Condividere:
YubiKey rende l'autenticazione in due passaggi meno fastidiosa?
Con il numero di incidenti di hacking che aumentano di giorno in giorno, tutti dovrebbero utilizzare l'autenticazione a due fasi / a due fattori (2FA) Cos'è l'autenticazione a due fattori e perché dovresti usarla Cos'è l'autenticazione a due fattori e perché dovresti Uso L'autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due diversi modi per dimostrare la propria identità. È comunemente usato nella vita di tutti i giorni. Ad esempio, il pagamento con una carta di credito non richiede solo la carta, ... Per saperne di più. Aggiunge uno strato a prova di proiettile attorno al tuo account online, il che rende estremamente difficile, se non impossibile, la penetrazione di un hacker.
Ma molte persone sono scoraggiate dall'usare 2FA, semplicemente a causa dell'inconveniente. La verifica in due passaggi può essere meno irritante? Quattro attacchi segreti garantiti per migliorare la sicurezza La verifica in due passaggi può essere meno irritante? Quattro segreti hacker garantiti per migliorare la sicurezza Volete la sicurezza dell'account a prova di proiettile? Consiglio vivamente di abilitare la cosiddetta autenticazione "a due fattori". Leggi di più su come ottenere un secondo codice dal proprio telefono, ogni volta che vogliono effettuare il login. Quindi le persone o disabilitano la funzione, o non si preoccupano di configurarla in primo luogo. Ma dovresti, visto che molte aziende ora stanno salendo a bordo con l'idea.
Se ti conti nel “facilmente disturbato” gruppo, quindi sarai felice di sapere che esiste un'altra opzione invece di 2FA. Questa opzione mantiene il tuo account altrettanto sicuro, ma tutto quello che devi fare è premere un pulsante e sei dentro. Si chiama YubiKey, e dopo alcuni giorni di utilizzo, sono già convertito. Baby, mi hai fatto ciao.
Cos'è un YubiKey?
Un YubiKey è un stick simile a USB, realizzato dalla società Yubico. Producono vari prodotti, ognuno dei quali svolge lavori simili. Ma per gli scopi di questo articolo, mi concentrerò sul Fido U2F, (Universal 2-Factor), che è quello che ho ricevuto. È facile da configurare e utilizzare, ed è apparentemente indistruttibile.
Dal sito:
“Tutti gli YubiKey sono quasi indistruttibili. Lo YubiKey di dimensioni standard (come lo standard YubiKey, YubiKey NEO, YubiKey Edge e FIDO U2F Security Key) è realizzato in plastica stampata a iniezione che racchiude il circuito, mentre gli elementi esposti sono in oro temprato di grado militare. Impermeabile e indeformabile, lo YubiKey di dimensioni standard si attacca al portachiavi accanto alle chiavi della casa e dell'auto”.
È una cosa piuttosto piccola, delicata, e tu saresti perdonato per aver dubitato del “indistruttibile” Richiesta. Con un peso di soli 3 grammi, le sue misure sono solo di 18 mm x 45 mm x 3 mm. Ma questa piccola chiave, insieme alla memorizzazione di tutte le mie password in KeePass, ha improvvisamente reso la firma in account indolore e priva di fastidi. Google e Facebook usano lo YubiKey per le credenziali dei dipendenti, quindi il concetto ha alcuni battiti molto pesanti dietro di esso, che lo supportano. Google lo ha introdotto per i propri utenti nel 2014.
Come funziona?
YubiKey è un componente hardware che supporta password monouso, crittografia e autenticazione a chiave pubblica e il protocollo Universal 2nd Factor (U2F) sviluppato dalla FIDO Alliance. È possibile utilizzarlo per accedere in modo sicuro agli account supportati utilizzando una password monouso o una coppia di chiavi pubblica / privata basata su FIDO Come funziona la crittografia ed è davvero sicuro? Come funziona la crittografia, ed è davvero sicura? Leggi altro generato dal dispositivo. Dopo aver inserito il tasto, premi il pulsante dorato e il tocco del tuo dito emette una piccola carica elettrica che attiva il dispositivo.
Come si imposta?
Un YubiKey è molto facile da configurare, come vedrai di seguito. Un tasto U2F funziona per Google Account, Dropbox, Github Cos'è Git e Perché dovresti usare il controllo della versione Se sei uno sviluppatore Cos'è Git e Perché dovresti usare il controllo della versione Se sei uno sviluppatore Come sviluppatori web, un sacco di il tempo in cui tendiamo a lavorare su siti di sviluppo locali, quindi basta caricare tutto quando abbiamo finito. Questo va bene quando sei solo tu e le modifiche sono piccole, ... Leggi di più, e Dashlane Dashlane - Un nuovo gestore di password, compilatore di moduli e assistente per lo shopping online Dashlane - Un nuovo gestore di password, compilatore di moduli e assistente per lo shopping online Se sei tu Ho provato alcuni gestori di password prima, probabilmente hai imparato ad aspettarti un po 'di ruvidezza ai bordi. Sono applicazioni solide e utili, ma le loro interfacce possono essere eccessivamente complesse e scomode. Dashlane non si limita a ridurre ... Per saperne di più. Per gli scopi di questo articolo, vado con gli account Google, ma gli altri seguiranno più o meno la stessa procedura. Solo diversi screenshot.
Dirigiti verso la tua pagina di autenticazione in due passaggi di Google e fai clic su Chiavi di sicurezza linguetta.
Questo ti porta quindi nella pagina di configurazione. Seguire le istruzioni come indicato nella pagina. È tutto molto semplice e diretto.
Quando la chiave è stata registrata con successo, il “Registrare” il tasto in basso diventerà verde e mostrerà “Registrato”. In caso contrario, ricominciare dall'inizio fino a quando non lo fa.
È possibile verificare se la chiave è stata registrata correttamente tornando al Chiavi di sicurezza linguetta.
E questo, signore e signori, è così.
Cosa fare se si accede utilizzando uno smartphone o un tablet?
Questa è stata una delle prime cose che mi è venuta in mente. Accedo a tutti i miei account Google Un sacco sui miei dispositivi iOS. I miei iDevices sono meravigliosi e tutti, ma l'unica debolezza che hanno è che non hanno una porta USB. Allora, dove va la YubiKey quando me lo chiede?
Dopo aver consultato l'azienda, sembra che se accedi al tuo account tramite un telefono o tablet, lo YubiKey lo rileva e la schermata di accesso automaticamente imposta automaticamente il metodo di autenticazione a 2 fattori (SMS, Authy o Google Authenticator Google Recommends 2 -Processo Step per proteggere il tuo account [Novità] Google consiglia il processo in due passaggi per proteggere il tuo account [Novità] Probabilmente gli utenti Internet più esperti hanno almeno un account Google - principalmente perché Google, nel bene e nel male, incrocia molti altri altri siti web che è difficile evitare di non usare il ... Per saperne di più). Lo stesso YubiKey verrà richiesto solo se rileva che stai usando un computer desktop o portatile, qualcosa che avrà una porta USB.
Vale anche la pena notare che se instradi la tua posta elettronica attraverso un client locale come Apple Mail o Outlook, allora né YubiKey o 2FA sono supportati. In questo caso, è necessario utilizzare una password speciale dell'app dall'app in questione.
I suoi vantaggi
Esaminiamo ora alcuni dei vantaggi dell'utilizzo di una chiave come questa.
È estremamente semplice da usare
Non c'è davvero modo di fare casino su qualcosa del genere. Una volta che è stato configurato correttamente, basta inserire la chiave nella porta USB e premere una volta il pulsante luminoso. Questo è tutto. Ora, come si potrebbe mai sbagliare??
Il tuo account ha una sicurezza extra senza il fastidio
Come ho già detto, 2FA è buono, ma può essere fastidioso. Quando parlo con qualcuno che non ha 2FA, la scusa normale è invariabilmente “è troppo di una seccatura“. Ma la mia contro-argomentazione è sempre “e quanta seccatura è implicata nel tentativo di recuperare un account compromesso?“. Ma tuttavia continuo a capirlo. 2FA implica l'accesso al telefono, il codice e l'inserimento. Farlo una volta non è un grosso problema, ma quando lo fai regolarmente, inizia a diventare noioso. Anche io sono stato tentato in diverse occasioni di spegnere l'intera faccenda e non mi importa che qualcuno possa entrare nei miei account, e non sono solo in questo.
Un YubiKey rimuove quel fastidio e ti rende più incline ad usare la protezione extra. Tuttavia, avrai ancora bisogno della configurazione 2FA se accedi ai tuoi account online tramite smartphone o tablet. Quindi non puoi sfuggire completamente a 2FA.
Costa poco
I vari YubiKey in offerta sono tutti a prezzo variabile ($ 40- $ 50), dato che ognuno fa un determinato lavoro (vedi “svantaggi” sezione per ulteriori informazioni su questo). Tuttavia, l'U2F è davvero economico ($ 18 su Amazon), in quanto fa meno delle altre chiavi. Per bagnare i piedi con il dispositivo, iniziare con l'U2F è l'ideale. Pensala come una ruota per principianti sulla bicicletta di un bambino.
È impossibile ricevere virus infetti
Una delle cose che ho notato di più online, quando si legge su YubiKeys, è la gente che strilla “e infettarlo in un terminale Internet pubblico? NO GRAZIE!“. Innanzitutto, non dovresti utilizzare le connessioni Internet pubbliche 5 modi per assicurarti che i computer pubblici che utilizzi siano sicuri 5 modi per assicurarti che i computer pubblici che utilizzi siano sicuri Il Wi-Fi pubblico è pericoloso indipendentemente dal computer in cui ti trovi, ma dalle macchine esterne chiedere ancora maggiore cautela. Se utilizzi un computer pubblico, segui queste linee guida per garantire la tua privacy e sicurezza. Leggi di più per motivi di sicurezza, e in secondo luogo, gli YubiKeys non possono ottenere virus in quanto è impossibile spostare qualsiasi file su di esso. Non è quel tipo di dispositivo USB. Aggiungete a ciò il fatto che le informazioni contenute nella chiave sono tutte protette da scrittura e il computer riconosce la chiave come una tastiera. Quindi non c'è bisogno di preoccuparsi di quel punteggio.
I suoi svantaggi
Sebbene lo YubiKey sia un ottimo dispositivo secondo me, ci sono ancora alcuni svantaggi notevoli di cui dovresti essere a conoscenza.
Funziona solo in Chrome
Al momento della stesura di questo, YubiKey funziona solo su Google Chrome, versione 38 o successiva. Quindi, gli utenti più sfortunati di Firefox, Safari, Opera e Edge 10 Motivi che dovresti utilizzare con Microsoft Edge Now 10 motivi per cui dovresti utilizzare Microsoft Edge Ora Microsoft Edge segna un'interruzione completa dal nome di Internet Explorer, uccidendo 20 anni -un altro albero genealogico nel processo. Ecco perché dovresti usarlo. Leggi di più . È molto probabile che saliranno a bordo in futuro, ma in questo momento non supportano lo YubiKey. Per la vita di me, non riesco a capire perché solo Chrome sia supportato. Si tratta di alieni di un gran numero di utenti del browser.
Conti diversi richiedono chiavi diverse
Yubico crea 7 prodotti diversi e tutti fanno cose diverse. Ad esempio, la mia chiave, Fido U2F, apre solo account su password, Google, Dropbox, Github e Dashlane (solo account premium).
Ma - e qui è davvero grande ma - se vuoi proteggere il tuo sistema operativo, account Paypal, Evernote o WordPress, avrai bisogno di diversi YubiKey. Se tutto ciò di cui hai bisogno è comunque qualcosa per sbloccare il tuo account Gmail, allora l'U2F è sufficiente. Qualsiasi altra cosa è come usare un carro armato per fare una mosca.
Lo YubiKey 4 praticamente fa tutto, ma a $ 50 potrebbe rivelarsi un po 'troppo costoso per qualcuno che vuole semplicemente entrare nella sua e-mail.
Se qualcuno ottiene la chiave e la password dell'account, il tuo account è compromesso
Il problema con 2FA è che qualsiasi intruso avrebbe bisogno di un accesso fisico al telefono per ottenere il codice SMS o Google Authenticator. Se hai un passcode sul tuo telefono (cosa che dovresti, specialmente alla luce dello showdown tra Apple e l'FBI Backdoor dell'FBI non aiuterà nessuno - nemmeno l'FBI Backdoor dell'FBI non aiuterà nessuno - nemmeno l'FBI l'FBI vuole costringere le aziende tecnologiche ad abilitare i servizi di sicurezza a curiosare sulla messaggistica istantanea, ma tali backdoor di sicurezza non esistono realmente, e se lo facessero, ti fideresti del tuo governo con loro? Leggi di più), quindi l'accesso ai tuoi codici 2FA sarebbe impossibile a una terza parte non autorizzata. A meno che il tuo codice sia qualcosa di estremamente ovvio (come il tuo compleanno) e l'intruso ti conosca abbastanza bene da indovinarlo.
Ma se qualcuno riceve una sospensione del tuo YubiKey e conosce anche la password del tuo account, allora entrerebbero nell'account più velocemente di un coltello caldo attraverso il burro. Non avrebbero alcun passcode per smartphone da bypassare. Questo presuppone che tu abbia un passcode sul tuo telefono per cominciare. Altrimenti, beh, non c'è differenza tra l'uso di 2FA e l'uso di un YubiKey.
Il modo migliore per risolvere questo problema consiste nell'utilizzare una password di account molto lunga e difficile da indovinare Guida alla gestione delle password Guida alla gestione delle password Non sentirti sopraffatto dalle password, o semplicemente utilizzare lo stesso su ogni sito solo per ricordare loro: progetta la tua strategia di gestione delle password. Per saperne di più (e mantenerlo in un gestore di password crittografato Password Manager Battle Royale: chi finirà in cima? Password Manager Battle Royale: chi finirà in cima? Maggiori informazioni). In questo modo, anche se la chiave fosse caduta nelle mani sbagliate, capire la password dell'account sarebbe estremamente difficile, se non impossibile. Senza la password, la chiave finirebbe per essere un inutile pezzo di plastica.
Ci sono delle alternative a YubiKey?
Dopo essersi guardato attorno, l'unica alternativa a YubiKey sembra essere Nitrokey. Circa lo stesso prezzo di YubiKey, NitroKey è prodotto in Germania e si vanta di essere open source. Sembra anche che faccia molto più di un YubiKey, il che mi fa considerare di acquistarne uno e testarlo per confrontarlo. Il prodotto era precedentemente chiamato Crypto-Key ed è stato rivisto da Danny nel 2012 The German Privacy Foundation Crypto Stick - Come e perché è più sicuro The German Privacy Foundation Crypto Stick - Come e perché è più sicuro Vengono continuamente create nuove tecnologie al fine di aumentare la sicurezza e molte di queste tecnologie alla fine spariscono a causa di scappatoie e altri problemi che alla fine vengono scoperti. Nessuna forma di sicurezza è esente ... Per saperne di più .
Ma è bello vedere che almeno un'altra società sta facendo un prodotto rivale e nel processo, avanzando l'intero concetto di una chiave di sicurezza. La rivalità promuove la ricerca e la ricerca finisce in prodotti migliori (di solito).
Tranquillità o convenienza?
L'intera esplorazione del concetto di YubiKey ha sollevato, per me comunque, l'intera questione di ciò che dovremmo essere pronti a sopportare in nome della sicurezza. L'autenticazione a 2 fattori è un ottimo modo per assicurarsi che il tuo account sia bloccato, ma come ho detto, può essere un vero rompicapo. Ciò porta molte persone a dire “zoppicarlo, lo sto spegnendo!”.
D'altra parte, qualcosa come un YubiKey o un NitroKey rende l'intero processo conveniente. Premi un pulsante e ti trovi. Ma se perdi la chiave e qualcuno può facilmente indovinare la tua password, avrai una giornata molto brutta. Quindi tranquillità (e qualche passo in più di seccature) o premendo il tasto su un tasto e risparmiando 60 secondi? In quale campo cadrai? Diteci nei commenti.
Scopri di più su: sicurezza informatica, password, autenticazione a due fattori.