Decenni di prodotti informatici di consumo hanno insegnato all'umanità una cosa: le password sono cattive.
Per rendere nuovamente accettabili le password, ci stiamo rivolgendo ai gestori di password e all'autenticazione a due fattori per proteggere meglio i nostri account online.
Il token di sicurezza di Yubico è un token USB-A che inserisci e tocchi quando richiesto per confermare la tua identità.
Lavorando insieme a una password tradizionale, è un potente strumento per fermare truffatori e ladri di identità nelle loro tracce.
La chiave di sicurezza di Yubico non ha tutte le caratteristiche dei suoi cugini e concorrenti, ma, a meno della metà del prezzo, è una soluzione facile a un prezzo speciale.
Per il suo prezzo contenuto e la facilità d'uso, è la nostra scelta degli editori per le chiavi di sicurezza con autenticazione a due fattori.
Per un dispositivo più ricco di funzionalità, guarda la serie YubiKey 5, che è più costosa e probabilmente più difficile per la persona media ottenere il valore dei propri soldi.
Come funziona l'autenticazione a due fattori
A questo punto, probabilmente hai riscontrato o almeno sentito parlare di autenticazione a due fattori o 2FA.
Nell'implementazione più comune, wQuando si va ad accedere a un account, si inserisce la password e poi viene richiesto di inserire un codice a sei cifre inviato tramite SMS o generato da un'app.
Quindi sei autenticato come al solito.
È facile presumere che si chiami 2FA perché è un secondo passaggio nell'autenticazione, e sebbene ciò sia vero in pratica non è in realtà la teoria.
Il nome deriva dal concetto di combinare due diversi tipi di autenticazione da tre possibili:
- Qualcosa che sai
- Qualcosa che hai e
- Qualcosa che sei.
Una password nella tua testa (o, meglio ancora, in un gestore di password) è qualcosa che tu conoscere.
Una scansione delle impronte digitali, o qualche altro fattore biometrico, è qualcosa per te siamo.
Un componente hardware o un'app in grado di autenticarti è qualcosa che sei tu avere.
Sebbene questa recensione esamini le chiavi di sicurezza hardware, ci sono altri metodi per aggiungere un secondo fattore.
Combinando due cose da quell'elenco, rendi molto più difficile per qualcuno entrare in uno dei tuoi account.
Forse qualcuno ha rubato la tua password durante una violazione di massa dei dati o l'ha semplicemente acquistata dal Dark Web.
Qualsiasi utente malintenzionato che utilizza quella password rubata verrà sventato quando gli viene chiesto di inserire il secondo fattore di autenticazione.
In realtà abbiamo alcuni dati per supportarlo.
Nel 2017, Google ha rilasciato token di sicurezza USB ai suoi 85.000 dipendenti.
Una volta fatto, le segnalazioni di furti di account da attacchi di phishing sono scese a zero.
Sicurezza in una chiave principale
Il token di sicurezza è in realtà uno dei circa una mezza dozzina di prodotti hardware 2FA offerti da Yubico.
Alcuni sono esclusivamente aziendali, ma l'ammiraglia della serie YubiKey 5 comprende quattro diversi prodotti.
Yubikey 5 NFC utilizza USB-A e può comunicare in modalità wireless con il tuo telefono Android tramite NFC.
Lo Yubikey 5C utilizza USB-C, ma non dispone di funzionalità wireless.
Anche Yubikey 5 Nano e 5C Nano non hanno NFC ma sono abbastanza piccoli da rimanere semipermanentemente nello slot USB.
I prezzi della serie YubiKey 5 vanno da $ 45 per 5 NFC a $ 60 per 5C Nano.
Alcune delle funzionalità delle chiavi richiedono un software client fornito gratuitamente da Yubico o la configurazione manuale del dispositivo.
Tutti e quattro i dispositivi della serie YubiKey 5 hanno le stesse capacità sotto il cofano.
Tutti supportavano FIDO U2F e FIDO2, gli attuali e presunti protocolli universali a due fattori.
Ma i dispositivi della serie YubiKey 5 possono anche fungere da smart card utilizzando la verifica dell'identità personale, possono generare password monouso, supportare sia OATH-TOTP che OATH-HOTP e possono essere utilizzati per l'autenticazione challenge-response.
Tutti e quattro i dispositivi supportano tre algoritmi crittografici: RSA 4096, ECC p256 ed ECC p384.
È un sacco di zuppa alfabetica.
Se sai già cosa significa, YubiKey 5 ti entusiasmerà.
In caso contrario, sappi solo che questi sono dispositivi dell'esercito svizzero e possono fare qualsiasi cosa tu chieda loro, a condizione che tu sappia cosa chiedere e cosa stai facendo.
Il token di sicurezza di Yubico è un dispositivo radicalmente diverso.
Per i principianti, il suo guscio di plastica resistente è blu brillante, dove tutti gli altri dispositivi YubiKey sono neri, e un minuscolo logo della chiave si illumina di blu-bianco quando viene inserito in uno slot USB-A.
Un numero 2 è inciso sulla plastica, sopra il disco d'oro sensibile al tatto, che lo differenzia da un modello precedente.
A parte le apparenze, il token di sicurezza è anche notevolmente più economico, poiché costa solo $ 20.
La differenza più critica è quale sia il token di sicurezza non lo fa fare.
Supporta solo i protocolli FIDO U2F e FIDO2.
Non può generare password monouso, né funzionerà con nessuno dei software client di Yubico.
Per la maggior parte delle persone, questo andrà bene.
La maggior parte dei principali siti Web che supportano le chiavi di sicurezza supportano U2F.
Quell'elenco include Google, Facebook e Twitter.
Il token di sicurezza fa meno, ma è sufficiente per il consumatore medio e a un prezzo che possono permettersi.
[embed]https://www.youtube.com/watch?v=AMOtB7XkTT4[/embed]
Se stai esaminando la lista delle funzionalità di YubiKey lasciate fuori dal token di sicurezza e ti ritrovi a sbavare o a prendere la tua carta di credito, salta il token di sicurezza e sborsare il denaro extra.
Se sei un capo reparto IT e cerchi un'unica soluzione per le tue esigenze di 2FA, ignora il token di sicurezza.
Hands On con il token di sicurezza di Yubico
La plastica blu testurizzata del token di sicurezza è buona e aderente alle dita e il tutto sembra solido nonostante pesa solo 3 grammi.
Il suo materiale nasconde le impronte digitali e l'usura, che otterrà appendendosi a un portachiavi, come progettato.
Il design piatto del token di sicurezza significa che si blocca facilmente con altre chiavi su un anello, a differenza del più ingombrante YubiKey 5C.
Come i suoi cugini YubiKey, il token di sicurezza è a prova di schiacciamento e impermeabile senza parti mobili.
Non si esaurirà mai, perché non ha batterie.
Non richiede LTE o Wi-Fi.
Questi ultimi due punti sono grandi vantaggi rispetto alle app di autenticazione.
Usare il token di sicurezza è un gioco da ragazzi.
Basta andare su un sito che supporta le chiavi di sicurezza per 2FA e cercare l'opzione per registrare una nuova chiave.
Ti verrà quindi chiesto di inserire la chiave in una porta USB e quindi toccare il disco dorato.
Questo è tutto! La chiave è ora registrata.
Al successivo accesso, il sito richiede la password e quindi richiede di inserire e toccare la chiave di sicurezza.
Una volta fatto, sei dentro!
Ho testato il token di sicurezza di Yubico con account Google, Twitter e Facebook, dove ha funzionato perfettamente.
Tieni presente che alcuni servizi potrebbero richiedere la creazione di codici di backup (dovresti, anche se non è richiesto) o la registrazione di un numero di telefono per l'autenticazione del backup tramite SMS.
Mi piace avere opzioni e in genere ho diversi modi per confermare qualsiasi account.
Nota che mentre la maggior parte dei browser moderni supporta U2F, Firefox lo ha disabilitato per impostazione predefinita.
Yubico ha un pratico articolo su come attivare il supporto U2F per l'eccellente browser di Mozilla.
Sebbene l'U2F stia diventando sempre più comune, non viene utilizzato ovunque.
LastPass, ad esempio, utilizza la funzione Yubico One-Time Password per proteggere gli account, supportato dalla linea YubiKey 5 ma non dal token di sicurezza. Yubico ha un elenco piuttosto completo di siti e servizi che accettano diversi tipi di YubiKey, quindi guarda lì quando stai cercando di determinare quale modello si adatta meglio alla tua vita.
Una breve nota su FIDO2: è nuovo e potrebbe essere un grosso problema.
Yubico dice molto su come questo protocollo un giorno sostituirà del tutto le password.
È un'ottima idea, ma è anche quella che ho sentito prima.
Sono contento che tutti i prodotti Yubico supportino FIDO2, come misura a prova di futuro, ma la giuria è ancora fuori dalla sua utilità.
Microsoft ora consente agli utenti di accedere ai propri account senza password utilizzando una chiave FIDO2 e il browser Edge, che sarà un importante test di questa nuova tecnologia.
Token di sicurezza di Yubico rispetto al token di sicurezza di Google Titan
Rispetto al resto della famiglia Yubico, il token di sicurezza è la soluzione semplice ed economica per la persona media.
Il confronto con il token di sicurezza di Google Titan (nella foto sotto) è un po 'più complicato.
Sotto il cofano, la chiave di sicurezza e la chiave Titan sono molto simili.
Entrambi supportano FIDO U2F, ma la chiave Titan non supporta FIDO2.
Nessuno dei due supporta altri protocolli o schemi di accesso.
Il bundle Titan Key include due dispositivi: uno una chiave USB-A abilitata per NFC e l'altro un dongle bluetooth ricaricabile che può essere collegato tramite micro USB.
Ti costerà $ 50, rispetto ai $ 20 per il token di sicurezza.
Il token di sicurezza, tuttavia, non supporta Bluetooth o NFC.
È anche solo un dispositivo, rispetto ai due tasti Titan.
Avere due chiavi è una buona tranquillità, dal momento che ne hai una di riserva ed è necessaria anche per il programma di protezione avanzata di Google.
Ma l'acquisto di una seconda chiave di sicurezza costa ancora meno del pacchetto Titan, a un prezzo scontato di $ 36 da Yubico.
Il meglio, per meno
Il token di sicurezza di Yubico è il migliore della linea YubiKey, ad un prezzo che molti possono effettivamente permettersi.
Ciò che si perde in capacità si guadagna in accessibilità, poiché la maggior parte delle persone non utilizzerà tutte le campane e i fischietti inclusi nella linea YubiKey 5.
La chiave di sicurezza batte anche la chiave Titan, un eccellente pacchetto di prodotti che è solo un po 'troppo costoso.
Se sei un essere umano con un account Google o Facebook e sei sempre più preoccupato per le violazioni dei dati, il token di sicurezza di Yubico è la migliore protezione al prezzo più basso.
È una scelta degli editori in base alla sua convenienza, anche se consigliamo vivamente sia la serie YubiKey 5 che la chiave Google Titan come opzioni capaci e versatili.
Professionisti
Visualizza altroLa linea di fondo
Il token di sicurezza di Yubico è un modo semplice, durevole e conveniente per aggiungere l'autenticazione hardware a due fattori.
Non ha il maggior numero di funzionalità tra questi tasti, ma per il consumatore medio non può essere battuto.
