Nigdy wcześniej nie używałem kluczy zabezpieczeń USB. YubiKey 5 NFC czarny jest moim pierwszym i muszę powiedzieć, że tak to można zaczynać współpracę. W tym tekście będzie dużo dobrego o kluczu, który współchroni obecnie mojego laptopa, a to ze względu na intuicyjność i łatwość obsługi oraz na poziom zabezpieczeń. Ale najpierw trochę teorii.
Jest to niewielkie akcesorium przypominające pendrive, które wsuwasz do portu USB w komputerze albo laptopie, żeby dokonać dwuskładnikowego uwierzytelniania logowania (inaczej dwuetapowej weryfikacji) przy logowaniu do systemu, portalu albo usługi. W sprzedaży są także klucze NFC skonstruowane z myślą o smartfonach i uwierzytelnianiu bezprzewodowym. Klucz zabezpieczeń USB chroni przede wszystkim przed phishingiem i nie stanowi ochrony antywirusowej. Nie traktuj go więc jak remedium na wszelkie zagrożenia.
Sprzętowy klucz zabezpieczeń USB ma tę przewagę nad smartfonem (konkretnie nad uwierzytelnianiem za pomocą aplikacji i kodów SMS, czyli treściami wyświetlanymi na ekranie), że klucza nie da się podejrzeć, ani szpiegować. Pracuje niezależnie od Twoich urządzeń, w dodatku nie posiada ruchomych części i nie sposób go modyfikować.
Wątpliwość natury finansowej, która być może teraz się w Tobie narodziła, rozwiewam, mówiąc, że YubiKey 5 NFC, jaki posiadam, kosztuje mniej niż 300 zł. Kwota śmiesznie niska za tak zaawansowaną ochronę.
Bezsprzecznie należy wybrać klucz bezpieczeństwa U2F. Dlaczego? Odpowiedź jest prosta – tylko klucze U2F sprawiają, że w pełni zabezpieczamy się przed atakiem hakerów. Phishing nie jest czymś okazjonalnym, ale zjawiskiem masowym. Ma-so-wym!
Ja sam znajduję w swej skrzynce mailowej wiadomości przychodzące rzekomo z banku, z firm kurierskich, z Allegro i z paru innych serwisów. Phishing dzieje się na naszych oczach, co widać w nagłówkach portali branżowych. Przestępcy stosują tak sprytne zabiegi, że naprawdę każdemu noga może się podwinąć.
Właśnie dlatego trzeba się zaopatrzyć w klucz bezpieczeństwa U2F, bo on korzysta z zaawansowanej metody kryptografii asymetrycznej. Ten zabieg zabezpiecza mnie nawet przed własną nieuwagą. Jak to możliwe? To proste, żadne informacje z klucza nie są wysyłane na zewnątrz. W odróżnieniu od tokena-zdrapki nie ma opcji, że ktoś przechwyci dane z klucza zabezpieczeń i wykorzysta w niecnym celu.
Przeglądając klucze, zwróć uwagę, czy ten upatrzony pozwala logować się do systemu operacyjnego komputera. Tym sposobem nie ma opcji, żeby ktoś, kto ukradł Ci laptopa i podpatrzył hasło lub PIN wpisywane na klawiaturze i dostał się do zasobów systemu. Windows i Linux wymagają na przykład zgodności z protokołem FIDO 2.0, którą to zgodność mój YubiKey 5 NFC posiada. Tymczasem macOS wspiera PIV, z jego pomocą zalogujesz się do systemu bez wprowadzania hasła.
Co więcej, Yubico jest jednym ze współtwórców systemu FIDO 2.0 oraz członkiem FIDO Alliance. Należy tym samym do grona najbardziej zaufanych partnerów Microsoftu.
Czy wszystkie klucze sprzętowe wyglądają tak samo? Oczywiście, że nie. Yubico ma w swojej ofercie:
Na tym etapie tekstu zakup klucza zabezpieczeń USB nie powinien już budzić najmniejszych wątpliwości. Lecz jeśli wciąż Cię nie przekonałem, pozwól, że przedstawię kilka przykładów z życia wziętych. Otóż klucz zabezpieczeń USB, jak mój YubiKey 5 NFC:
W Polsce nie da się użyć klucza zabezpieczeń USB do podwójnej weryfikacji konta bankowego. Albo inaczej – jeszcze nie da się tego robić. Być może w niedalekiej przyszłości pojawi się taka opcja, lecz póki co trzeba korzystać z zabezpieczeń typu kodu SMS lub tokeny-zdrapki. Warto też włączyć telefoniczną autoryzację przelewów, których wartość przekracza ustaloną z bankiem kwotę.
Weryfikacja dwuetapowa polega na podwójnym sprawdzaniu tożsamości w trakcie logowania. Etap pierwszy wymaga podania loginu i hasła w panelu logowania (co można sobie ułatwić, np. dzięki autouzupełnianiu formularzy w przeglądarce). Na etapie drugim korzystasz z uwierzytelnienia zewnętrznego w postaci: tokenu sprzętowego, kodów drukowanych, kodów wysyłanych w wiadomości SMS, kodów generowanych w aplikacji mobilnej (Google Authenticator) albo klucza bezpieczeństwa USB.
Chciałbym napisać, że weryfikacja dwuetapowa zapewnia pełną ochronę i daje 100% zabezpieczenia przed cyberzagrożeniami. Ale tak nie jest, bo żaden sposób nie gwarantuje niezawodnej ochrony. Niemniej weryfikacja dwuetapowa ogromnie utrudni hackerom dobranie się do skrzynek i kont. Nawet taka najprostsza, korzystająca z kodów SMS.
Sprzętowy klucz zabezpieczeń jeszcze wyżej podnosi poprzeczkę bezpieczeństwa, wspierając protokoły OpenPGP, Smart Card (PIV), OATH-TOTP, FIDO/FIDO 2.0, Yubico OTP oraz Chellenge-Response. Co więcej, klucze YubiKey korzystające z protokołów FIDO i FIDO 2.0 uniemożliwiają zalogowanie do konta bez klucza.
Wyjaśniłem to już w dużej mierze w tekście, ale dla przypomnienia zebrałem całość w punktach (i dodałem kilka atutów, o których wcześniej nie pisałem):
Skoro wspomniałem o aplikacji YubiKey Manager, muszę napisać o niej kilka słów. Najbardziej cenię ją za prostotę obsługi, bo to warunek konieczny jeśli klucz ma być narzędziem dla mas, a nie dla specjalistów od bezpieczeństwa sieciowego. Nie mając wcześniej styczności ze sprzętowym kluczem zabezpieczeń, w kilka minut ustawiłem weryfikację dwuetapową dla konta Google. Z kolejnymi kontami poszło jeszcze sprawniej. Podkreślam – obsługa YubiKey Manager to fraszka!
Nie chciało mi się tego czytać dokładnie, ale tekst ewidentnie sponsorowany,przez to dla mnie nieobiektywny…
Opisałem swoje wrażenia z użytkowania klucza YubiKey, które są pozytywne, a sam sprzęt wywarł na mnie bardzo dobre wrażenie. Nie każdy pozytywnie nastawiony tekst jest sponsorowany 😉
Też używam i czuję się bezpieczniej, czekam tylko aż banki łaskawie pochylą się nad takim logowaniem, kiedyś miałem taki klucz do Fortis Bank(teraz BNP Paribas), dawali taki do konta – dobrze to działało… Uwaga! Nie pracuję dla x-com, BNP ani Yubico, ani nim mi za nic nie płacił
Mirku, dla mnie nie jest ważne, czy jest to sponsorowane, ani nawet czy to reklama. Niech tam sobie będzie.
Ważne jest to, że Yubikey jest faktycznie genialne w swej prostocie przy niesamowitym poziomie bezpieczeństwa.
Po zmianie kompa na nowego MacBooka, gdzie niestety nie ma USB-a (debilizm!!!), musiałem zmienić klucz na nowy z USB-c. Korzystam teraz z małego 5C-nano, jest wszystko OK.
Ciekawe podejście. Czyli twoim zdaniem nie ma dobrych produktów? Należy zjechać produkt, bo jak jest pozytywna ocena to automatycznie oznacza, że sponsorowana? 🙂
W ogóle świetne jest to twoje „nie chciało mi się czytać, ale…”. Takie klasyczne nie znam się, to się wypowiem 😀
Dobra robota Piotr najważniejsze rzeczy podane i wyjaśnione wiadomo co chodzi Pozdro
uzywam Yubikey i polecam gorąco! OTP do logowania do managera hasel podzielone na czesc ktora ja znam a druga czesc zapisana na kluczu.Warto
Dziś zamawiam dwa takie klucze w X-Kom. Nurtuje mnie jedno: jak uwierzytelnię swoje konto na Smart TV z Androidem, skoro telewizor nie ma ani NFC, ani dedykowanej aplikacji (ta na smartfony nie jest kompatybilna ze Smart TV).