Klucze YubiKey 5 są już dostępne w sprzedaży

Żyjemy w czasach, kiedy socjotechnika połączona z atakami ukierunkowanymi dają prawie stuprocentową pewność powodzenia zaplanowanego przejęcia konta. Mało tego, wdrożenie certyfikatu SSL oraz dopracowanego wyglądu strony nie jest dzisiaj żadnym problemem, dlatego ataki phishingowe ciągle są tak bardzo skuteczne. Na szczęście z pomocą przychodzi producent Yubico i jego klucze bezpieczeństwa Yubikey.

Najlepszą ochroną przed phishingiem jest edukacja. A wiec nie należy ufać wszystkim linkom w wiadomościach e-mail lub przesyłanych za pośrednictwem komunikatorów — konto znajomego też może zostać przejęte i użyte do socjotechnicznego ataku. Należy dokładnie sprawdzać adres strony, ażeby chronić się przed atakami wykorzystującymi błędy (literówki) we wpisywanych adresach internetowych. Ulubione i często odwiedzane witryny najlepiej przechowywać w zakładkach.

W ostatnim czasie byliśmy świadkami próby wyłudzenia danych logowania do konta pocztowego pod postacią phishingu: „Twoja skrzynka pocztowa przekroczyła limit przestrzeni dyskowej”. W sytuacji, gdy jest już za późno i mimo wszystko podaliśmy przestępcy nasze dane, nie jest jeszcze za późno. Uratować utratę konta może tzw. dwuetapowa weryfikacja za pomocą haseł SMS, Google Authenticator lub klucza bezpieczeństwa. Jednym z takich kluczy jest Yubikey.

Na AVLab powstało już kilka artykułów o kluczach Yubikey, których producentem jest firma Yubico, jednak wszystkie wiadomości dotyczą dotychczasowej wersji „czwartej”. Nowa, „piąta generacja” wprowadza obsługę technologii FIDO2, WebAuthn oraz ulepszonego NFC. Jak zaznacza producent, wielu użytkowników oczekiwało tej zmiany. Sam proces uwierzytelniania za pomocą klucza nie został zmodyfikowany. Wciąż wystarczy dotknąć podłączonego klucza do portu USB w odpowiednim momencie, czyli dokładnie wtedy, kiedy ten miga do użytkownika diodą powiadomień. To bardzo proste:

Klucze mogą być używane do logowania się do portali, które wspierają protokół U2F, także na urządzeniach mobilnych, bez podawania tradycyjnego loginu i hasła. Logowanie za pomocą klucza bezpieczeństwa wspiera bardzo dużo serwisów internetowych i aż dziw bierze, dlaczego nie pozwalają na to banki. Pełna lista serwisów, które obsługują protokół U2F, jest dostępna na tej stronie. Dodatkowo za pomocą Yubikey możemy logować się do systemów operacyjnych Windows, Linux i macOS, a więc klucze da się wykorzystać jako świetne zabezpieczenie systemu przed osobami postronnymi.  

Klucze bezpieczeństwa to obecnie absolutna podstawa do zapobiegania kradzieży tożsamości. Nawet jeśli użytkownik przekaże oszustowi hasło i login np. do Facebooka, to przestępca bez klucza bezpieczeństwa ofiary nie zdoła się zalogować. Oczywiście działa to także w drugą stronę. Jeśli klucz zostanie zgubiony, to nie będzie możliwości zalogowania się. Wtedy niezbędna będzie interwencja wsparcia technicznego. Jednakże wiele portali oprócz klucza bezpieczeństwa pozwala zalogować się alternatywną metodą np. za pomocą kodu wysłanego na numer telefonu lub wspomnianego Google Authenticator. Istnieje także droższa metoda, czyli kupienie drugiego klucza i podpięcie go do strony internetowej jako awaryjnego, zapasowego.

Jeśli chodzi o system operacyjny, to od tej bezpiecznej metody logowania są wyjątki. Przestępcy mogą „ominąć” uwierzytelnienie, uruchamiając dowolną dystrybucję Linuksa z bootowalnego pendrive, dzięki któremu możliwy będzie dostęp do struktury plików i katalogów, a więc i dokumentów użytkownika. Na szczęście i przed tym można się chronić. W jaki sposób? Trzeba szyfrować wszystko i zawsze.

YubiKey 5 jest już dostępny w oficjalnym sklepie Yubico ze wsparciem dla certyfikatu FIPS 140-2, który jest ustalany przez rząd Stanów Zjednoczonych m.in.dla cywilnych agencji rządowych.