Đánh giá và đánh giá của Yubico yubikey 5ci

Dòng YubiKey của Yubico đã được lựa chọn để xác thực hai yếu tố phần cứng đơn giản trong nhiều năm. Biên giới cuối cùng cho Yubico là iPhone, cuối cùng nó có địa chỉ với YubiKey 5Ci. Thiết bị hai đầu nhỏ bé này có đầu nối USB-C ở một đầu và đầu nối Lightning tương thích với Apple. Hydra của khóa phần cứng này hoạt động chính xác như mong muốn và đi kèm với các tính năng mà đối thủ không thể sánh được, nhưng bị cản trở bởi sự hỗ trợ hạn chế trên iOS và mức giá tương đối cao.

Xác thực hai yếu tố là gì

Trong thực tế, xác thực hai yếu tố (2FA) đang sử dụng hai thứ để đăng nhập vào một trang web hoặc dịch vụ, nhưng đó không phải là tên của nó. Thay vào đó, nó đề cập đến một lý thuyết xác thực nơi bạn chứng minh rằng bạn nên có quyền truy cập với:

Một cái gì đó bạn biết.

Một cái gì đó bạn đang có.

Hoặc một cái gì đó bạn có.

Một cái gì đó bạn biết giống như một mật khẩu, mà con người rất tệ và chúng ta thực sự nên để người quản lý mật khẩu chăm sóc. Một cái gì đó bạn giống như dữ liệu sinh trắc học, chẳng hạn như sử dụng dấu vân tay của bạn để mở khóa điện thoại. Một cái gì đó bạn có thể là một trình xác thực phần cứng, chẳng hạn như YubiKey. 2FA là nơi bạn sử dụng hai trình xác thực từ danh sách thay vì chỉ một, vì kẻ tấn công không có khả năng có hai trong số ba. Đó là một cách rất hiệu quả để bảo mật thông tin đăng nhập. Vì vậy, sau khi Google yêu cầu sử dụng các khóa phần cứng 2FA trong nội bộ, các cuộc tấn công lừa đảo thành công đã giảm xuống không.

Có rất nhiều cách để làm 2FA. Nhận mật khẩu một lần qua SMS có lẽ là điều mà mọi người quen thuộc nhất, mặc dù điều này đang trên đường vì lý do bảo mật. Yubico đã đi đầu trong việc tạo ra giao thức FIDO2 và tiêu chuẩn WebAuthn, sử dụng mật mã khóa công khai để xác thực an toàn. Tiêu chuẩn WebAuthn được chứng nhận của W3C đã mang phong cách xác thực này đến ngày càng nhiều trình duyệt và dịch vụ trong những năm gần đây và có thể là tương lai của cách chúng tôi thực hiện xác thực. Ví dụ, Microsoft đã thử nghiệm sử dụng các thiết bị WebAuthn như YubiKeys để xác thực hoàn toàn không có mật khẩu.

Làm cho di động

Gia đình YubiKey đã phát triển đáng kể, bao gồm bảy khóa khác nhau trong các kích cỡ lặt vặt và sự vượt trội của các phích cắm và giao thức. Khóa bảo mật USB-A Yubico chỉ hỗ trợ FIDO2 / WebAuthn và có giá 20 đô la, trong khi Khóa bảo mật USB-A NFC bổ sung hỗ trợ không dây với giá 27 đô la.

Hình ảnh qua Yubico.

Sê-ri YubiKey 5, hình trên, bao gồm một số thiết bị. Bắt đầu từ bên trái, USB-A YubiKey 5 NFC có giá 45 USD và có lẽ là thiết bị có khả năng cao nhất trong tất cả các thiết bị. USB-C YubiKey 5C có giá 50 đô la, và gần giống nhất với 5Ci trong thiết kế mỏng, cứng đầu. 5 Nano và 5C Nano có giá lần lượt là $ 50 và $ 60 và được thiết kế để sống bên trong các cổng của bạn bán vĩnh viễn. Với mức giá 70 USD, YubiKey 5Ci là chiếc chìa khóa đắt nhất trong gia đình.

So với thiết kế YubiKey USB-A, 5Ci nhỏ bé. Nó dày 12 mm x 40, 3mm và dày chỉ 5 mm. Đó chỉ rộng hơn một nửa chiều rộng của phím USB-A và ngắn hơn một chút. Nó được đúc bằng nhựa đen, bền với lỗ trung tâm được gia cố bằng kim loại để gắn nó vào vòng chìa khóa của bạn. 5Ci, tuy nhiên, dày hơn YubiKey 5 NFC. Cái gir thêm đó kết hợp với lỗ trung tâm của nó làm cho nó có một chút phù hợp kỳ lạ cho một keyring, nhưng nó hoạt động. Nó là lông ánh sáng chỉ 3 gram, nhưng vẫn cảm thấy được xây dựng tốt.

Gần giữa thiết bị là hai nút kim loại được nâng lên. Khi bạn cắm 5Ci vào, bạn chạm vào các nút này khi được nhắc hoàn tất xác minh. Giống như tất cả các thiết bị YubiKey, 5Ci không có pin bên trong và lấy toàn bộ năng lượng từ thiết bị được kết nối. Đáng chú ý, YubiKey 5Ci không hỗ trợ NFC, trong khi Yubico Security Key NFC và YubiKey 5 NFC thì có.

YubiKey 5Ci có thiết kế hai đầu độc đáo. Một bên có đầu nối USB-C và mặt còn lại có đầu nối Apple Lightning mà bạn đã thấy trên bộ sạc iPhone và iPad trong nhiều năm. Trớ trêu thay, khiếu nại lớn nhất của tôi về 5Ci là các đầu nối của nó. Đối với một điều, tôi đã có một thời gian khó khăn để tìm một máy tính có cổng USB-C để kiểm tra các khả năng khác nhau của 5Ci. Việc đăng ký khóa từ máy tính cũng dễ dàng hơn nhiều so với từ thiết bị di động. Nếu bạn đang sử dụng phần cứng gần đây, việc tìm cổng USB-C có thể sẽ không thành vấn đề, nhưng nếu bạn giống tôi và sử dụng máy tính cho đến khi chúng hoàn toàn sụp đổ, bạn có thể cần một bộ chuyển đổi.

Mặt khác, đầu USB-C của thiết bị không phù hợp với Nokia 6.1 hoặc Asus UX360c ZenBook Flip tôi đã sử dụng trong thử nghiệm. Tôi đã phải thực sự thúc đẩy để đưa 5Ci vào, và mỗi khi tôi nghĩ mình sẽ phá vỡ thứ gì đó. Cũng có một vài trường hợp dường như thiết bị không được đặt đúng vị trí, vì nó không kết nối. Đây không phải là một công cụ giải quyết theo bất kỳ ý nghĩa nào, và sau một vài lần nhấn và kéo, đầu nối bắt đầu cảm thấy phù hợp hơn. Có lẽ nó chỉ cần đột nhập.

Mặt khác, đầu nối Lightning hoạt động rất tốt. Nó đi vào trơn tru và cắt một cách chắc chắn. Nó hoàn toàn giống như Apple và tôi không có khiếu nại. Yubico đã chỉ ra rằng đầu nối USB-C trên 5Ci sẽ không hoạt động trong các mẫu iPad có cổng USB-C.

Hình ảnh qua Yubico.

Bắt tay với YubiKey 5Ci

Trước khi bạn có thể sử dụng 5Ci hoặc bất kỳ trình xác thực phần cứng nào khác, bạn phải đăng ký nó với mỗi dịch vụ. Vấn đề là không phải mọi trình duyệt hoặc ứng dụng đều hỗ trợ các khóa xác thực phần cứng. Tôi gặp phải vấn đề này lần đầu tiên khi tôi kiểm tra NFC bảo mật của Yubico. Trước đó (như bây giờ), hỗ trợ NFC của Apple đã không mở rộng tới các khóa bảo mật trong hầu hết các bối cảnh. Tôi thấy rằng có nhiều bối cảnh nơi 5Ci hoạt động trên iOS hơn là khi tôi thử nghiệm các phím NFC trên iPhone, nhưng sự hỗ trợ tương đối nhỏ thì hơi khó chịu.

Để kiểm tra hỗ trợ FIDO2 / WebAuthn, tôi đã mở Twitter trong trình duyệt Brave, mà Yubico đề nghị tôi sử dụng vì nó hỗ trợ xác thực dựa trên trình duyệt. Tôi đã đăng nhập như bình thường, điều hướng đến ngăn Cài đặt và đăng ký YubiKey 5Ci. Lần sau khi tôi đăng nhập, Twitter đã nhắc tôi nhập khóa của mình và nhấn vào nó. Tôi tuân thủ và nhanh chóng đưa ứng dụng web lên.

Thật không may, tôi không thể đăng nhập vào Twitter bằng ứng dụng Safari hoặc Twitter iOS. Tôi cũng không thể đăng ký Yubikey 5Ci bằng tài khoản Google của mình trong Brave, Safari hoặc thậm chí Chrome.

YubiKey 5Ci cũng hỗ trợ mật khẩu một lần (OTP). Trong cấu hình này, bạn cắm phím và nhấn vào các nút kim loại, và một mã dài, duy nhất được nhổ ra. Đây là một: ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb. Một vài dịch vụ, như LastPass, sử dụng tính năng này thay vì FIDO2 / WebAuthn. Ưu điểm là phím được đọc dưới dạng bàn phím, vì vậy nó rất đơn giản và không cần hỗ trợ thêm từ trình duyệt.

Để kiểm tra OTP, trước tiên tôi phải đăng ký khóa bằng tài khoản LastPass. Tôi không thể làm điều này trên iPad hoặc iPhone. Trong trường hợp trình duyệt, tôi không được cung cấp tùy chọn sử dụng các phương pháp thay thế và trình duyệt không thể sử dụng NFC để đọc NFC YubiKey 5 của tôi. Ứng dụng LastPass đã đọc khóa NFC của tôi, nhưng ứng dụng không bao gồm các tùy chọn để chỉnh sửa các khóa phần cứng đã đăng ký của bạn. Cuối cùng, tôi đã phải tìm một máy tính xách tay có cổng USB-C để đăng ký 5Ci. Khi tôi đã làm như vậy, đăng nhập vào LastPass thông qua ứng dụng hoặc thông qua ứng dụng LastPass hoặc trình duyệt Brave là một cách nhanh chóng. Tôi đã nhập tên người dùng và mật khẩu như bình thường và sau đó được nhắc nhập khóa của mình, sau đó nhấn vào các nút kim loại trên khóa. Một giây sau, tôi đã đăng nhập.

Đây chỉ là một vài trong số các dịch vụ mà YubiKey có thể hoạt động và Yubico duy trì một danh sách khá đầy đủ các trang web và dịch vụ chấp nhận OID FIDO2 / WebAuthn hoặc YubiKey. Một đại diện của công ty đã đề cập 1Password, Bitwarden, Idaptive và Okta là các ứng dụng iOS cụ thể đã hỗ trợ sử dụng YubiKeys.

YubiKey 5Ci có tất cả các cách thức khác, nhưng tất cả chúng đều yêu cầu một máy tính tại một số điểm. Chẳng hạn, bạn có thể tùy chỉnh các khía cạnh khác nhau của khóa của mình, chẳng hạn như nhổ mật khẩu được đặt sẵn khi bạn nhấn và giữ các nút kim loại. Nó cũng có thể được định cấu hình để tăng gấp đôi như một thẻ thông minh và có thể tạo ra mật mã giới hạn thời gian (TOTP) giống như Google Authenticator với sự trợ giúp của ứng dụng xác thực máy tính để bàn. Một đại diện của Yubico đã xác nhận với tôi rằng, ngoại trừ giao tiếp NFC, YubiKey 5Ci có thể làm bất cứ điều gì mà YubiKey 5 NFC có thể làm.

YubiKey 5Ci so với cuộc thi

Có một loạt các đối thủ cạnh tranh xác thực phần cứng ngoài kia, không phải ít nhất là Google. Với 50 đô la, công ty sẽ gửi cho bạn Khóa bảo mật Google Titan USB-A sử dụng FIDO2 / WebAuthn và khóa Bluetooth có thể sạc lại. Đây là một bộ tốt, nhưng tôi luôn nghi ngờ về việc sử dụng Bluetooth cho các thiết bị bảo mật.

Nếu bạn sở hữu một thiết bị di động chạy Android 7.0 trở lên, bạn cũng có thể sử dụng nó làm công cụ xác thực phần cứng cho tài khoản Google. Điều này có lợi thế là hoàn toàn miễn phí và sử dụng phần cứng hiện có mà bạn đã sở hữu, nhưng hiện tại nó bị giới hạn về phạm vi. Nó cũng dựa vào pin và radio để hoạt động, không giống như tất cả các thiết bị YubiKey.

Nếu nhãn hiệu Google không phải là thứ của bạn, bạn có thể trực tiếp đến Feiti, công ty mà Google đã dán nhãn trắng cho các khóa Titan. Các thiết bị này có nhiều kích cỡ, cấu hình và giá cả. Nhược điểm duy nhất là tiềm năng không thể xảy ra đối với các cuộc tấn công chuỗi cung ứng, vì Feiti nằm ở Trung Quốc. Yubico luôn nhanh chóng chỉ ra rằng họ sản xuất chìa khóa của mình ở Mỹ và Thụy Điển.

Một số có thể thích một sự thay thế nguồn mở, chẳng hạn như NitroKey FIDO U2F. Thiết bị Đức này chạy € 22, 00 và sử dụng phần cứng và phần mềm nguồn mở. Lợi ích của phần cứng nguồn mở là bảo mật của nó có thể được xác minh độc lập bởi bất kỳ bên thứ ba nào. Tôi tìm thấy NitroKey nó có khả năng, nhưng cồng kềnh. Mặc dù các khóa bảo mật khác mỏng như, tốt, các phím, NitroKey lại chunky và sử dụng đầu nối USB-A kích thước đầy đủ. Tôi đã hỏi một đại diện của Yubico về việc sử dụng các thành phần nguồn mở và họ trả lời rằng các chip phần tử bảo mật tốt nhất hiện có chỉ đơn giản là không có nguồn mở.

Một điều cần lưu ý là 2FA không yêu cầu khóa phần cứng. Google Authenticator, Duo Mobile và các dịch vụ khác cung cấp 2FA miễn phí thông qua các ứng dụng. Google và Apple bảo mật tài khoản trên các dịch vụ của họ với tùy chọn xác thực từ một thiết bị đáng tin cậy khác. Ưu điểm của khóa phần cứng là chúng hoạt động mà không cần nguồn hoặc dịch vụ di động, nhưng nếu bạn nghĩ rằng sử dụng khóa vật lý thì quá rắc rối, tôi khuyên bạn chỉ nên sử dụng bất kỳ phương pháp 2FA nào có ý nghĩa nhất đối với bạn.

Quá nhiều quá sớm

Khiếu nại thực sự duy nhất của tôi với chính YubiKey 5Ci là giá và phích cắm USB-C dính của nó (có thể cải thiện theo thời gian). Vấn đề thực sự là hỗ trợ trên các thiết bị iOS, trong khi cải thiện, vẫn còn hạn chế. Đó thực sự không phải là lỗi của Yubico, nhưng thật là bực bội vì YubiKey USB-C có giá thấp hơn $ 20. Tôi rất thích nếu Apple và các nhà phát triển khác bắt đầu làm việc nghiêm túc trong việc mở rộng hỗ trợ cho tất cả các loại khóa phần cứng. Một khi điều đó xảy ra, YubiKey 5Ci sẽ thực sự tỏa sáng. Cho đến lúc đó, huy hiệu Lựa chọn của ban biên tập của chúng tôi vẫn là Khóa bảo mật của Yubico, có giá chỉ 20 đô la và sẽ hoạt động ở bất cứ nơi nào bạn cắm phích cắm USB-A.