש מחבר USB-C, ובצד השני מחבר Apple Lightning שראית במטעני אייפון ואייפד במשך שנים. באופן אירוני, התלונה הכי גדולה שלי על ה- 5Ci היא המחברים שלה. ראשית, היה לי קשה למצוא מחשב עם יציאת USB-C כדי לבדוק את היכולות השונות של ה- 5Ci. זה גם הרבה יותר קל לרשום את המפתח ממחשב מאשר מהמכשיר הנייד. אם אתה משתמש בחומרה אחרונה, למצוא יציאת USB-C ככל הנראה לא תהיה בעיה, אבל אם אתה כמוני ומשתמש במחשבים עד שהם ממש מתפרקים, יתכן שאתה זקוק למתאם.
מצד שני, קצה ה- USB-C של המכשיר לא התאים לא ל- Nokia 6.1 ולא ל- Asus UX360c ZenBook Flip בו השתמשתי בבדיקה. הייתי צריך ממש לדחוף כדי להכניס את ה- 5Ci, ובכל פעם חשבתי שאני הולך לשבור משהו. היו גם כמה מקרים שבהם נראה כי המכשיר לא היה ממוקם כראוי, מכיוון שהוא לא התחבר. זה לא היה מפריע לעסקים בשום מובן, ואחרי כמה לחיצות ומשיכות המחבר התחיל להרגיש כמו התאמה טובה יותר. אולי זה פשוט צריך לפרוץ.
מחבר הברק, לעומת זאת, עבד בצורה מדהימה. הוא נכנס בצורה חלקה ונחתך בחומרה. זה היה דמוי תפוח ביסודיות, ואין לי תלונות. יוביקו ציין כי מחבר ה- USB-C ב- 5Ci לא יעבוד בדגמי iPad שיש להם יציאות USB-C.
ידיים עם YubiKey 5Ci
לפני שתוכל להשתמש ב- 5Ci, או בכל מאמת חומרה אחר, עליך לרשום אותו לכל שירות. הבעיה היא שלא כל דפדפן או יישום תומכים במפתחות אימות חומרה. נתקלתי בבעיה זו בפעם הראשונה כשבדקתי את NFC של מפתח האבטחה של יוביקו. באותה תקופה (כמו עכשיו), התמיכה של אפל ב- NFC לא נמשכה למפתחות אבטחה ברוב ההקשרים. גיליתי שיש יותר הקשרים שבהם ה- 5Ci עבד ב- iOS מאשר כאשר בדקתי מפתחות NFC באייפונים, אבל התמיכה הקטנה יחסית מעט מתסכלת.
כדי לבחון את התמיכה של FIDO2 / WebAuthn, פתחתי את הטוויטר בדפדפן האמיצים, שיוביקו הציע לי להשתמש בו מכיוון שהוא תומך באימות מבוסס דפדפן. התחברתי כרגיל, ניווטתי לחלונית ההגדרות ונרשמתי ל- YubiKey 5Ci. בפעם הבאה שנכנסתי, טוויטר ביקש ממני להיכנס למפתח שלי ולהקיש עליו. אני נענה והבאתי במהירות את אפליקציית האינטרנט.
לרוע המזל, לא הצלחתי להיכנס לטוויטר עם Safari או עם אפליקציית iOS של טוויטר. גם לא הצלחתי לרשום את Yubikey 5Ci לחשבון Google שלי באמיצים, ספארי או אפילו כרום.
YubiKey 5Ci תומך גם בסיסמאות חד פעמיות (OTP). בתצורה זו, אתה מחבר את המפתח ומקיש על צמתי המתכת, וקוד ארוך וייחודי פולט. הנה אחד: ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb. כמה שירותים, כמו LastPass, משתמשים בתכונה זו במקום ב- FIDO2 / WebAuthn. היתרון הוא שהמפתח נקרא כמקלדת, כך שהוא פשוט מאוד ואינו דורש תמיכה נוספת מהדפדפן.
כדי לבדוק OTPs, נאלצתי לראשונה לרשום את המפתח באמצעות חשבון LastPass. לא הייתי מסוגל לעשות זאת באייפד או באייפון. במקרה של דפדפנים, לא ניתנה לי האפשרות להשתמש בשיטות חלופיות והדפדפנים לא יכלו להשתמש ב- NFC כדי לקרוא את YubiKey 5 NFC שלי. אפליקציית LastPass אמנם קראה את מפתח NFC שלי, אך האפליקציה לא כוללת אפשרויות לעריכת מפתחות החומרה הרשומים שלך. בסופו של דבר הייתי צריך למצוא מחשב נייד עם יציאות USB-C כדי לרשום את ה- 5Ci. ברגע שעשיתי זאת, הכניסה ל- LastPass דרך האפליקציה או דרך אפליקציית LastPass או הדפדפן האמיצי הייתה הצמד. הזנתי את שם המשתמש והסיסמה שלי כרגיל ואז התבקשתי להכניס את המפתח שלי ואז להקיש על צומת המתכת שבמפתח. שנייה אחר כך התחברתי.
אלה היו רק כמה מהשירותים ש- YubiKey יכול לעבוד איתם, ויוביקו מקיימת רשימה מקיפה למדי של אתרים ושירותים שמקבלים אודיו של FIDO2 / WebAuthn או OubiKey. נציג החברה הזכיר את 1Password, Bitwarden, Idaptive ו- Okta כאפליקציות iOS ספציפיות שתומכות כבר בשימוש ב- YubiKeys.
ל- YubiKey 5Ci יש כל מיני טריקים אחרים, אך כולם זקוקים למחשב בשלב מסוים. לדוגמה, באפשרותך להתאים אישית היבטים שונים של המפתח שלך, כמו למשל לנקות אותה באמצעות סיסמה שהוגדרה מראש כאשר אתה לוחץ על צמתות המתכת. ניתן גם להגדיר אותו ככפול לכרטיס חכם, והוא יכול לירוק קודמים (TOTPs) מוגבלים בזמן, בדיוק כמו המאמת של גוגל בעזרת יישום מאמת שולחן עבודה. נציג יוביקו אישר לי כי פרט לתקשורת NFC, ה- YubiKey 5Ci יכול לעשות כל מה ש- YubiKey 5 NFC יכול לעשות.
ה- YubiKey 5Ci מול התחרות
יש שם מגוון מתחרות של אימות חומרה, לא פחות מהן היא גוגל. תמורת 50 דולר החברה תשלח לך מפתח אבטחה USB-A של גוגל טיטאן המשתמש ב- FIDO2 / WebAuthn ובדונגל Bluetooth נטענת. זה סט טוב, אבל תמיד הייתי ספקן לגבי השימוש ב- Bluetooth למכשירי אבטחה.
אם ברשותך מכשיר נייד עם Android 7.0 ומעלה, תוכל להשתמש בו גם כאותנט חומרה לחשבונות Google. זה יתרון של להיות חופשי לחלוטין ולהשתמש בחומרה קיימת שכבר בבעלותך, אך היא כרגע מוגבלת בהיקפה. זה גם מסתמך על כך שהסוללות והמכשירים יפעלו, בשונה מכל מכשירי YubiKey.
אם המיתוג של גוגל אינו הדבר שלך, אתה יכול לפנות ישירות לפואיטיאן, החברה שגוגל סימנה עבור מפתחות הטיטאן. מכשירים אלה מגיעים במגוון גדלים, תצורות ומחירים. החיסרון היחיד הוא הפוטנציאל הלא סביר להתקפות שרשרת האספקה, שכן פיתוי נמצא בסין. יוביקו ממהר לציין כי הוא מייצר את מפתחותיו בארה"ב ובשוודיה.
חלקם עשויים להעדיף חלופת קוד פתוח, כגון NitroKey FIDO U2F. מכשיר גרמני זה מריץ 22.00 אירו ומשתמש בחומרה ותוכנה בקוד פתוח. היתרון בחומרת קוד פתוח הוא בכך שניתן לאמת באופן עצמאי את האבטחה שלה על ידי צד שלישי. מצאתי את NitroKey שהוא מסוגל, אבל מגושם. בעוד שמפתחות אבטחה אחרים הם דקים כמו מפתחות, NitroKey הוא שמנמן ומשתמש במחבר USB-A בגודל מלא. שאלתי את נציג Yubico לגבי שימוש ברכיבי קוד פתוח, והם ענו כי שבבי האלמנטים המאובטחים הטובים ביותר שקיימים פשוט אינם ממקור פתוח.
דבר אחד שכדאי לזכור הוא ש- 2FA לא דורש מפתח חומרה. המאמת של גוגל, Duo Mobile ושירותים אחרים מציעים 2FA בחינם באמצעות אפליקציות. גוגל ואפל מאבטחים חשבונות בשירותיהם עם אפשרות לאמת ממכשיר מהימן אחר. היתרון של מפתחות חומרה הוא שהם עובדים ללא חשמל או שירות סלולרי, אבל אם אתה חושב ששימוש במפתח פיזי הוא יותר מדי טרחה, אני ממליץ פשוט להשתמש בכל שיטת 2FA שהכי הגיונית עבורך.
יותר מדי, מוקדם מדי
התלונות האמיתיות היחידות שלי עם YubiKey 5Ci עצמה הן מחירו ותקע ה- USB-C הדביק שלו (שעשוי להשתפר עם הזמן). הבעיה האמיתית היא תמיכה במכשירי iOS אשר למרות השיפור עדיין מוגבלת. זו לא באמת אשמתו של יוביקו, אבל זה מתסכל מכיוון ש- USB-C YubiKey עולה 20 $ פחות. אשמח אם אפל ומפתחים אחרים יתחילו לעבוד ברצינות על הרחבת התמיכה בכל מיני מפתחות החומרה. ברגע שזה יקרה, ה- YubiKey 5Ci באמת יבריק. עד אז, תג בחירת העורכים שלנו נותר מפתח האבטחה של יוביקו, שעולה 20 $ בלבד ויעבוד כמעט בכל מקום בו תקע USB-A תקע.
