Des décennies de produits informatiques grand public ont enseigné une chose à l'humanité: les mots de passe sont mauvais.
Pour rendre les mots de passe à nouveau acceptables, nous nous tournons maintenant vers les gestionnaires de mots de passe et l'authentification à deux facteurs pour mieux sécuriser nos comptes en ligne.
La clé de sécurité de Yubico est une clé USB-A que vous insérez et appuyez lorsque vous êtes invité à confirmer votre identité.
Travaillant en conjonction avec un mot de passe traditionnel, c'est un outil puissant pour arrêter les escrocs et les voleurs d'identité sur leurs traces.
La clé de sécurité de Yubico n'a pas toutes les cloches et les sifflets de ses cousins ??et concurrents, mais - à moins de la moitié du prix - c'est une solution facile à un prix avantageux.
Pour son prix bas et sa facilité d'utilisation, c'est notre choix des éditeurs pour les clés de sécurité à authentification à deux facteurs.
Pour un appareil plus riche en fonctionnalités, regardez la série YubiKey 5, qui est plus chère et probablement plus difficile pour la personne moyenne d'en avoir pour son argent.
Fonctionnement de l'authentification à deux facteurs
À ce stade, vous avez probablement rencontré ou au moins entendu parler de l'authentification à deux facteurs, ou 2FA.
Dans l'implémentation la plus courante, wLorsque vous vous connectez à un compte, vous entrez votre mot de passe, puis vous êtes invité à saisir un code à six chiffres envoyé par SMS ou généré par une application.
Ensuite, vous êtes authentifié comme d'habitude.
Il est facile de supposer qu'il s'appelle 2FA car c'est une deuxième étape dans l'authentification, et bien que ce soit vrai en pratique, ce n'est pas en fait la théorie.
Le nom vient du concept de combinaison de deux types d'authentification différents parmi trois possibles:
- Quelque chose que tu sais,
- Quelque chose que vous avez, et
- Quelque chose que vous êtes.
Un mot de passe dans votre tête (ou, mieux encore, dans un gestionnaire de mots de passe) est quelque chose que vous savoir.
Une analyse d'empreintes digitales, ou un autre facteur biométrique, est quelque chose que vous sommes.
Un élément matériel ou une application qui peut vous authentifier est quelque chose que vous avoir.
Bien que cette revue examine les clés de sécurité matérielles, il existe d'autres méthodes pour ajouter un deuxième facteur.
En combinant deux éléments de cette liste, vous rendez beaucoup plus difficile pour quelqu'un de s'introduire dans l'un de vos comptes.
Peut-être que quelqu'un a volé votre mot de passe lors d'une violation massive de données ou l'a simplement acheté sur le Dark Web.
Tout attaquant qui utilise ce mot de passe volé sera déjoué lorsqu'il sera invité à entrer son deuxième facteur d'authentification.
Nous avons en fait des données pour étayer cela.
En 2017, Google a délivré des clés de sécurité USB à ses 85000 employés.
Une fois qu'ils l'ont fait, les rapports de prise de contrôle de compte suite à des attaques de phishing sont tombés à zéro.
La sécurité dans une clé majeure
La clé de sécurité est en fait l'un des quelque une demi-douzaine de produits matériels 2FA proposés par Yubico.
Certains sont réservés aux entreprises, mais la série phare YubiKey 5 comprend quatre produits différents.
Le Yubikey 5 NFC utilise USB-A et peut communiquer sans fil avec votre téléphone Android via NFC.
Le Yubikey 5C utilise USB-C, mais manque de capacités sans fil.
Les Yubikey 5 Nano et 5C Nano manquent également de NFC mais sont suffisamment petits pour rester de manière semi-permanente dans votre port USB.
Les prix de la série YubiKey 5 vont de 45 $ pour le 5 NFC à 60 $ pour le 5C Nano.
Certaines fonctionnalités des touches nécessitent un logiciel client fourni gratuitement par Yubico ou une configuration manuelle de l'appareil.
Tous les quatre appareils de la série YubiKey 5 ont les mêmes capacités sous le capot.
Ils ont tous pris en charge FIDO U2F et FIDO2, les protocoles universels actuels et présumés à deux facteurs.
Mais les appareils de la série YubiKey 5 peuvent également servir de cartes à puce à l'aide de la vérification d'identité personnelle, peuvent générer des mots de passe à usage unique, prendre en charge à la fois OATH-TOTP et OATH-HOTP, et peuvent être utilisés pour l'authentification par défi-réponse.
Les quatre appareils prennent en charge trois algorithmes cryptographiques: RSA 4096, ECC p256 et ECC p384.
C'est beaucoup de soupe à l'alphabet.
Si vous savez déjà ce que cela signifie, alors la YubiKey 5 vous passionnera.
Sinon, sachez que ce sont des appareils de l'armée suisse et que vous pouvez faire à peu près tout ce que vous leur demandez, à condition de savoir quoi demander et ce que vous faites.
La clé de sécurité de Yubico est un appareil radicalement différent.
Pour commencer, sa coque en plastique durable est bleu vif, où tous les autres appareils YubiKey sont noirs, et un petit logo de clé brille en bleu-blanc lorsqu'il est inséré dans un port USB-A.
Un chiffre 2 est gravé dans le plastique, au-dessus du disque en or tactile, ce qui le différencie d'un modèle antérieur.
Mis à part les apparences, la clé de sécurité est également considérablement moins chère, ne coûtant que 20 $.
La différence la plus critique est la clé de sécurité ne fait pas faire.
Il prend uniquement en charge les protocoles FIDO U2F et FIDO2.
Il ne peut pas générer de mots de passe à usage unique, ni ne fonctionnera avec aucun des logiciels clients de Yubico.
Pour la plupart des gens, ce sera très bien.
La plupart des principaux sites Web prenant en charge les clés de sécurité prennent en charge U2F.
Cette liste comprend Google, Facebook et Twitter.
La clé de sécurité en fait moins, mais elle en fait juste assez pour le consommateur moyen, et à un prix abordable.
[embed]https://www.youtube.com/watch?v=AMOtB7XkTT4[/embed]
Si vous regardez la liste des capacités de YubiKey laissées en dehors de la clé de sécurité et que vous vous retrouvez à baver ou à chercher votre carte de crédit, sautez la clé de sécurité et débourser l'argent supplémentaire.
Si vous êtes chef de service informatique et recherchez une solution unique pour vos besoins 2FA, ignorez la clé de sécurité.
Mains sur avec la clé de sécurité de Yubico
Le plastique bleu texturé de la clé de sécurité est bon et adhérent aux doigts, et le tout est solide malgré un poids de seulement 3 grammes.
Son matériau cache les empreintes digitales et l'usure, qu'il obtiendra en s'accrochant à un porte-clés, comme prévu.
La conception plate de la clé de sécurité signifie qu'elle se bloque facilement avec d'autres clés sur un anneau, contrairement à la YubiKey 5C plus volumineuse.
Comme ses cousins ??YubiKey, la clé de sécurité est indéformable et étanche, sans pièces mobiles.
Il ne sera jamais à court d'énergie, car il n'a pas de piles.
Il ne nécessite ni LTE ni Wi-Fi.
Ces deux derniers points sont de gros avantages par rapport aux applications d'authentification.
L'utilisation de la clé de sécurité est un jeu d'enfant.
Rendez-vous simplement sur un site prenant en charge les clés de sécurité pour 2FA et recherchez l'option d'inscription d'une nouvelle clé.
Vous serez ensuite invité à insérer votre clé dans un port USB, puis à appuyer sur le disque d'or.
C'est ça! La clé est maintenant inscrite.
Lorsque vous vous connectez ensuite, le site demande votre mot de passe, puis vous invite à insérer et à appuyer sur votre clé de sécurité.
Une fois que vous le faites, vous y êtes!
J'ai testé la clé de sécurité de Yubico avec des comptes Google, Twitter et Facebook, où cela fonctionnait parfaitement.
Notez que certains services peuvent vous demander de créer des codes de sauvegarde (vous devriez, même si ce n'est pas obligatoire) ou d'inscrire un numéro de téléphone pour l'authentification de sauvegarde par SMS.
J'aime avoir des options et j'ai généralement plusieurs façons de confirmer n'importe quel compte.
Notez que si la plupart des navigateurs modernes prennent en charge U2F, Firefox l'a désactivé par défaut.
Yubico a un article pratique sur la façon d'activer le support U2F pour l'excellent navigateur de Mozilla.
Bien que l'U2F soit de plus en plus courant, il n'est pas utilisé partout.
LastPass, par exemple, utilise la fonction de mot de passe à usage unique Yubico pour sécuriser les comptes, pris en charge par la ligne YubiKey 5 mais pas par la clé de sécurité. Yubico a une liste assez solide de sites et de services qui acceptent différents types de YubiKeys, alors regardez là quand vous essayez de déterminer quel modèle conviendra le mieux à votre vie.
Un petit mot sur FIDO2: c'est nouveau, et ça pourrait être un gros problème.
Yubico en dit long sur la façon dont ce protocole remplacera un jour les mots de passe.
C'est une excellente idée, mais c'est aussi une idée que j'ai déjà entendue.
Je suis heureux que tous les produits Yubico prennent en charge FIDO2, comme mesure de pérennité, mais le jury n'est toujours pas sur son utilité.
Microsoft permet désormais aux utilisateurs de se connecter à leurs comptes sans mot de passe à l'aide d'une clé FIDO2 et du navigateur Edge, ce qui constituera un test majeur de cette nouvelle technologie.
Clé de sécurité de Yubico par rapport à la clé de sécurité Google Titan
Par rapport au reste de la famille Yubico, la clé de sécurité est la solution simple et abordable pour la personne moyenne.
La comparer à la clé de sécurité Google Titan (illustrée ci-dessous) est un peu plus compliquée.
Sous le capot, la clé de sécurité et la clé Titan sont très similaires.
Ils prennent tous deux en charge FIDO U2F, mais la clé Titan ne prend pas en charge FIDO2.
Ni l'un ni l'autre ne prend en charge d'autres protocoles ou schémas de connexion.
L'ensemble Titan Key comprend deux appareils: l'un une clé USB-A compatible NFC et l'autre un dongle Bluetooth rechargeable qui peut être connecté via micro USB.
Cela vous coûtera 50 $, contre 20 $ pour la clé de sécurité.
La clé de sécurité, cependant, ne prend pas en charge Bluetooth ou NFC.
C'est aussi juste un appareil, par rapport aux deux clés Titan.
Avoir deux clés est une bonne tranquillité d'esprit, car vous en avez une de rechange, et c'est également nécessaire pour le programme de protection avancée de Google.
Mais l'achat d'une deuxième clé de sécurité coûte toujours moins cher que le pack Titan, à 36 $ de réduction chez Yubico.
Le meilleur pour moins
La clé de sécurité de Yubico est la meilleure de la gamme YubiKey, à un prix que beaucoup peuvent réellement se permettre.
Ce qui est perdu en capacité, c'est gagné en accessibilité, car la plupart des gens n'utiliseront pas toutes les cloches et sifflets inclus dans la gamme YubiKey 5.
La clé de sécurité bat également la clé Titan, un excellent ensemble de produits qui est juste un peu trop cher.
Si vous êtes un être humain avec un compte Google ou Facebook et que vous vous inquiétez de plus en plus des violations de données, la clé de sécurité de Yubico est la meilleure protection au prix le plus bas.
C'est un choix des éditeurs basé sur son prix abordable, bien que nous recommandons vivement la série YubiKey 5 et la clé Google Titan en tant qu'options polyvalentes et polyvalentes.
Avantages
Afficher plusLa ligne de fond
La clé de sécurité de Yubico est un moyen simple, durable et abordable d'ajouter une authentification matérielle à deux facteurs.
Il n'a pas le plus de fonctionnalités parmi ces touches, mais pour le consommateur moyen, il est imbattable.
