Reklama

Ponieważ liczba incydentów związanych z hakowaniem rośnie z dnia na dzień, wszyscy powinni z nich korzystać uwierzytelnianie dwuetapowe / dwuskładnikowe (2FA) Co to jest uwierzytelnianie dwuskładnikowe i dlaczego warto z niego korzystaćUwierzytelnianie dwuskładnikowe (2FA) to metoda bezpieczeństwa, która wymaga dwóch różnych sposobów potwierdzenia tożsamości. Jest powszechnie stosowany w życiu codziennym. Na przykład płacenie kartą kredytową wymaga nie tylko karty, ... Czytaj więcej . Dodaje kuloodporną warstwę wokół twojego konta internetowego, co sprawia, że ​​haker jest niezwykle trudny, jeśli nie niemożliwy.

dropboxyubico

Ale wielu ludzi zniechęca się do korzystania z 2FA, po prostu z powodu niedogodności Czy weryfikacja dwuetapowa może być mniej irytująca? Cztery tajne hacki gwarantowane w celu poprawy bezpieczeństwaCzy chcesz mieć zabezpieczone konto kuloodporne? Zdecydowanie sugeruję włączenie uwierzytelniania „dwuskładnikowego”. Czytaj więcej z konieczności uzyskania drugiego kodu z telefonu za każdym razem, gdy chcą się zalogować. Dlatego ludzie albo wyłączają tę funkcję, albo nie przejmują się jej konfiguracją. Ale powinieneś, jak wiele firm

instagram viewer
wchodzą teraz w ten pomysł.

Jeśli zaliczasz się do grupy „łatwo niewygodnej”, z przyjemnością usłyszysz, że jest inna opcja zamiast 2FA. Ta opcja zapewnia bezpieczeństwo konta, ale wystarczy nacisnąć przycisk i już jesteś. To się nazywa YubiKey, a po kilku dniach korzystania z niego jestem już nawrócony. Kochanie, przywitałeś mnie.

Co to jest YubiKey?

yubikey

YubiKey to patyk podobny do USB, wyprodukowany przez firmę Yubico. Tworzą różne produkty, z których wszystkie wykonują podobne prace. Ale na potrzeby tego artykułu skupię się na Fido U2F, (Uniwersalny 2-czynnikowy), który otrzymałem. Jest łatwy w konfiguracji i obsłudze i najwyraźniej niezniszczalna.

Ze strony:

„Wszystkie YubiKeys są prawie niezniszczalne. Standardowy rozmiar YubiKey (taki jak YubiKey Standard, YubiKey NEO, YubiKey Edge i FIDO U2F Security Key) to wykonane z formowanego wtryskowo plastiku otaczającego zespół obwodów, a odsłonięte elementy wykonane są z hartowanej klasy wojskowej złoto. Wodoodporny i odporny na zgniatanie standardowy YubiKey przyczepia się do pęku kluczy obok kluczy do domu i samochodu ”.

yubikey_waterproof

To dość mała, delikatna rzecz i wybaczono by ci, że wątpisz w „niezniszczalne” twierdzenie. Ważący zaledwie 3 gramy, jego wymiary wynoszą zaledwie 18 mm x 45 mm x 3 mm. Ale ten mały klucz, wraz z przechowywaniem wszystkich moich haseł w KeePass, nagle sprawił, że logowanie na konta stało się bezbolesne i bezproblemowe. Google i Facebook używają YubiKey do poświadczeń pracowników, więc koncepcja ma kilka bardzo mocnych elementów, które ją wspierają. Google wprowadzili go dla swoich użytkowników w 2014 roku.

Jak to działa?

YubiKey to sprzęt, który obsługuje hasła jednorazowe, szyfrowanie i uwierzytelnianie klucza publicznego oraz protokół Universal 2nd Factor (U2F) opracowany przez Sojusz FIDO. Możesz go użyć do bezpiecznego logowania do obsługiwanych kont przy użyciu hasła jednorazowego lub opartego na FIDO para kluczy publiczny / prywatny Jak działa szyfrowanie i czy jest naprawdę bezpieczne? Czytaj więcej wygenerowane przez urządzenie. Po wprowadzeniu klucza naciskasz złoty przycisk, a dotknięcie palcem powoduje wydzielenie niewielkiego ładunku elektrycznego, który aktywuje urządzenie.

Jak to skonfigurować?

YubiKey jest bardzo łatwy do skonfigurowania, jak zobaczysz poniżej. Klucz U2F działa dla Konta Google, Dropbox, Github Co to jest Git i dlaczego powinieneś używać kontroli wersji, jeśli jesteś programistąJako programiści stron internetowych często pracujemy nad lokalnymi witrynami programistycznymi, a następnie przesyłamy wszystko po zakończeniu. To dobrze, gdy jesteś tylko ty, a zmiany są niewielkie, ... Czytaj więcej , i Dashlane Dashlane - elegancki nowy menedżer haseł, wypełniacz formularzy i asystent zakupów onlineJeśli próbowałeś już kilku menedżerów haseł, prawdopodobnie nauczyłeś się oczekiwać szorstkości wokół krawędzi. Są solidnymi, użytecznymi aplikacjami, ale ich interfejsy mogą być zbyt złożone i niewygodne. Dashlane nie tylko zmniejsza ... Czytaj więcej . Na potrzeby tego artykułu korzystam z kont Google, ale inni będą mniej więcej postępować zgodnie z tą samą procedurą. Po prostu różne zrzuty ekranu.

Skieruj się na stronę Google 2-Step Authentication i kliknij Klucze bezpieczeństwa patka.

yubikey1

Spowoduje to przejście do strony konfiguracji. Postępuj zgodnie z instrukcjami na stronie. To wszystko jest bardzo proste i proste.

yubikey2

Po pomyślnym zarejestrowaniu klucza przycisk „Zarejestruj się” u dołu zmieni kolor na zielony i wyświetli „Zarejestrowany”. Jeśli tak się nie stanie, zacznij od początku, aż to zrobi.

yubikey3

Możesz sprawdzić, czy klucz został pomyślnie zarejestrowany, wracając do Klucze bezpieczeństwa patka.

yubikey4

I to jest, panie i panowie, o to chodzi.

Co się stanie, jeśli zalogujesz się za pomocą smartfona lub tabletu?

iPhone

To była jedna z pierwszych rzeczy, które przyszły mi do głowy. Loguję się na wszystkie moje konta Google dużo na moich urządzeniach iOS. Moje iDevices są wspaniałe, ale jedyną ich słabością jest to, że nie mają portu USB. Gdzie więc idzie YubiKey, kiedy mnie pyta?

Po konsultacji z firmą wydaje się, że jeśli zalogujesz się na swoje konto za pomocą telefonu lub tabletu, YubiKey to wykrywa, a ekran logowania automatycznie ustawi domyślną metodę uwierzytelniania 2-czynnikowego (SMS, Authylub Google Authenticator Google zaleca dwuetapowy proces ochrony konta [Aktualności]Większość doświadczonych użytkowników Internetu prawdopodobnie ma co najmniej jedno konto Google - głównie dlatego, że Google, na dobre lub na złe, krzyżuje ścieżki z wieloma innymi stronami internetowymi, że trudno uniknąć nieużywania ... Czytaj więcej ). Sam YubiKey zostanie poproszony tylko wtedy, gdy wykryje, że używasz komputera stacjonarnego lub laptopa, coś, co będzie miało port USB.

Warto również zauważyć, że jeśli kierujesz swoją pocztę e-mail przez lokalnego klienta, takiego jak Apple Mail lub Outlook, wtedy ani YubiKey ani 2FA nie jest obsługiwany. W takim przypadku musisz użyć specjalnego hasła do aplikacji z danej aplikacji.

Zalety

Omówmy teraz kilka zalet używania takiego klucza.

Jest niezwykle prosty w użyciu

touch_yubico

Naprawdę nie ma sposobu, aby zepsuć coś takiego. Po prawidłowym skonfigurowaniu wystarczy włożyć klucz do portu USB i raz nacisnąć świecący przycisk. Otóż ​​to. Jak więc ktoś mógł pomylić?

Twoje konto ma dodatkowe zabezpieczenia bez irytacji

Jak już wspomniałem, 2FA jest dobre - ale może być denerwujące. Kiedy rozmawiam z kimś, kto nie ma 2FA, normalną wymówką jest niezmiennie „to zbyt wielki problem“. Ale moim kontrargumentem zawsze jest „i ile kłopotów wiąże się z próbą odzyskania zaatakowanego konta?“. Niemniej jednak wciąż to rozumiem. 2FA obejmuje logowanie się do telefonu, uzyskanie kodu i wprowadzenie go. Robienie tego raz nie jest niczym wielkim, ale kiedy robisz to regularnie, zaczyna być nudne. Nawet kilkakrotnie kusiło mnie, aby to wszystko wyłączyć i nie dbać o to, że ktoś może włamać się na moje konta, i nie jestem w tym sam.

YubiKey usuwa tę irytację i sprawia, że ​​jesteś bardziej skłonny do korzystania z dodatkowej ochrony. Jednak nadal będziesz musiał skonfigurować 2FA, jeśli uzyskasz dostęp do swoich kont online za pomocą smartfona lub tabletu. Więc nie możesz całkowicie uciec od 2FA.

To jest tanie

Różne oferowane YubiKeys mają różną cenę (40–50 USD), ponieważ każdy wykonuje określoną pracę (więcej informacji na ten temat znajduje się w części „Wady”). Jednak U2F jest naprawdę tani (18 USD na Amazon), ponieważ robi mniej niż inne klucze. Aby zmoczyć stopy urządzeniem, najlepiej zacząć od U2F. Pomyśl o tym jak o kołach uczących się na rowerze dziecka.

Nie można zarazić się wirusem

wirus

Jedną z rzeczy, które najbardziej zauważyłem w Internecie, kiedy czytam o YubiKeys, są ludzie krzyczący „i zarazić się nim w publicznym terminalu internetowym? NIE, DZIĘKUJĘ!“. Po pierwsze, nie powinieneś używać publiczne połączenia internetowe 5 sposobów, aby upewnić się, że używane przez Ciebie komputery publiczne są bezpiecznePubliczne Wi-Fi jest niebezpieczne bez względu na komputer, na którym pracujesz, ale zagraniczne maszyny wymagają jeszcze większej ostrożności. Jeśli korzystasz z komputera publicznego, postępuj zgodnie z tymi wytycznymi, aby zapewnić prywatność i bezpieczeństwo. Czytaj więcej ze względów bezpieczeństwa, a po drugie, YubiKeys nie może dostać wirusów, ponieważ nie można przenieść na nie żadnych plików. To nie jest takie urządzenie USB. Dodaj do tego fakt, że wszystkie informacje zawarte w kluczu są chronione przed zapisem, a komputer rozpoznaje klawisz jako klawiaturę. Więc nie musisz się martwić tym wynikiem.

Jego wady

Chociaż moim zdaniem YubiKey jest świetnym urządzeniem, nadal należy pamiętać o kilku istotnych wadach.

Działa tylko w Chrome

zbyt wiele kart chrome

W tym momencie YubiKey działa tylko w przeglądarce Google Chrome w wersji 38 lub nowszej. Na szczęście użytkownicy przeglądarek Firefox, Safari, Opera i Brzeg 10 powodów, dla których powinieneś teraz używać Microsoft EdgeMicrosoft Edge oznacza całkowite zerwanie z marką Internet Explorer, zabijając w ten sposób 20-letnie drzewo genealogiczne. Oto dlaczego powinieneś go używać. Czytaj więcej . Bardzo możliwe, że wejdą na pokład w przyszłości, ale teraz nie obsługują YubiKey. Przez całe życie nie rozumiem, dlaczego obsługiwany jest tylko Chrome. To rodzaj wyobcowania dużej liczby użytkowników przeglądarki.

Różne konta wymagają różnych kluczy

yubikeys

Yubico wytwarza 7 różnych produktów i wszystkie robią różne rzeczy. Na przykład mój klucz, Fido U2F, otwiera tylko konta w menedżerach haseł Google, Dropbox, Github i Dashlane (tylko konta premium).

Ale - i to jest naprawdę duże, ale - jeśli chcesz zabezpieczyć swój system operacyjny, Paypal, Evernote lub WordPress, będziesz potrzebować różnych YubiKeys. Jeśli jednak potrzebujesz tylko czegoś, aby odblokować konto Gmail, to U2F jest wystarczające. Wszystko inne jest jak użycie czołgu do ciosu muchy.

YubiKey 4 prawie wszystko robi, ale przy 50 USD może okazać się nieco za drogi dla kogoś, kto chce dostać się do swojej poczty e-mail.

Jeśli ktoś otrzyma Twój klucz i hasło do konta, Twoje konto zostanie naruszone

haker

W przypadku 2FA każdy intruz potrzebuje fizycznego dostępu do twojego telefonu, aby otrzymać SMS lub kod Google Authenticator. Jeśli masz hasło w telefonie (co powinieneś, zwłaszcza w świetle pokazu kart) między Apple a FBI Backdoory FBI nikomu nie pomogą - nawet FBIFBI chce zmusić firmy technologiczne do umożliwienia usługom bezpieczeństwa szpiegowania wiadomości błyskawicznych. Ale takie backdoory bezpieczeństwa tak naprawdę nie istnieją, a jeśli tak, czy zaufalibyście ich rządowi? Czytaj więcej ), dostęp do kodów 2FA byłby niemożliwy dla nieautoryzowanej strony trzeciej. Chyba że twój kod jest czymś niezwykle oczywistym (np. Twoje urodziny), a intruz zna cię na tyle dobrze, aby zgadywać.

Ale jeśli ktoś zdobędzie twój YubiKey, a także zna hasło do twojego konta, wtedy trafi na konto szybciej niż gorący nóż przez masło. Nie mieliby hasła do obejścia. Zakłada się, że na początku masz hasło do telefonu. Jeśli nie, to nie ma różnicy między użyciem 2FA a użyciem YubiKey.

Najlepszym sposobem rozwiązania tego problemu jest użycie bardzo długiego, trudne do odgadnięcia hasło do konta Podręcznik zarządzania hasłamiNie czuj się przytłoczony hasłami lub po prostu używaj tego samego na każdej stronie, aby je zapamiętać: zaprojektuj własną strategię zarządzania hasłami. Czytaj więcej (i trzymaj to w zaszyfrowany menedżer haseł Menedżer haseł Battle Royale: Kto skończy na szczycie? Czytaj więcej ). W ten sposób, nawet jeśli klucz wpadnie w niepowołane ręce, ustalenie hasła do konta byłoby niezwykle trudne, jeśli nie niemożliwe. Bez hasła klucz stałby się bezużytecznym kawałkiem plastiku.

Czy są jakieś alternatywy dla YubiKey?

nitrokey

Po rozejrzeniu się wydaje się, że jedyną alternatywą dla YubiKey Nitrokey. W przybliżeniu ta sama cena co YubiKey, NitroKey jest produkowany w Niemczech i szczyci się tym, że jest open source. Wydaje się również, że robi znacznie więcej niż YubiKey, co sprawia, że ​​zastanawiam się nad zakupem i przetestowaniem go do porównania. Produkt wcześniej nazywał się Crypto-Key i został sprawdzony przez Danny'ego w 2012 roku Niemiecka fundacja ochrony prywatności Crypto Stick - jak i dlaczego jest bezpieczniejszaCiągle tworzone są nowe technologie w celu zwiększenia bezpieczeństwa, a wiele z nich ostatecznie znika z powodu luk i innych odkrytych problemów. Żadna forma zabezpieczenia nie jest zwolniona ... Czytaj więcej .

Ale miło jest widzieć, że co najmniej jedna inna firma produkuje konkurencyjny produkt, a tym samym rozwija całą koncepcję klucza bezpieczeństwa. Rywalizacja promuje badania, a badania kończą się lepszymi produktami (zwykle).

Spokój ducha czy wygoda?

klawiatura

Cała eksploracja koncepcji YubiKey zrodziła dla mnie i tak całe pytanie, na co powinniśmy być przygotowani w imię bezpieczeństwa. Uwierzytelnianie dwuskładnikowe to doskonały sposób na upewnienie się, że twoje konto jest zablokowane, ale jak już wspomniałem, może to być prawdziwy problem w tyłku. To prowadzi wielu ludzi do powiedzenia „daj spokój, wyłączam to!”.

Z drugiej strony coś w rodzaju YubiKey lub NitroKey sprawia, że ​​cały proces jest wygodny. Naciśnij przycisk i już jesteś. Ale jeśli zgubisz klucz, a ktoś z łatwością odgadnie twoje hasło, będziesz miał bardzo zły dzień. Więc spokojnie (i wykonując kilka dodatkowych kroków) lub naciskając przycisk na klawiaturze i oszczędzając 60 sekund? Do którego obozu wpadniesz? Powiedz nam w komentarzach.

Mark O'Neill jest niezależnym dziennikarzem i bibliofilem, który publikuje artykuły od 1989 roku. Przez 6 lat był redaktorem zarządzającym MakeUseOf. Teraz pisze, pije za dużo herbaty, zmaga się z psem z ręką i pisze trochę więcej. Możesz go znaleźć na Twitterze i Facebooku.