Hakerzy ich nienawidzą! Poznaj klucze zabezpieczeń USB na przykładzie YubiKey 5 NFC

Nigdy wcześniej nie używałem kluczy zabezpieczeń USB. YubiKey 5 NFC czarny jest moim pierwszym i muszę powiedzieć, że tak to można zaczynać współpracę. W tym tekście będzie dużo dobrego o kluczu, który współchroni obecnie mojego laptopa, a to ze względu na intuicyjność i łatwość obsługi oraz na poziom zabezpieczeń. Ale najpierw trochę teorii.

Co to jest klucz zabezpieczeń do portu USB?

Jest to niewielkie akcesorium przypominające pendrive, które wsuwasz do portu USB w komputerze albo laptopie, żeby dokonać dwuskładnikowego uwierzytelniania logowania (inaczej dwuetapowej weryfikacji) przy logowaniu do systemu, portalu albo usługi. W sprzedaży są także klucze NFC skonstruowane z myślą o smartfonach i uwierzytelnianiu bezprzewodowym. Klucz zabezpieczeń USB chroni przede wszystkim przed phishingiem i nie stanowi ochrony antywirusowej. Nie traktuj go więc jak remedium na wszelkie zagrożenia.

Yubico YubiKey 5 NFC w porcie USB

Sprzętowy klucz zabezpieczeń USB ma tę przewagę nad smartfonem (konkretnie nad uwierzytelnianiem za pomocą aplikacji i kodów SMS, czyli treściami wyświetlanymi na ekranie), że klucza nie da się podejrzeć, ani szpiegować. Pracuje niezależnie od Twoich urządzeń, w dodatku nie posiada ruchomych części i nie sposób go modyfikować.

Wątpliwość natury finansowej, która być może teraz się w Tobie narodziła, rozwiewam, mówiąc, że YubiKey 5 NFC, jaki posiadam, kosztuje mniej niż 300 zł. Kwota śmiesznie niska za tak zaawansowaną ochronę.

Jaki klucz bezpieczeństwa wybrać?

Bezsprzecznie należy wybrać klucz bezpieczeństwa U2F. Dlaczego? Odpowiedź jest prosta – tylko klucze U2F sprawiają, że w pełni zabezpieczamy się przed atakiem hakerów. Phishing nie jest czymś okazjonalnym, ale zjawiskiem masowym. Ma-so-wym!

Ja sam znajduję w swej skrzynce mailowej wiadomości przychodzące rzekomo z banku, z firm kurierskich, z Allegro i z paru innych serwisów. Phishing dzieje się na naszych oczach, co widać w nagłówkach portali branżowych. Przestępcy stosują tak sprytne zabiegi, że naprawdę każdemu noga może się podwinąć.

Właśnie dlatego trzeba się zaopatrzyć w klucz bezpieczeństwa U2F, bo on korzysta z zaawansowanej metody kryptografii asymetrycznej. Ten zabieg zabezpiecza mnie nawet przed własną nieuwagą. Jak to możliwe? To proste, żadne informacje z klucza nie są wysyłane na zewnątrz. W odróżnieniu od tokena-zdrapki nie ma opcji, że ktoś przechwyci dane z klucza zabezpieczeń i wykorzysta w niecnym celu.

Yubico YubiKey 5 NFC autoryzacja dotykiem

Przeglądając klucze, zwróć uwagę, czy ten upatrzony pozwala logować się do systemu operacyjnego komputera. Tym sposobem nie ma opcji, żeby ktoś, kto ukradł Ci laptopa i podpatrzył hasło lub PIN wpisywane na klawiaturze i dostał się do zasobów systemu. Windows i Linux wymagają na przykład zgodności z protokołem FIDO 2.0, którą to zgodność mój YubiKey 5 NFC posiada. Tymczasem macOS wspiera PIV, z jego pomocą zalogujesz się do systemu bez wprowadzania hasła.

Co więcej, Yubico jest jednym ze współtwórców systemu FIDO 2.0 oraz członkiem FIDO Alliance. Należy tym samym do grona najbardziej zaufanych partnerów Microsoftu.

Czy wszystkie klucze sprzętowe wyglądają tak samo? Oczywiście, że nie. Yubico ma w swojej ofercie:

  • Klucze biznesowe i konsumenckie (mój YubiKey 5 NFC czarny należy do tych biznesowych, model niebieski jest dla użytkowników prywatnych, przez co jest tańszy).
  • Klucze na USB-A, USB-C i na Lightning.
  • Klucze z czytnikiem biometrycznym i bez niego.
  • Klucze wielkości nanoodbiornika (bardzo dyskretne) i tak duże, jak mój YubiKey 5 NFC.
Klucze zabezpieczeń Yubico porównanie wielkości
Porównanie wielkości kluczy Yubico

Czy warto mieć klucz zabezpieczeń USB?

Na tym etapie tekstu zakup klucza zabezpieczeń USB nie powinien już budzić najmniejszych wątpliwości. Lecz jeśli wciąż Cię nie przekonałem, pozwól, że przedstawię kilka przykładów z życia wziętych. Otóż klucz zabezpieczeń USB, jak mój YubiKey 5 NFC:

  • uniemożliwi zhackowanie skrzynki mailowej, ona stanowi przecież klucz do wielu innych kont: do Facebooka, Twittera, Instagrama, LinkedIna, Allegro, OLX, sklepów internetowych, DropBoxa, Amazona, GitHuba;
  • zamknie dostęp do aplikacji Microsoft 365 i Office, w tym do OneDrive, gdzie przechowują kopię całego systemu, wraz z niezliczoną ilością plików Excel i PowerPoint z danymi szczególnie wrażliwymi;
  • uniemożliwi logowanie do konta Google, w tym do zasobów Dysku Google, Zdjęć Google, Gmaila, jak i stron, do których loguję się kontem Google;
  • uniemożliwi logowanie do systemu Windows, macOS i Linux, czyli przejęcie konta systemowego, choćby komputer został skradziony.

Czy kluczem zabezpieczeń USB da się chronić konto bankowe?

W Polsce nie da się użyć klucza zabezpieczeń USB do podwójnej weryfikacji konta bankowego. Albo inaczej – jeszcze nie da się tego robić. Być może w niedalekiej przyszłości pojawi się taka opcja, lecz póki co trzeba korzystać z zabezpieczeń typu kodu SMS lub tokeny-zdrapki. Warto też włączyć telefoniczną autoryzację przelewów, których wartość przekracza ustaloną z bankiem kwotę.

Czym jest weryfikacja dwuetapowa (dwuskładnikowa)?

Weryfikacja dwuetapowa polega na podwójnym sprawdzaniu tożsamości w trakcie logowania. Etap pierwszy wymaga podania loginu i hasła w panelu logowania (co można sobie ułatwić, np. dzięki autouzupełnianiu formularzy w przeglądarce). Na etapie drugim korzystasz z uwierzytelnienia zewnętrznego w postaci: tokenu sprzętowego, kodów drukowanych, kodów wysyłanych w wiadomości SMS, kodów generowanych w aplikacji mobilnej (Google Authenticator) albo klucza bezpieczeństwa USB.

Yubico YubiKey 5 NFC klucz zabezpieczeń USB

Czy weryfikacja dwuskładnikowa jest w 100% bezpieczna?

Chciałbym napisać, że weryfikacja dwuetapowa zapewnia pełną ochronę i daje 100% zabezpieczenia przed cyberzagrożeniami. Ale tak nie jest, bo żaden sposób nie gwarantuje niezawodnej ochrony. Niemniej weryfikacja dwuetapowa ogromnie utrudni hackerom dobranie się do skrzynek i kont. Nawet taka najprostsza, korzystająca z kodów SMS.

Sprzętowy klucz zabezpieczeń jeszcze wyżej podnosi poprzeczkę bezpieczeństwa, wspierając protokoły OpenPGP, Smart Card (PIV), OATH-TOTP, FIDO/FIDO 2.0, Yubico OTP oraz Chellenge-Response. Co więcej, klucze YubiKey korzystające z protokołów FIDO i FIDO 2.0 uniemożliwiają zalogowanie do konta bez klucza.

Ja używam czarnego klucza Yubico YubiKey 5 NFC. Dlaczego?

Wyjaśniłem to już w dużej mierze w tekście, ale dla przypomnienia zebrałem całość w punktach (i dodałem kilka atutów, o których wcześniej nie pisałem):

  • Jego produkcja jest w pełni automatyczna (odbywa się w USA i w Szwecji).
  • Ma monolityczną konstrukcję (brak ruchomych części).
  • Ma niewielką wagę i rozmiary.
  • Obsługuje NFC (smartfony Android i Apple).
  • Działa bez sterowników.
  • Ma odporność na wodę, pył, upadki i RTG.
  • Jest kompatybilny z FIDO i FIFO 2.0.
  • Umożliwia logowanie w komputerach Windows, macOS i Linux.
  • Obsługuje wielu tokenów.
  • Jest prosty w obsłudze, ma przejrzystą aplikację YubiKey Manager.

Aplikacja YubiKey Manager

Skoro wspomniałem o aplikacji YubiKey Manager, muszę napisać o niej kilka słów. Najbardziej cenię ją za prostotę obsługi, bo to warunek konieczny jeśli klucz ma być narzędziem dla mas, a nie dla specjalistów od bezpieczeństwa sieciowego. Nie mając wcześniej styczności ze sprzętowym kluczem zabezpieczeń, w kilka minut ustawiłem weryfikację dwuetapową dla konta Google. Z kolejnymi kontami poszło jeszcze sprawniej. Podkreślam – obsługa YubiKey Manager to fraszka!