YubiKey rende l'autenticazione in due passaggi meno fastidiosa?

Annuncio pubblicitario

Con il numero di incidenti di hacking che aumentano di giorno in giorno, tutti dovrebbero usare autenticazione a due passaggi / a due fattori (2FA) Cos'è l'autenticazione a due fattori e perché dovresti usarlaL'autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due diversi modi per dimostrare la tua identità. È comunemente usato nella vita di tutti i giorni. Ad esempio, il pagamento con una carta di credito non richiede solo la carta, ... Leggi di più . Aggiunge uno strato a prova di proiettile attorno al tuo account online, il che rende estremamente difficile, se non impossibile, la penetrazione di un hacker.

Ma molte persone sono rimandate dall'uso di 2FA, semplicemente a causa dell'inconveniente La verifica in due passaggi può essere meno irritante? Quattro hack segreti garantiti per migliorare la sicurezzaVuoi una sicurezza dell'account a prova di proiettile? Consiglio vivamente di abilitare quella che viene chiamata autenticazione "a due fattori". Leggi di più

di dover ottenere un secondo codice dal proprio telefono, ogni volta che vogliono accedere. Quindi le persone disabilitano la funzione o non si preoccupano di configurarla in primo luogo. Ma dovresti, come molte aziende ora stanno entrando a far parte dell'idea.

Se ti conti nel gruppo "facilmente disturbato", sarai felice di sapere che esiste un'altra opzione invece di 2FA. Questa opzione mantiene il tuo account altrettanto sicuro, ma tutto ciò che devi fare è premere un pulsante e sei dentro. Si chiama YubiKeye dopo alcuni giorni di utilizzo, sono già convertito. Tesoro, mi hai fatto salutare.

Che cos'è un YubiKey?

Un YubiKey è una chiavetta USB, prodotta dall'azienda Yubico. Fanno vari prodotti, ognuno dei quali svolge lavori simili. Ma ai fini di questo articolo, mi concentrerò sul Fido U2F, (Universale a 2 fattori) che è quello che ho ricevuto. È facile da configurare e utilizzare ed è apparentemente indistruttibile.

Dal sito:

“Tutti gli YubiKeys sono quasi indistruttibili. Lo YubiKey di dimensioni standard (come YubiKey Standard, YubiKey NEO, YubiKey Edge e FIDO U2F Security Key) è realizzato in plastica stampata a iniezione che racchiude i circuiti, mentre gli elementi a vista sono costituiti da un grado di protezione militare oro. Impermeabile e resistente allo schiacciamento, lo YubiKey di dimensioni standard si attacca al portachiavi insieme alle chiavi della casa e dell'auto ”.

È una cosa piuttosto piccola e delicata e verrai perdonato per aver dubitato della pretesa "indistruttibile". Con un peso di soli 3 grammi, le sue misure sono solo 18 mm x 45 mm x 3 mm. Ma questa piccola chiave, insieme alla memorizzazione di tutte le mie password in KeePass, ha improvvisamente reso l'accesso agli account indolore e fastidioso. Google e Facebook utilizzano YubiKey per le credenziali dei dipendenti, quindi il concetto ha alcuni hit molto pesanti dietro di esso, il backup. Google introdotto per i loro utenti nel 2014.

Come funziona?

YubiKey è un componente hardware che supporta password monouso, crittografia e autenticazione con chiave pubblica e il protocollo U2F (Universal 2nd Factor) sviluppato da Alleanza FIDO. È possibile utilizzarlo per accedere in modo sicuro agli account supportati utilizzando una password singola o basata su FIDO coppia di chiavi pubblica / privata Come funziona la crittografia ed è davvero sicura? Leggi di più generato dal dispositivo. Dopo aver inserito il tasto, premi il pulsante d'oro e il tocco di un dito emette una piccola carica elettrica che attiva il dispositivo.

Come lo installi?

Un YubiKey è molto facile da configurare, come vedrai di seguito. Una chiave U2F funziona per Account Google, Dropbox, Github Che cos'è Git e perché dovresti utilizzare il controllo versione se sei uno sviluppatoreCome sviluppatori web, per la maggior parte del tempo tendiamo a lavorare su siti di sviluppo locali per poi caricare tutto quando abbiamo finito. Questo va bene quando sei solo tu e le modifiche sono piccole, ... Leggi di più , e Dashlane Dashlane: un nuovo gestore di password, compilatore di moduli e assistente per lo shopping onlineSe hai già provato alcuni gestori di password, probabilmente hai imparato ad aspettarti delle asperità sui bordi. Sono applicazioni solide e utili, ma le loro interfacce possono essere eccessivamente complesse e scomode. Dashlane non si limita a ridurre ... Leggi di più . Ai fini di questo articolo, vado con gli account Google, ma gli altri seguiranno più o meno la stessa procedura. Solo schermate diverse.

Vai alla pagina di autenticazione in due passaggi di Google e fai clic su Chiavi di sicurezza scheda.

Questo ti porta quindi nella pagina di configurazione. Seguire le istruzioni come indicato nella pagina. È tutto molto semplice e diretto.

Quando la chiave è stata registrata con successo, il tasto "Registra" in basso diventerà verde e mostrerà "Registrato". In caso contrario, ricominciare dall'inizio fino a quando non lo fa.

Puoi verificare se la chiave è stata registrata correttamente tornando a Chiavi di sicurezza scheda.

E questo, onorevoli colleghi, è così.

Cosa succede se si accede utilizzando uno smartphone o un tablet?

Questa è stata una delle prime cose che mi sono venute in mente. Accedo a tutti i miei account Google Un sacco sui miei dispositivi iOS. I miei dispositivi iDevices sono meravigliosi e tutti, ma l'unico punto debole che hanno è che non hanno una porta USB. Quindi dove va YubiKey quando me lo chiede?

Dopo aver verificato con la società, sembra che se accedi al tuo account tramite un telefono o un tablet, il YubiKey lo rileva e la schermata di accesso verrà automaticamente impostata sul metodo di autenticazione a 2 fattori (SMS, Authy, o Google Authenticator Google consiglia la procedura in due passaggi per proteggere il tuo account [Notizie]Gli utenti Internet più esperti probabilmente hanno almeno un account Google, principalmente perché Google, nel bene o nel male, incrocia percorsi con così tanti altri siti Web che è difficile evitare di non utilizzare il ... Leggi di più ). Lo stesso YubiKey verrà richiesto solo se rileva che stai utilizzando un computer desktop o laptop, qualcosa che avrà una porta USB.

Vale anche la pena notare che se instrada la tua e-mail attraverso un client locale come Apple Mail o Outlook, allora né YubiKey o 2FA sono supportati. In questo caso, dovrai utilizzare una password app speciale dall'app in questione.

I suoi vantaggi

Vediamo ora alcuni dei vantaggi dell'utilizzo di una chiave come questa.

È estremamente semplice da usare

Non c'è davvero modo di rovinare qualcosa del genere. Una volta configurato correttamente, basta inserire la chiave nella porta USB e premere una volta il pulsante luminoso. Questo è tutto. Ora, come si può sbagliare qualcuno?

Il tuo account ha una sicurezza extra senza fastidio

Come ho già detto, 2FA è buono, ma può essere fastidioso. Quando parlo con qualcuno che non ha 2FA, la scusa normale è invariabilmente "è troppo una seccatura“. Ma la mia contro argomentazione è sempre "e quanta seccatura è coinvolta nel tentativo di recuperare un account compromesso?“. Ma comunque ho ancora capito. 2FA prevede l'accesso al telefono, l'acquisizione del codice e l'inserimento. Farlo una volta non è un grosso problema, ma quando lo fai regolarmente, inizia a diventare noioso. Anche io sono stato tentato in diverse occasioni di spegnere tutto e non preoccuparmi che qualcuno possa entrare nei miei conti, e non sono solo in questo.

Un YubiKey rimuove quel fastidio e ti rende più incline a utilizzare la protezione aggiuntiva. Tuttavia, dovrai comunque configurare 2FA se accedi ai tuoi account online tramite smartphone o tablet. Quindi non puoi sfuggire del tutto a 2FA.

Costa poco

I vari YubiKeys offerti sono tutti di prezzo variabile ($ 40- $ 50), in quanto ognuno svolge un determinato lavoro (vedere la sezione "Svantaggi" per ulteriori informazioni al riguardo). Tuttavia, l'U2F è davvero economico ($ 18 su Amazon), poiché fa meno delle altre chiavi. Per bagnare i piedi con il dispositivo, iniziare con l'U2F è l'ideale. Pensa a come le ruote dello studente sulla bicicletta di un bambino.

È impossibile essere infettati da virus

Una delle cose che ho notato di più online, quando ho letto su YubiKeys, sono le persone che gridano "e infettarlo in un terminale Internet pubblico? NO GRAZIE!“. Bene, prima, non dovresti usare connessioni Internet pubbliche 5 modi per assicurarsi che i computer pubblici che utilizzi siano sicuriIl WiFi pubblico è pericoloso, indipendentemente dal computer in uso, ma le macchine straniere richiedono ancora maggiore attenzione. Se stai utilizzando un computer pubblico, segui queste linee guida per garantire la tua privacy e sicurezza. Leggi di più per motivi di sicurezza, e in secondo luogo, gli YubiKeys non possono ricevere virus in quanto è impossibile spostare qualsiasi file su di esso. Non è quel tipo di dispositivo USB. Aggiungete a ciò il fatto che le informazioni contenute nella chiave sono tutte protette da scrittura e dal computer riconosce il tasto come una tastiera. Quindi non è necessario preoccuparsi di quel punteggio.

I suoi svantaggi

Sebbene YubiKey sia un ottimo dispositivo secondo me, ci sono ancora alcuni notevoli svantaggi di cui dovresti essere consapevole.

Funziona solo con Chrome

Al momento della stesura di questo articolo, YubiKey funziona solo su Google Chrome, versione 38 o successiva. Così sfortunati utenti di Firefox, Safari, Opera e Bordo 10 motivi per cui dovresti usare Microsoft Edge adessoMicrosoft Edge segna un'interruzione completa del marchio Internet Explorer, uccidendo un albero genealogico di 20 anni nel processo. Ecco perché dovresti usarlo. Leggi di più . È molto probabile che arriveranno a bordo in futuro, ma in questo momento non supportano YubiKey. Per la mia vita, non riesco a capire perché sia ​​supportato solo Chrome. In un certo senso allontana un gran numero di utenti del browser.

Account diversi richiedono chiavi diverse

Yubico produce 7 prodotti diversi e tutti fanno cose diverse. Ad esempio, la mia chiave, Fido U2F, apre solo account su gestori password Google, Dropbox, Github e Dashlane (solo account premium).

Ma - ed ecco il grande ma - se vuoi proteggere il tuo sistema operativo, Paypal, Evernote o WordPress, allora avrai bisogno di diversi YubiKeys. Se tutto ciò di cui hai bisogno è qualcosa per sbloccare il tuo account Gmail, allora l'U2F è sufficiente. Qualsiasi altra cosa è come usare un carro armato per schiacciare una mosca.

YubiKey 4 fa praticamente tutto, ma a $ 50 potrebbe rivelarsi un po 'troppo costoso per qualcuno che vuole semplicemente entrare nella propria e-mail.

Se qualcuno ottiene la chiave e la password dell'account, il tuo account è compromesso

La cosa con 2FA è che qualsiasi intruso avrebbe bisogno dell'accesso fisico al tuo telefono, al fine di ottenere il codice SMS o Google Authenticator. Se hai un passcode sul tuo telefono (cosa che dovresti, specialmente alla luce dello showdown tra Apple e l'FBI Le backdoor dell'FBI non aiuteranno nessuno, nemmeno l'FBIL'FBI vuole costringere le aziende tecnologiche a consentire ai servizi di sicurezza di curiosare nella messaggistica istantanea. Ma tali backdoor di sicurezza in realtà non esistono, e se lo facessero, ti fideresti del tuo governo con loro? Leggi di più ), l'accesso a codici 2FA sarebbe impossibile per una terza parte non autorizzata. A meno che il tuo codice non sia qualcosa di estremamente ovvio (come il tuo compleanno) e l'intruso ti conosca abbastanza bene da indovinarlo.

Ma se qualcuno ottiene una sospensione del tuo YubiKey e conosce anche la password del tuo account, allora entrerebbe nell'account più velocemente di un coltello caldo attraverso il burro. Non avrebbero un passcode per smartphone da bypassare. Supponiamo che tu abbia un passcode sul tuo telefono per cominciare. In caso contrario, non c'è differenza tra l'utilizzo di 2FA e l'uso di YubiKey.

Il modo migliore per risolvere questo problema è utilizzare un metodo molto lungo, password dell'account difficile da indovinare Guida alla gestione delle passwordNon sentirti sopraffatto dalle password o usa semplicemente la stessa su ogni sito solo per ricordartele: progetta la tua strategia di gestione delle password. Leggi di più (e conservalo in un gestore password crittografato Password Manager Battle Royale: chi finirà in cima? Leggi di più ). In questo modo, anche se la chiave cadesse nelle mani sbagliate, capire la password dell'account sarebbe estremamente difficile, se non impossibile. Senza la password, la chiave finirebbe per essere un inutile pezzo di plastica.

Ci sono alternative a YubiKey?

Dopo essersi guardato intorno, l'unica alternativa a YubiKey sembra essere Nitrokey. Circa allo stesso prezzo di YubiKey, NitroKey è prodotto in Germania ed è orgoglioso di essere open-source. Sembra anche fare molto di più di uno YubiKey, il che mi sta facendo considerare di acquistarne uno e testarlo per confrontarlo. Il prodotto era precedentemente chiamato Crypto-Key e è stato recensito da Danny nel 2012 The German Privacy Foundation Crypto Stick: come e perché è più sicuroNuove tecnologie vengono costantemente create per aumentare la sicurezza e molte di queste tecnologie alla fine scompaiono a causa di scappatoie e altri problemi che alla fine vengono scoperti. Nessuna forma di sicurezza è esente ... Leggi di più .

Ma è bello vedere che almeno un'altra azienda sta realizzando un prodotto rivale e nel processo, facendo avanzare l'intero concetto di chiave di sicurezza. La rivalità promuove la ricerca e la ricerca finisce per ottenere prodotti migliori (di solito).

Tranquillità o convenienza?

L'intera esplorazione del concetto YubiKey ha sollevato, per me in ogni caso, l'intera questione di cosa dovremmo essere pronti a sopportare in nome della sicurezza. L'autenticazione a 2 fattori è un modo eccellente per assicurarsi che il tuo account sia bloccato, ma come ho già detto, può essere una vera seccatura nel culo. Questo porta molte persone a dire "abbattilo, lo spengo!".

D'altra parte, qualcosa come un YubiKey o un NitroKey rende l'intero processo conveniente. Premi un pulsante e sei dentro. Ma se perdi la chiave e qualcuno può facilmente indovinare la tua password, allora avrai una brutta giornata. Quindi tranquillità (e facendo qualche passo in più di seccatura) o premendo il pulsante su un tasto e risparmiando 60 secondi? In quale campo cadi? Diteci nei commenti.