Le numerose violazioni dei dati negli ultimi anni hanno reso una cosa estremamente chiara: le password non funzionano.
Inserisci la chiave di sicurezza USB Nitrokey Fido U2F da $ 25.
La Nitrokey rende molto più difficile per i malintenzionati entrare nel tuo account aggiungendo un secondo passaggio di autenticazione a servizi popolari come Google, Twitter, Facebook e altri.
Ciò che rende unico Nitrokey è che è interamente open source, dall'hardware al software.
È un po 'più costoso di prodotti comparabili, ma per chiunque richieda hardware e software open source, Nitrokey è impareggiabile.
Come funziona l'autenticazione a due fattori
Sebbene l'autenticazione a due fattori (o 2FA) sia generalmente considerata come l'aggiunta di un secondo passaggio dopo aver inserito la password, questa non è la definizione effettiva del termine.
Piuttosto, 2FA significa prendere due mezzi di autenticazione da un elenco di tre possibili:
- Qualcosa che sai
- Qualcosa che hai e
- Qualcosa che sei.
Una password nella tua testa (o, meglio ancora, in un gestore di password), è qualcosa che tu conoscere.
Una chiave hardware o un'app di autenticazione è qualcosa che tu averee un'impronta digitale o altri dati biometrici sono qualcosa che tu siamo.
Per ora siamo bloccati con le password, ecco perché 2FA di fatto significa aggiungere uno degli altri due a una password.
Funziona perché sebbene la tua password possa essere oggetto di phishing o esposta in una violazione dei dati, le altre due sono molto difficili da ottenere o falsificare.
Sebbene ci siano molti modi per aggiungere 2FA, le chiavi di sicurezza hardware come Nitrokey Fido U2F hanno vantaggi concreti.
A differenza dei codici monouso inviati tramite SMS, non possono essere intercettati.
A differenza dei codici generati da un'app, non possono essere oggetto di phishing.
Google lo ha dimostrato quando la società ha distribuito le chiavi di sicurezza a tutti gli 85.000 dipendenti e ha visto che gli attacchi di phishing riusciti sono scesi a zero.
Detto questo, se l'utilizzo di una chiave di sicurezza suona come una seccatura, dovresti abilitare 2FA in qualsiasi modo abbia senso per te.
Mani in alto con Nitrokey Fido U2F
Nitrokey è un'azienda tedesca che vende una varietà di dispositivi di sicurezza per chiavette USB.
La maggior parte di questi dispositivi è incentrata sull'archiviazione sicura e sulla crittografia.
Possono memorizzare e-mail e chiavi di crittografia del disco e alcune sono persino dotate di archiviazione sicura integrata.
Il Nitrokey Fido U2F è il più conveniente del gruppo a 22 euro (circa $ 25, a seconda del tasso di cambio), ed è l'unico dedicato esclusivamente alla 2FA.
Il modello Fido U2F funziona come secondo autenticatore per molti siti Web popolari, inclusi Google, Facebook, Twitter e così via.
È un dispositivo USB sottile e nero con una finitura in plastica testurizzata, che assomiglia un po 'a una vecchia unità di memoria flash.
È piccolo, 48 x 19 x 7 mm, e abbastanza leggero, pesa solo 5 g.
Un'estremità è tagliata per ospitare un portachiavi e il connettore USB 1.1 di tipo A sull'altra estremità è protetto da un guscio rimovibile che perderai sicuramente entro una settimana.
Oltre al tappo, non ha parti in movimento, rendendolo resistente (ma non impermeabile) all'acqua e allo schiacciamento.
Il connettore USB più grande è un po 'anomalo; la linea YubiKey e le chiavi Google Titan sono completamente piatte.
Nitrokey afferma che il loro uso del connettore USB più grande garantisce la compatibilità con più dispositivi ed è più durevole, ma penso di preferire lo stile più piatto se non altro per un dispositivo più piccolo.
Il Nitrokey è piuttosto ingombrante rispetto ad altre chiavi di sicurezza, che sono sottilissime e leggere come una piuma.
Detto questo, è meno probabile che il Nitrokey attiri molta attenzione con il suo aspetto completamente insipido.
Associare il Nitrokey Fido U2F a un sito Web è un'operazione semplice.
Basta passare alle opzioni di accesso per un sito supportato, inserire la Nitrokey quando richiesto e toccare l'icona del dito sulla custodia quando un LED bianco interno si accende.
Questo inizialmente mi ha spiazzato, poiché sono più abituato alla superficie del rubinetto del disco d'oro usata da Yubico e Google nelle loro chiavi di sicurezza, anche se il Nitrokey ha funzionato altrettanto bene.
Una volta che il dispositivo è stato accoppiato, ti verrà chiesto di inserire e toccare il tuo Nitrokey Fido U2F quando accedi al sito.
Per evitare di essere bloccato fuori da un sito registrato, consiglio vivamente di attivare un'altra opzione 2FA, come i codici di backup che possono essere stampati e archiviati in un luogo sicuro o di registrare una seconda chiave di sicurezza.
Poiché Nitrokey Fido U2F non supporta alcuna comunicazione wireless, non potrai utilizzarlo per autenticare un dispositivo mobile.
Forse potresti tirarlo fuori con un adattatore USB funky, ma non ho testato questo scenario stravagante.
Invece, dovresti usare un altro metodo 2FA, come un'app di autenticazione, per queste situazioni.
Il token di sicurezza Yubico NFC costa solo due dollari in più, supporta anche Fido U2F, ma include NFC, quindi puoi sbatterlo contro il tuo telefono per l'autenticazione.
Sicurezza senza oscurità
Quando qualcosa è open-source, è completamente disponibile per l'ispezione e persino per l'alterazione.
Spesso significa anche che si tratta di un progetto di volontariato e potrebbe essere disponibile gratuitamente.
Ciò è in contrasto con la cosiddetta "sicurezza attraverso l'oscurità" in cui gli aspetti critici di un prodotto sono nascosti in nome della protezione dei segreti.
L'idea è che essere trasparenti aiuti a realizzare prodotti migliori e più resilienti.
Nitrokey è interamente costruito attorno all'idea open source.
L'azienda riassume il suo approccio e ciò che ritiene siano i vantaggi in questo modo:
"Sia l'hardware che il firmware, gli strumenti e le librerie sono software open source e gratuiti, consentendo controlli di sicurezza indipendenti.
Adattabile in modo flessibile, nessun vincolo del fornitore, nessuna sicurezza attraverso l'oscurità, nessun difetto di sicurezza nascosto".
L'uso di strumenti open source è anche una dichiarazione etica sia per le aziende che per i consumatori.
Se sei il tipo di persona che crede davvero nelle informazioni aperte, probabilmente apprezzerai la posizione di Nitrokey.
L'hardware open source è anche una cosa relativamente rara da vedere e aiuta a placare i timori che le agenzie di intelligence possano infiltrarsi nei chip in fabbrica.
[embed]https://www.youtube.com/watch?v=AMOtB7XkTT4[/embed]
Questo non vuol dire che essere open source sia una bacchetta magica contro falle o attacchi di sicurezza.
Heartbleed è stato causato da un bug aggiunto inconsapevolmente al software di crittografia OpenSSL open source.
Detto questo, è probabile che se OpenSSL non fosse open-source, il bug potrebbe non essere mai stato trovato.
Nitrokey contro amici e nemici
Il Nitrokey Fido U2F è uno dei circa una mezza dozzina di dispositivi Nitrokey attualmente in vendita.
Come la linea Yubikey 5 di Yubico, ci sono una varietà di configurazioni tra cui scegliere.
A differenza di Yubico, la linea Nitrokey fa molto di più della semplice autenticazione.
Nitrokey Storage 2, la più robusta e costosa delle offerte, supporta e-mail S / MIME e crittografia del disco, crittografia e-mail OpenPGP / GnuPG, One Time Passwords (OTP) e archiviazione integrata crittografata.
Memorizza anche fino a 16 password in un gestore di password personalizzato.
Costa 109EU o circa $ 124.
È un sacco di zuppa alfabetica, e se non hai preso tutto, probabilmente non è il prodotto che fa per te.
Il supporto OTP è notevole in quanto questa è l'unica opzione 2FA hardware supportata da LastPass.
Il Nitrokey Pro 2 perde lo spazio di archiviazione a bordo e costa solo 49 euro o circa $ 56.
Unicamente, esso (o il suo cugino ribattezzato Purism Librem Key) può essere utilizzato per verificare la validità del firmware e dell'hardware dei laptop Purism.
Ciò significa che possono rilevare se qualcuno ha tentato di manomettere il tuo laptop Purism.
È una caratteristica affascinante, ma interessante solo per il tipo di persona che vorrebbe acquistare un laptop Purism open source in primo luogo.
Stranamente, il Nitrokey Fido U2F recensito qui è l'unico autenticatore conforme a Fido U2F di Nitrokey.
Se acquisti un Nitrokey più costoso e più capace, non sarai in grado di utilizzare questo standard ampiamente adottato.
Yubico, d'altra parte, include sia Fido U2F che il nuovo Fido2 a prova di futuro in tutti i suoi dispositivi YubiKey 5, insieme a OTP, OATH (HOTP e TOTP), OpenPGP e supporto smartcard.
Anche due dispositivi YubiKey 5 supportano USB-C.
Le sue due offerte a prezzo più basso, la chiave di sicurezza e la chiave di sicurezza NFC, supportano solo Fido2 e Fido U2F.
Quest'ultimo costa un po 'di più del Nitrokey Fido U2F a $ 27, ma include le comunicazioni NFC wireless, che il Nitrokey non fa.
Da parte sua, il token di sicurezza costa solo $ 20, posizionandolo bene nel territorio degli acquisti impulsivi.
Il pacchetto Titan di Google costa $ 50 e arriva da qualche parte nel mezzo.
Ciò include due dispositivi, una chiave USB-A e un dongle Bluetooth alimentato a batteria, che supportano entrambi Fido U2F.
Includere un secondo dispositivo lo rende sicuramente un pacchetto allettante, ma sono ancora scettico sull'utilità del dongle alimentato a batteria.
Sicurezza senza compromessi
Il Nitrokey Fido U2F non è più sottile, più sottile o più economico della concorrenza, ma il suo impegno per l'hardware e il software open-source è un importante elemento di differenziazione per alcuni.
Come un sacco di hardware open source, è più rumoroso ma potenzialmente migliore.
Preferiamo ancora la nostra scelta degli editori, la chiave di sicurezza di Yubico, che è leggermente meno costosa e molto più sottile della Nitrokey.
Ma se stai solo immergendo il dito nell'hardware 2FA, e soprattutto se sei un evangelista open source, allora Nitrokey Fido U2F è una buona scelta.
