Le password sono state il punto debole della sicurezza sin dalla loro prima introduzione.
Per fortuna, Yubico YubiKey 5 NFC è qui per proteggere i nostri account più importanti e molto altro ancora.
La quinta generazione di YubiKey supporta FIDO U2F per un'autenticazione sicura di secondo fattore e utilizza NFC per funzionare con il tuo telefono.
Ma questo è solo l'inizio di ciò che questo dispositivo straordinariamente potente e straordinariamente piccolo può fare.
Se stai solo cercando una semplice opzione hardware U2F, YubiKey 5 NFC è probabilmente eccessivo: considera invece la chiave di sicurezza più economica di Yubico o le chiavi di sicurezza Google Titan.
Ma se sei già immerso nella sicurezza, adorerai ciò che 5 NFC ha da offrire.
Come funziona l'autenticazione a due fattori
Sebbene ci sia molto che puoi fare con una chiave di sicurezza hardware come YubiKey, il suo ruolo principale è come secondo fattore di autenticazione.
In pratica, l'autenticazione a due fattori (2FA) significa dover fare una seconda cosa dopo aver inserito la password per dimostrare che sei tu.
Ma la teoria alla base di 2FA sta combinando due diversi sistemi di autenticazione da un elenco di tre:
- Qualcosa che sai
- Qualcosa che hai, o
- Qualcosa che sei.
Ad esempio: una password, è qualcosa che tu conoscere, e dovrebbe esistere solo nella tua testa (o all'interno di un gestore di password).
La biometria, ovvero scansioni di impronte digitali thingk, scansioni della retina, firme del cuore e così via, contano come qualcosa che tu siamo.
Yubico YubiKeys e il loro genere sono qualcosa che tu avere.
L'utilizzo di due fattori da questo elenco di tre fornisce una maggiore garanzia di essere chi dici di essere e di avere l'autorità per accedere all'oggetto a cui stai tentando di accedere.
È anche più difficile da rompere per i cattivi.
Un utente malintenzionato potrebbe acquistare la tua password dal Dark Web, ma probabilmente non sarà in grado di ottenere anche la tua chiave di sicurezza.
Anche l'autenticazione fornita da 2FA è effimera: funziona solo una volta, e di solito solo per un tempo limitato, per una maggiore sicurezza.
Questa recensione esamina principalmente l'hardware 2FA, ma ci sono molti modi per aggiungere un secondo fattore.
Molti siti ti invieranno codici tramite SMS per verificare la tua identità.
App come Duo (Free at Duo) e Authy si basano su notifiche push che sono (in teoria) più difficili da intercettare rispetto ai messaggi SMS.
Sia che tu scelga una soluzione hardware o software o un mix di entrambi, aggiungi 2FA dove puoi.
Quando Google ha implementato internamente le chiavi 2FA, ha visto il successo delle acquisizioni degli account scendere a zero.
È così buono.
[embed]https://www.youtube.com/watch?v=AMOtB7XkTT4[/embed]
I molti sapori di YubiKey
Yubico ha sempre offerto diverse dimensioni e varianti delle sue chiavi di sicurezza per soddisfare quasi ogni esigenza.
Questo è fantastico, perché consumatori e professionisti IT possono ottenere esattamente ciò di cui hanno bisogno a prezzi diversi.
Lo svantaggio è che la navigazione nel negozio Yubico è un'esperienza spesso travolgente.
Farò del mio meglio per riassumere le basi.
Esistono quattro versioni di dispositivi YubiKey serie 5, tra cui YubiKey 5 NFC da $ 45 recensito qui, oltre ad altri tre fattori di forma: YubiKey 5 Nano da $ 50, YubiKey 5C da $ 50 e YubiKey 5C Nano da $ 60.
Il 5 NFC è l'unico YubiKey a offrire la comunicazione wireless, ma a parte questo l'unica differenza tra questi dispositivi è la dimensione, il prezzo e il connettore USB.
I due dispositivi Nano sono i dispositivi più piccoli del gruppo e si annidano negli slot USB-A o USB-C, facilmente a portata di mano se ne hai bisogno spesso.
YubiKey 5C utilizza un connettore USB-C, è leggermente più piccolo del 5 NFC e può essere appeso al tuo portachiavi insieme al 5 NFC; manca la comunicazione wireless.
Tuttavia, puoi collegare YubiKey 5C o 5C Nano direttamente al tuo dispositivo Android.
Ciò che distingue la serie YubiKey 5 dalla concorrenza non è solo la varietà di fattori di forma.
Questi dispositivi sono veri coltelli dell'esercito svizzero di sicurezza digitale.
Ognuno può funzionare come una Smart Card (PIV), può generare password monouso, supportare sia OATH-TOTP che OATH-HOTP e può essere utilizzato per l'autenticazione challenge-response.
Tutti e quattro i dispositivi supportano tre algoritmi crittografici: RSA 4096, ECC p256 ed ECC p384.
Questi dispositivi possono adattarsi a tanti ruoli diversi, spesso contemporaneamente, a condizione che tu sappia cosa stai facendo.
Sebbene YubiKey 5 NFC sia il fulcro di questa recensione, ho testato i dispositivi della serie YubiKey 4 in passato e questi sono fisicamente identici alle variazioni USB-C e Nano della serie YubiKey 5.
Sono tutti ben fatti, rivestiti di plastica nera che nasconde l'usura e dotati di LED verdi nascosti per farti sapere che sono collegati e funzionanti.
I dispositivi USB-A hanno una striscia dorata o un disco che tocchi, a seconda delle dimensioni del dispositivo.
I dispositivi USB-C, nel frattempo, hanno due minuscole linguette metalliche che puoi toccare per autenticare.
Il dispositivo USB-A Nano è più difficile da rimuovere da uno slot rispetto al dispositivo USB-C Nano, ma USB-A Nano YubiKey ha un piccolo foro, quindi può essere appeso a una corda o un cavo, mentre l'USB-C Nano non.
Il dispositivo YubiKey che acquisti dipenderà in gran parte dal contesto in cui prevedi di utilizzarlo.
I dispositivi Nano sono utili se prevedi di utilizzarli con un computer affidabile e sai che dovrai accedere spesso a YubiKey.
Le chiavi a grandezza naturale sono migliori da appendere a un portachiavi e tenerle a portata di mano.
A portata di mano con YubiKey 5 NFC
Per aiutarti a iniziare, Yubico ha creato una pratica guida per i nuovi utenti.
Scegli il dispositivo YubiKey che possiedi e il sito mostra un elenco di tutti i luoghi e contesti in cui puoi utilizzare la tua YubiKey.
Alcuni di questi linkano direttamente alla pagina di onboarding di un sito o di un servizio, mentre altri forniscono istruzioni che devi seguire tu stesso.
Impostare YubiKey come secondo fattore U2F è molto semplice.
Segui le istruzioni del sito o del servizio, quindi inserisci la YubiKey nello slot appropriato quando richiesto.
Basta toccare il disco dorato (o le linguette metalliche, a seconda del modello) e il servizio registra la tua chiave.
La prossima volta che accedi, inserisci la tua password e ricevi una richiesta per inserire la tua chiave e toccare.
Questo è tutto!
Dashlane, Google e Twitter sono solo alcuni dei tanti siti che supportano U2F e accettano dispositivi YubiKey serie 5.
Durante i miei test, l'ho registrato come secondo fattore per un account Google.
Durante l'accesso su un computer desktop, ho inserito le mie credenziali di accesso, quindi Google mi ha chiesto di inserire e toccare la mia chiave di sicurezza.
Nessun problema, anche se ho dovuto utilizzare il browser Chrome per accedere.
Sul mio dispositivo Android, il processo è altrettanto semplice.
Durante l'accesso al test, ho inserito le mie credenziali, quindi il mio telefono mi ha chiesto di utilizzare la mia chiave di sicurezza.
Ho selezionato NFC da un menu nella parte inferiore, quindi ho schiaffeggiato il 5 NFC contro il retro del mio telefono.
Ci sono voluti diversi tentativi, ma alla fine il telefono ha emesso un segnale affermativo e ho effettuato l'accesso.
La serie YubiKey 5 può autenticarti in diversi modi, non solo tramite U2F.
Con LastPass, ad esempio, registri YubiKey per generare password monouso (in particolare password monouso basate su HMAC, ma userò OTP per brevità) con un tocco.
Questo è diverso dagli U2F ma in pratica sembra molto simile.
Accedi a LastPass, vai alla parte appropriata del menu Impostazioni, fai clic sul campo di testo e tocca YubiKey.
Viene fuori una serie di lettere, e basta! Ora, quando vuoi accedere a LastPass, ti verrà chiesto di collegare la tua YubiKey per far sì che sputi più OTP.
La maggior parte di voi probabilmente conosce Google Authenticator, un'app che genera codici di accesso a sei cifre ogni 30 secondi.
Questa tecnologia, più in generale, è chiamata Time-based One-time Passwords (TOTP) ed è una delle forme più comuni per 2FA utilizzate oggi.
Insieme a un'app desktop o mobile complementare, Yubico dà una svolta interessante al sistema TOTP.
Collega la tua YubiKey, avvia l'app Yubico Authenticator, quindi accedi a un sito che supporta Google Authenticator o un servizio simile.
Per proteggere un account Google, ad esempio, ho fatto clic sull'opzione per registrare un nuovo telefono con l'app di autenticazione.
In genere, a questo punto viene visualizzato un codice QR e il sito richiede di scansionarlo con l'app di autenticazione appropriata.
Invece, ho selezionato un'opzione di menu nell'app desktop Yubico Authenticator e acquisisce il codice QR dal mio schermo.
Dopo qualche altro clic, l'app ha iniziato a fornire codici univoci a sei cifre ogni 30 secondi.
Il trucco è che l'app Yubico non può generare TOTP senza YubiKey.
Invece di memorizzare le credenziali necessarie per creare quei codici sul tuo computer, Yubico Authenticator memorizza i dati direttamente sulla tua YubiKey.
Tiralo fuori e l'app Authenticator non può creare nuovi TOTP.
È utile se sei preoccupato per qualcuno che ruba il dispositivo che usi per generare i tuoi TOTP.
Puoi anche bloccare la tua YubiKey con una password, quindi anche se ti è stata rubata non potrebbe essere utilizzata per generare TOTP.
Yubico offre anche un'app Android che genera TOTP che funziona con YubiKey 5 NFC, per portare i tuoi TOTP in viaggio.
Quando apri l'app, è vuota, ma sbatti il ??tuo 5 NFC sul retro e inizia a generare codici.
Esci dall'app e i codici scompaiono; dovrai toccare di nuovo il 5 NFC.
È meno conveniente che memorizzare le informazioni nell'app stessa, ma molto più sicuro.
Questi erano gli scenari che ho esaminato, ma la serie YubiKey 5 può fare molto di più.
Puoi usarlo come smartcard per accedere al mio computer desktop.
Puoi usarlo per accedere ai server SSH.
Puoi persino generare una chiave PGP e quindi utilizzare YubiKey per firmare o autenticare.
Francamente, tuttavia, solo avere la testa avvolta attorno ai tasti TOTP è stato già abbastanza difficile.
Sebbene Yubico abbia molta documentazione e tre app desktop separate (e altre tre app mobili), è molto difficile utilizzare ogni aspetto di YubiKey senza una buona dose di conoscenza esistente.
Yubico ha implementato un sito Web per aiutare a informare i clienti su ciò per cui possono utilizzare la loro chiave e per guidarli verso le informazioni necessarie.
Questa guida è ottima, ma è solo una guida, non la presa per mano solitamente fornita dai prodotti tecnologici.
Anche usare la tua YubiKey per U2F è molto semplice, ma ottenere il massimo dalla tua YubiKey non è facile per un principiante, o anche per un giornalista di sicurezza.
YubiKeys e il token di sicurezza di Google Titan
Yubico ha una soluzione per quasi tutte le situazioni con la serie YubiKey 5, ma il costo è un problema.
Ogni singolo dispositivo ha un prezzo compreso tra $ 40 e $ 60 per un solo YubiKey.
Il pacchetto Titan Security Key di Google, d'altra parte, fornisce due dispositivi per $ 50: una chiave USB-A e un portachiavi Bluetooth / Micro USB.
Questo ti dà subito una scorta.
Sul...
