Mục lục:
- Cách xác thực hai yếu tố hoạt động
- Nhiều hương vị của YubiKey
- Thực hiện với NFC YubiKey 5
- YubiKeys so với Khóa bảo mật Google Titan
- YubiKey để thành công?
Video: Yubico YubiKey 5 NFC Security Key (Tháng Mười 2024)
Mật khẩu là điểm yếu của bảo mật kể từ khi chúng được giới thiệu lần đầu tiên. Rất may, Yubico YubiKey 5 NFC có mặt để bảo vệ các tài khoản quan trọng nhất của chúng tôi và hơn thế nữa. Thế hệ thứ năm của YubiKey hỗ trợ FIDO U2F để xác thực yếu tố thứ hai an toàn và sử dụng NFC để hoạt động với điện thoại của bạn. Nhưng đó mới chỉ là khởi đầu của những gì thiết bị cực kỳ mạnh mẽ và cực kỳ nhỏ bé này có thể làm được. Nếu bạn chỉ đang tìm kiếm một tùy chọn U2F phần cứng đơn giản, YubiKey 5 NFC có thể quá mức cần thiết, hãy xem xét Khóa bảo mật giá cả phải chăng hơn của Yubico hoặc Khóa bảo mật Google Titan thay thế. Nhưng nếu bạn đã chìm đắm trong sự an toàn về bảo mật, bạn sẽ thích những gì 5 NFC mang lại.
Cách xác thực hai yếu tố hoạt động
Mặc dù có rất nhiều thứ bạn có thể làm với khóa bảo mật phần cứng như YubiKey, vai trò chính của nó là yếu tố xác thực thứ hai. Trong thực tế, xác thực hai yếu tố (2FA) có nghĩa là phải thực hiện điều thứ hai sau khi nhập mật khẩu để chứng minh đó là bạn. Nhưng lý thuyết đằng sau 2FA là kết hợp hai hệ thống xác thực khác nhau từ danh sách ba:
- Một cái gì đó bạn biết,
- Thứ gì đó bạn có, hoặc
- Một cái gì đó bạn đang có.
Ví dụ: mật khẩu, là thứ bạn biết và nó chỉ tồn tại trong đầu bạn (hoặc bên trong trình quản lý mật khẩu). Sinh trắc học của trò chơi Biometrics, quét vân tay, quét võng mạc, chữ ký trái tim, v.v … trên tính toán của bạn. Yubico YubiKeys và ilk của họ là thứ bạn có .
Đánh giá này chủ yếu nhìn vào phần cứng 2FA, nhưng có nhiều cách để thêm yếu tố thứ hai. Nhiều trang web sẽ gửi cho bạn mã qua SMS để xác minh danh tính của bạn. Các ứng dụng như Duo và Authy dựa vào thông báo đẩy (về lý thuyết) khó bị chặn hơn tin nhắn SMS.
Cho dù bạn đi với một giải pháp phần cứng hoặc phần mềm hoặc kết hợp cả hai, hãy thêm 2FA bất cứ nơi nào bạn có thể. Khi Google triển khai các khóa 2FA trong nội bộ, nó đã thấy việc tiếp quản tài khoản thành công giảm xuống không. Điều đó thật tốt.
Nhiều hương vị của YubiKey
Yubico luôn cung cấp một số kích cỡ và biến thể của các khóa bảo mật để phù hợp với mọi nhu cầu. Điều này thật tuyệt vời, bởi vì người tiêu dùng và các chuyên gia CNTT có thể có được chính xác những gì họ cần với nhiều mức giá khác nhau. Nhược điểm là duyệt cửa hàng Yubico là một trải nghiệm thường xuyên áp đảo. Tôi sẽ làm hết sức mình để đun sôi những điều cơ bản.
Có bốn hương vị của thiết bị YubiKey 5 Series, bao gồm NFC $ 45 YubiKey 5 được đánh giá ở đây, cũng như ba yếu tố hình thức khác: YubiKey 5 Nano $ 50, YubiKey 5C $ 50 và YubiKey 5C Nano $ 60. 5 NFC là YubiKey duy nhất cung cấp giao tiếp không dây, nhưng bên cạnh đó, điểm khác biệt duy nhất giữa các thiết bị này là kích thước, giá cả và đầu nối USB.
Hai thiết bị Nano là thiết bị nhỏ nhất trong nhóm và nằm trong các khe USB-A hoặc USB-C của bạn, dễ dàng trong tầm tay nếu bạn cần chúng thường xuyên. YubiKey 5C sử dụng đầu nối USB-C, nhỏ hơn một chút so với 5 NFC và có thể treo trên móc khóa của bạn cùng với 5 NFC; nó thiếu giao tiếp không dây. Tuy nhiên, bạn có thể kết nối trực tiếp Nano YubiKey 5C hoặc 5C với thiết bị Android của mình.
Điều khiến YubiKey 5 Series khác biệt so với đối thủ không chỉ là sự đa dạng của các yếu tố hình thức. Những thiết bị này là bảo mật kỹ thuật số thực sự của quân đội Thụy Sĩ. Mỗi người có thể hoạt động như một Thẻ thông minh (PIV), có thể tạo mật khẩu một lần, hỗ trợ cả OATH-TOTP và OATH-HOTP và có thể được sử dụng để xác thực phản hồi thử thách. Tất cả bốn thiết bị đều hỗ trợ ba thuật toán mã hóa: RSA 4096, ECC p256 và ECC p384. Các thiết bị này có thể phù hợp với rất nhiều vai trò khác nhau, thường là cùng lúc với điều kiện cho bạn biết bạn đang làm gì.
Mặc dù YubiKey 5 NFC là trọng tâm của bài đánh giá này, tôi đã thử nghiệm các thiết bị YubiKey 4 Series trước đây và chúng giống hệt về mặt vật lý với các biến thể USB-C và Nano của YubiKey 5 Series. Tất cả đều được làm tốt, được bọc bằng nhựa màu đen che giấu sự hao mòn và được trang bị đèn LED màu xanh lá cây ẩn để cho bạn biết chúng được kết nối và hoạt động. Các thiết bị USB-A có một dải vàng hoặc đĩa mà bạn chạm, tùy thuộc vào kích thước của thiết bị. Các thiết bị USB-C, trong khi đó, có hai tab kim loại nhỏ mà bạn chạm để xác thực. Thiết bị Nano-A Nano khó lấy ra khỏi khe hơn thiết bị Nano-USB, nhưng USB-A Nano YubiKey có một lỗ nhỏ, do đó, nó có thể được treo từ một chuỗi hoặc dây, trong khi đó USB-C Nano không làm.
Thiết bị YubiKey nào bạn mua sẽ chủ yếu phụ thuộc vào bối cảnh bạn dự định sử dụng. Các thiết bị Nano rất hữu ích nếu bạn có kế hoạch sử dụng chúng với một máy tính đáng tin cậy và bạn biết rằng bạn sẽ cần phải truy cập YubiKey thường xuyên. Các phím kích thước đầy đủ tốt hơn để treo trên móc khóa và giữ gần tay.
Thực hiện với NFC YubiKey 5
Để giúp bạn bắt đầu, Yubico đã tạo một hướng dẫn hữu ích cho người dùng mới. Chỉ cần chọn thiết bị YubiKey mà bạn có và trang web sẽ hiển thị danh sách tất cả các địa điểm và bối cảnh bạn có thể sử dụng YubiKey. Một số trong những liên kết này trực tiếp đến trang trên tàu hoặc trang của dịch vụ, trong khi những người khác cung cấp hướng dẫn bạn phải tự làm theo.
Thiết lập YubiKey làm yếu tố thứ hai của U2F rất đơn giản. Làm theo hướng dẫn của trang web hoặc dịch vụ và sau đó chèn YubiKey vào vị trí thích hợp khi được nhắc. Chỉ cần nhấn vào đĩa vàng (hoặc các tab kim loại, tùy thuộc vào kiểu máy) và dịch vụ đăng ký khóa của bạn. Lần tới khi bạn đăng nhập, bạn nhập mật khẩu và nhận được lời nhắc nhập khóa và nhấn. Đó là nó!
Dashlane, Google và Twitter là một vài trong số nhiều trang web hỗ trợ U2F và chấp nhận các thiết bị YubiKey 5 Series. Trong thử nghiệm của mình, tôi đã đăng ký nó làm nhân tố thứ hai cho Tài khoản Google. Khi đăng nhập trên máy tính để bàn, tôi đã nhập thông tin đăng nhập và sau đó Google yêu cầu tôi chèn và nhấn vào khóa bảo mật của mình. Điều đó không có vấn đề gì, mặc dù tôi đã phải sử dụng trình duyệt Chrome để đăng nhập.
Trên thiết bị Android của tôi, quá trình này rất đơn giản. Khi đăng nhập thử nghiệm, tôi đã nhập thông tin đăng nhập và sau đó điện thoại của tôi nhắc tôi sử dụng khóa bảo mật của mình. Tôi đã chọn NFC từ menu dọc phía dưới và sau đó đập 5 NFC vào mặt sau của điện thoại. Phải mất một vài lần thử, nhưng cuối cùng điện thoại đã kêu lên một lời khẳng định và tôi đã đăng nhập.
Sê-ri 5 YubiKey có thể xác thực bạn theo một số cách, không chỉ thông qua U2F. Chẳng hạn, với LastPass, bạn đăng ký YubiKey để tạo mật khẩu một lần (cụ thể là Mật khẩu một lần dựa trên HMAC, nhưng tôi sẽ sử dụng OTP cho ngắn gọn) bằng một cú chạm. Điều này khác với U2F nhưng trong thực tế, nó cảm thấy rất giống nhau. Đăng nhập vào LastPass, điều hướng đến phần thích hợp của menu Cài đặt, nhấp vào trường văn bản và nhấn YubiKey. Một chuỗi các chữ cái mọc ra, và đó là nó! Bây giờ khi bạn muốn đăng nhập vào LastPass, bạn sẽ được nhắc cắm YubiKey để yêu cầu nó nhổ thêm OTP.
Hầu hết các bạn có lẽ đã quen thuộc với Google Authenticator, một ứng dụng tạo mật mã sáu chữ số cứ sau 30 giây. Công nghệ này, nói chung, được gọi là Mật khẩu một lần dựa trên thời gian (TOTP) và đây là một trong những hình thức phổ biến nhất cho 2FA được sử dụng ngày nay. Cùng với một máy tính để bàn hoặc ứng dụng di động đồng hành, Yubico tạo ra một vòng quay thú vị trên hệ thống TOTP.
Cắm YubiKey của bạn, kích hoạt ứng dụng Yubico Authenticator và sau đó điều hướng đến một trang web hỗ trợ Google Authenticator hoặc một dịch vụ tương tự. Ví dụ, để bảo mật Tài khoản Google, tôi đã nhấp vào tùy chọn đăng ký điện thoại mới với ứng dụng xác thực. Mã QR thường xuất hiện vào thời điểm này và trang web sẽ nhắc bạn quét nó bằng ứng dụng xác thực phù hợp. Thay vào đó, tôi đã chọn một tùy chọn menu trong ứng dụng máy tính để bàn Yubico Authenticator và nó chụp mã QR từ màn hình của tôi. Sau một vài lần nhấp chuột, ứng dụng bắt đầu cung cấp mã sáu chữ số duy nhất cứ sau 30 giây.
Thủ thuật là ứng dụng Yubico không thể tạo TOTP mà không có YubiKey. Thay vì lưu trữ thông tin đăng nhập cần thiết để tạo các mã đó trên máy tính của bạn, Yubico Authenticator lưu trữ dữ liệu đó trực tiếp trên YubiKey của bạn. Kéo nó ra và ứng dụng Authenticator không thể tạo TOTP mới. Điều đó thật hữu ích nếu bạn lo lắng về việc ai đó đánh cắp thiết bị bạn sử dụng để tạo TOTP của mình. Bạn cũng có thể khóa YubiKey của mình bằng mật khẩu, vì vậy ngay cả khi nó bị đánh cắp từ bạn, nó cũng không thể được sử dụng để tạo TOTP.
Yubico cũng cung cấp ứng dụng Android tạo TOTP hoạt động với NFC YubiKey 5, để mang TOTP của bạn đi trên đường. Khi bạn mở ứng dụng, nó trống, nhưng đập 5 NFC của bạn vào mặt sau và nó bắt đầu tạo mã. Thoát khỏi ứng dụng và các mã biến mất; bạn sẽ phải nhấn 5 NFC một lần nữa. Điều đó ít thuận tiện hơn so với việc lưu trữ thông tin trong chính ứng dụng, nhưng an toàn hơn nhiều.
Đây là những kịch bản tôi đã xem xét, nhưng YubiKey 5 Series có thể làm được nhiều hơn thế. Bạn có thể sử dụng nó như một thẻ thông minh để đăng nhập vào máy tính để bàn của tôi. Bạn có thể sử dụng nó đăng nhập vào máy chủ SSH. Bạn thậm chí có thể tạo khóa PGP và sau đó sử dụng YubiKey để ký hoặc xác thực. Thành thật mà nói, chỉ cần lấy đầu tôi quấn quanh các phím TOTP là đủ khó.
Mặc dù Yubico có rất nhiều tài liệu và ba ứng dụng máy tính để bàn riêng biệt (và ba ứng dụng di động nữa), nhưng rất khó để sử dụng mọi khía cạnh của YubiKey nếu không có kiến thức tốt. Yubico đã triển khai một trang web để giúp thông báo cho khách hàng về những gì họ có thể sử dụng khóa của họ và để hướng dẫn họ hướng tới thông tin cần thiết. Hướng dẫn đó là tuyệt vời, nhưng đó chỉ là hướng dẫn, không phải là cầm tay thường được cung cấp bởi các sản phẩm công nghệ. Sử dụng YubiKey cho U2F của bạn cũng rất đơn giản nhưng việc tận dụng tối đa YubiKey của bạn không dễ dàng đối với một người mới làm quen hay thậm chí là một nhà báo bảo mật.
YubiKeys so với Khóa bảo mật Google Titan
Yubico có một giải pháp cho mọi tình huống với YubiKey 5 Series, nhưng chi phí là một vấn đề. Mỗi thiết bị riêng lẻ có giá từ 40 đến 60 đô la cho chỉ một YubiKey.
Mặt khác, Gói khóa bảo mật Titan của Google cung cấp hai thiết bị với giá $ 50: Một khóa USB-A và khóa USB / Micro USB. Điều đó cung cấp cho bạn một phụ tùng ngay lập tức. Mặt khác, YubiKey chỉ có nhiều tiếng nổ bảo mật hơn cho bạn (giả sử bạn giải đố làm thế nào để sử dụng tất cả). Cả hai thiết bị Titan đều có thể sử dụng NFC, nhưng khi viết bài này, hỗ trợ chưa được kích hoạt trên các thiết bị Android. Google cũng cung cấp bộ chuyển đổi USB-C, vì vậy bạn có thể sử dụng khóa Titan của mình với mọi thiết bị. Các phím Titan, tuy nhiên, chỉ hỗ trợ FIDO U2F. Điều đó sẽ hoạt động cho mọi trang web hoặc dịch vụ, nhưng chúng không thể được sử dụng cho TOTP, OTP, truy cập Thẻ thông minh và các giao thức khác được YubiKey 5 Series hỗ trợ.
Những độc giả có ý thức về giá chủ yếu tìm kiếm một thiết bị U2F có thể sẽ thích Khóa bảo mật $ 20 của Yubico. Phím USB-A này có hình dạng tương tự như NFC YubiKey 5, nhưng có thể được xác định bằng vỏ nhựa màu xanh đẹp trai, glyph phím trên nút trung tâm và số hai được khắc trên đầu. Như tên cho thấy, thiết bị này hỗ trợ FIDO U2F và FIDO2, nhưng đó là nó. Khóa bảo mật không hỗ trợ tất cả các giao thức của Dòng YubiKey 5, vì vậy bạn không thể sử dụng nó với LastPass hoặc như một thẻ thông minh, cũng không thể giao tiếp không dây. Nó cũng có giá thấp hơn một nửa gói phím Titan hoặc 5 NFC.
YubiKey để thành công?
Sê-ri 5 YubiKey là một dòng thiết bị đáng chú ý chứa đầy số lượng hốc mắt. Công dụng cơ bản nhất của nó là trình xác thực FIDO U2F hoặc trình tạo OTP, nhưng nó có thể làm được nhiều hơn thế. Rắc rối mà chúng tôi luôn gặp phải với YubiKeys và Yubico nói chung, chỉ đơn giản là thử thách tìm ra YubiKey để chọn, trong số nửa tá công ty hiện đang cung cấp. Tìm ra những gì bạn có thể làm với nó ngoài U2F là thách thức gấp đôi. Các thiết bị Yubico rất tuyệt vời và tài liệu của họ được cải thiện, nhưng chúng chắc chắn được thiết kế với các giải pháp bảo mật và các chuyên gia CNTT.
Nếu bạn lướt qua danh sách các khả năng giặt ủi, YubiKey tự hào và hiểu chúng, hoặc ít nhất là tò mò về chúng, thì đây là thiết bị dành cho bạn. Bạn sẽ không thất vọng về thiết bị nhỏ bé gồ ghề này. Nếu bạn biết rằng bạn muốn bảo mật tốt hơn các tài khoản trực tuyến của mình, nhưng không chắc chắn về cách thực hiện, có lẽ bạn nên sử dụng Khóa bảo mật Google Titan hoặc Khóa bảo mật giá cả phải chăng hơn của Yubico.
YubiKeys là một công nghệ đã được thiết lập và trưởng thành, nhưng chúng ta vẫn đang khám phá không gian này. Như vậy, chúng tôi sẽ trao cho YubiKey 5 NFC bốn sao, nhưng đang giữ lại giải thưởng Lựa chọn của ban biên tập cho đến khi chúng tôi kiểm tra thêm các tùy chọn.
