Yubikey to coś więcej niż sprzętowy, niemożliwy do zhakowania menadżer haseł

Yubikey
Producent: Yubico
Nazwa: Yubikey NEO

Cena SRP: zależna od wersji

Konkluzje

Yubikey nie tylko chroni przed atakami, ale również przed własną głupotą, rutyną i niewiedzą. To zdecydowanie najlepsza metoda ochrony przed phishingiem, z jaką kiedykolwiek mieliśmy do czynienia. Dodatkowymi atutami kluczy Yubikey jest wsparcie dla NFC i integracja z nieograniczoną ilością usług U2F.

Ocena redakcji

5

Każdy z nas korzysta z wielu serwisów internetowych. Wiąże się to z koniecznością zakładania kont, które zazwyczaj zabezpieczone są prostym hasłem. Z lenistwa, czy też dla ułatwienia, ustawiamy identyczne hasła i używamy tego samego adresu e-mail. Jest to w jakimś sensie zrozumiałe (niestety bezpieczne już nie), ponieważ zapamiętanie dla każdego portalu innego, odpowiednio skomplikowanego hasła (nie wspominając o posiadaniu tak wielu skrzynek pocztowych) jest kłopotliwe. Jak bardzo ryzykowne jest takie postępowanie, uwidacznia nam PwnedWebsites, gdzie możemy na własne oczy ujrzeć ogrom wykradzionych danych logowania z rozmaitych stron.

Zawarte w serwisie PwnedWebsites informacje dotyczą dziesiątek milionów loginów i haseł, które są przypisane konkretnym witrynom. Na przykład, w 2015 roku firma LastPass odpowiedzialna za dostarczanie jednego z najbardziej popularnych menadżerów haseł, oficjalnie przyznała się do wykrycia włamania na ich serwery. Skradziono adresy e-mail użytkowników i odpowiedzi bezpieczeństwa przywracające zapomniane hasło-master. Historia zakończyła się szczęśliwie (jeśli możemy tak powiedzieć), ponieważ wykradzione hashe danych uwierzytelniających były dobrze zaszyfrowane.

Niestety, co jakiś czas świat obiega informacja o kolejnych wyciekach i nie zanosi się na to, żeby w najbliższym czasie sytuacja uległa zmianie. Oczywiście, możemy posłużyć się np. menadżerem haseł LastPass lub KeePass, które wyręczą nas w zapamiętywaniu skomplikowanych ciągów znaków. Należy jednak pamiętać, że wspomniana usługa SaaS uległa atakowi. Co zatem może uczynić szary użytkownik w celu zabezpieczenia swoich danych, skoro nawet potężne serwisy, jak np. MySpace przodujący w niechlubnym rankingu wykradzionych danych logowania, nie potrafi poradzić sobie z tą plagą? Szczęśliwie z odsieczą przychodzi szwedzka firma Yubico wraz ze swoimi produktami z serii Yubikey.

Wyłącznym dystrybutorem firmy Yubico w Polsce jest spółka ePrinus, która odpowiedzialna jest za poszarzenie sieci autoryzowanych partnerów specjalizujących się w dziedzinie bezpieczeństwa. Należą do nich m.in. firmy: Exence, FancyFon, Fly On The Cloud, Newind.

Na chwilę obecną klucze Yubikey można zamawiać przez autoryzowanego partnera spółki – detaliczny sklep online https://inbase.pl/sklep, który prowadzony jest przez najstarszego i najbardziej doświadczonego partnera Yubico w Polsce. Chociaż „sklep” jest sporym niedopowiedzeniem, firma ta specjalizuje się m.in. w przeprowadzaniu audytów zgodności z ustawą o ochronie danych osobowych i danych medycznych (posiada wymagane certyfikaty ISO19011, ISO27000, ISO27001, ISO22301, ABI), pełni doradztwo w zakresie bezpieczeństwa informacji i wdrożeń systemów do ochrony danych osobowych oraz dostarcza produkty do wspierania zarządzania bezpieczeństwem, które są zgodne z wytycznymi GIODO. Do ostatnich sukcesów firmy należy współpraca z klientami z sektorów SMB i Enterprise oraz z sektora edukacyjnego (uczelnie wyższe), w których z sukcesem zrealizowano integrację kluczy Yubikey z systemami klienta.

Czym jest Yubikey?

Jest łatwym w użyciu i co najważniejsze gwarantującym bezpieczeństwo kluczem pomagającym zabezpieczyć nasze konta w sieci poprzez zastosowanie U2F (Universal 2nd Factor). Mówiąc w skrócie, po podaniu loginu i wpisaniu hasła umieszczamy Yubikey w porcie USB i naciskamy przycisk na kluczu. Resztę pracy wykonuje urządzenie generując przy pomocy krzywej eliptycznej secp256r1 wykorzystywanej w kryptografii asymetrycznej jednorazowy klucz OTP – „One Time Password” i wysyła go do danego serwisu. Według instytutu National Institute for Standards and Technology (NIST), powinno to zapewnić bezpieczeństwo na wysokim poziomie jeszcze przez co najmniej kilkanaście lat. Dodatkowo sprzętowy kluczyk potrafi przechowywać dwa zapamiętane hasła – to drugie wprowadzamy tak samo, tylko odpowiednio dłużej przytrzymując złoty przycisk.

Po wpisaniu loginu oraz hasła trzeba wykonać jeszcze jeden krok – zamiast podatnej na zhackowanie metody SMS, wystarczy dotknąć metalowej blaszki, która jest wkomponowana w obudowę klucza.
Logowanie do serwisów wspierających U2F odbywa się w taki sam sposób jak dotychczas, z tą różnicą, że zamiast podatnej na zhackowanie metody dwuetapowej weryfikacji przy pomocy SMS.
Klucze Yubikey NEO posiadają wsparcie dla komunikacji NFC. Jest to dodatkowy atut, który warto wziąć pod uwagę przy zakupie klucza. Logowanie z telefonu może być tak samo bezpieczne, jak z komputera.

Dostępne wersje

Yubikey jest obecnie oferowany w pięciu wersjach, z czego pierwsze trzy, czyli: Yubikey 4, Yubikey 4C oraz Yubikey 4 NANO, nie różnią się między sobą niczym poza wielkością – i w przypadku wersji 4C – przeznaczeniem dla portu USB-C. Natomiast wszystkie klucze oferują OTP, Smart Card, FIDO U2F, RSA 4096 OpenPGP, a ich cena waha się od 40$ (polski dystrybutor oferuje produkt w cenie 215,87zł) za Yubikey 4 i 50$ (w Polsce 268,76zł) za dwa pozostałe modele.

Najtańszy, bo dostępny w cenie 18$ na stronie producenta i za 100,25zł w sklepie autoryzowanego partnera (InBase.pl) jest FIDO U2F SECURITY KEY, który (jak wskazuje jego nazwa) dedykowany jest tylko i wyłącznie do korzystania ze standardu FIDO U2F. Klucz ten nie wspiera silnego szyfrowania RSA-4096.

Ostatnim modelem jest Yubikey NEO (cena taka sama jak w przypadku wersji NANO), który wspiera OTP, Smart Card, FIDO U2F i pracuje zarówno za pośrednictwem portu USB, jak i NFC.

Po kilkunastu dniach użytkowania Yubikey okazuje się niezbędny

W tym momencie użytkownik może powiedzieć, że podobną funkcjonalność oferują jednorazowe hasła SMS, czy np. aplikacja Google Authenticator i nie potrzebuje kolejnego gadżetu. Na pierwszy rzut oka takie stwierdzenie może wydawać się słuszne, jednakże nasz „Yubi” ma tutaj sporo do powiedzenia:

- Nie musimy przepisywać generowanego kodu, a w razie utraty klucza, nie musimy się martwić, że ktoś wejdzie w posiadanie jakichkolwiek informacji na nasz temat, nawet przechowywane hasła same w sobie bez dodatkowych danych są bezwartościowe.

- Utrata na przykład telefonu niesie za sobą niestety poważne ryzyko spenetrowania naszych pilnie strzeżonych sekretów. Co ciekawe, firma Yubico udostępnia swoją własną i darmową aplikację Yubico Authenticator, zarówno dla urządzeń mobilnych, jak i różnych systemów operacyjnych, która może z powodzeniem zastąpić aplikację od Google i zapewnić dodatkowe bezpieczeństwo i elastyczność użycia.

- Aplikacja Yubico pokaże nam kody do naszych serwisów po podłączeniu klucza do USB w przypadku komputerów lub po zbliżeniu go do telefonu z NFC. Z jednej strony, pozwala nam to uniezależnić się od telefonu i jednocześnie stanowi dodatkowe zabezpieczenie w przypadku utraty urządzenia mobilnego, które bez kluczyka nie udostępni kodów.

– Logowanie z wykorzystaniem Yubikey ma nad wiadomościami SMS jedną i szalenie ważną przewagę. Telefon użytkownika może być zainfekowany trojanem, który zdoła przechwycić wiadomości SMS (w taki sam sposób, jak robią to mobilne trojany bankowe).

Wielu użytkowników z pewnością ucieszy możliwość logowania z użyciem Yubikey do Facebooka, usług Google, Dropbox, GitHub, czy menadżera haseł LastPass. Warto również pamiętać o dostępie do naszych komputerów – klucz współpracuje z wieloma systemami: Mac OS, Linux i oczywiście z systemami Windows w wersjach 7, 8 i 10. Wprawdzie wymaga to zainstalowania darmowej aplikacji, jednakże cały proces nie powinien nastręczać trudności nawet dla osób mniej technicznych.

Funkcjonalność klucza tutaj się nie kończy. Na forum producenta znaleźć można całkiem sporo zastosowań kluczy Yubikey. Więcej o możliwościach kluczy pisaliśmy w artykule pt. "Yubikey – najskuteczniejsza ochrona przed phishingiem i przejęciem konta" oraz "Kilka słów o bezpiecznym logowaniu: Yubikey 4 i Yubikey NEO w praktyce".

Yubikey chroni konta polityków i osób na kluczowych stanowiskach

W tym momencie warto wspomnieć o ataku na prywatną skrzynkę pocztową (Gmail) należącą do Johna Podesty - szefa kampanii prezydenckiej Hillary Clinton. W wyniku ataku ujawniona została zarówno korespondencja prywatna, jak i służbowa (korzystanie z prywatnych kont w celach służbowych nie jest najlepszym pomysłem). Jak wiele zamieszania i problemów wynikło z tego faktu możecie się dowiedzieć z naszych informacji, oraz opublikowanych przez serwis Niebezpiecznik.

Jednak, jak potoczyłaby się cała historia, gdyby na koncie Podesty zastosowano uwierzytelnianie dwuskładnikowe - kody SMS lub Google Authenticator? Nie mamy stuprocentowej pewności, ale najprawdopodobniej polityk wpisałby kod na fałszywej stronie. Zupełnie inaczej wyglądałoby całe zajście, gdyby John Podesta dysponował „niepozornym Yubikiem” – ten natychmiast zweryfikowałby adres URL i uchronił urzędnika przed niezamierzonym podarowaniem swoich wiadomości hakerom. Mówiąc w wielkim skrócie, YubiKey nie tylko chroni przed atakami, ale również przed ludzką głupotą, rutyną i niewiedzą.

Yubikey w firmie

Obecnie wiele pracowników pracuje zdalnie korzystając z VPN, ale w ślad za wygodą i wymaganiami dzisiejszych czasów podążają zagrożenia. Jest więc oczywiste, że potrzeba zapewnienia skutecznej i łatwej w użyciu metody zabezpieczeń stała się priorytetem dla firm. Podobnie ma się sprawa z zabezpieczeniem urządzeń na których pracownicy działają każdego dnia i nie zawsze przykładają należytą uwagę do kwestii bezpieczeństwa. Yubikey spełnia te wymagania z nawiązką.

Oczywiście Yubikey został stworzony nie tylko dla prywatnych użytkowników, ale dopiero w zastosowaniach korporacyjnych pokazuje pełnię swoich możliwości. Producent udostępnia biblioteki pozwalające wdrożyć system bez dodatkowych kosztów. Pracownicy firm mogą posługiwać się kluczem wszędzie tam, gdzie wymagane jest dodatkowe uwierzytelnienie przy zachowaniu wysokiego poziomu bezpieczeństwa. Yubikey nie wymaga dodatkowych urządzeń takich jak czytniki kart, czy tokeny. Nie wymaga instalacji sterowników, i co najważniejsze, zapewnia 100% odporność na ataki phisingowe, gdzie najsłabszym ogniwem jest człowiek.

Mówiąc o kwestiach zabezpieczania danych należy wspomnieć o pełnym szyfrowaniu dysku (FDE - full disk encryption). Jak wskazuje sama nazwa, jest to szyfrowanie całej zawartości nośnika za pomocą odpowiedniego oprogramowania lub innych rozwiązań sprzętowych. Taka metoda nie zabezpiecza danych przed kradzieżą samą w sobie. Niepowołane osoby, które wejdą w posiadanie takich danych nie powinny być w stanie ich odszyfrować. Najczęściej dostęp do FDE jest gwarantowany poprzez uwierzytelnianie przedstartowe (pre-boot authentication), klucz deszyfrujący jest uruchamiany i odszyfrowywany dopiero po wprowadzeniu klucza zewnętrznego, którym może być np. hasło lub w bardziej zaawansowanych przypadkach czytnik kart, skaner biometryczny i wiele innych. I oczywiście tutaj YubiKey melduje się gotowy do pracy i wymaga jedynie portu USB oraz aplikacji Personalization Tool.

Zastosowanie na szeroką skalę właśnie takiego systemu opartego o klucze Yubikey przez Google i Facebook świadczy samo za siebie. Prostota obsługi pozwala do minimum ograniczyć wsparcie użytkowników, co wprost prowadzi do ograniczania kosztów. Salesforce chwali się wdrożeniem kluczy dla siedemnastu tysięcy pracowników w zaledwie trzy dni, co stanowi barierę nie do przebicia dla innych technologii. Również pracownicy Europejskiej Organizacji Badań Jądrowych (CERN) na co dzień w swojej pracy używają Yubikey, podobnie jak wiele innych znanych i znaczących w swoich branżach firm. Z kluczy korzystają też jednostki rządowe w krajach takich jak: Szwecja. USA, UK, Australia, czy Turcja. Wdrożenia w istotnych dla bezpieczeństwa sektorach naszego kraju także miały miejsce, jednak ze względu na poufność tych informacji, żadna instytucja z nazwy nie zostanie wymieniona.

Przytoczone wdrożenia to tylko niewielki ułamek tego, co znajduje się na stronie producenta. Trzeba jednak pamiętać, że producent wymienia tylko te firmy bądź instytucje, które wyraziły na to zgodę. Pokazuje to, że tak szerokie zastosowanie tego "drobnego" urządzenia pozwala uznać jego potencjał i zaufać możliwościom.

YubiHSM

Szwedzka firma wprowadziła na rynek nie tylko Yubikey, ale również HSM (Hardware Security Module) – szyfrujący, deszyfrujący, jak również przechowujący w bezpieczny sposób klucze uwierzytelniające. YubiHSM zostawia konkurencję daleko w tyle w wielu istotnych kategoriach. Jego cena jest bardzo przystępna. Klucz działa z każdym portem USB i wieloma systemami operacyjnymi.

YubiHSM został doceniony przez wiele firm i instytucji na całym świecie, w tym Departament Obrony i Departament Stanu USA.

Urządzenie oferuje fizyczną izolację środowiska dla procesów kryptograficznych, zapewnia szyfrowanie z MAC (Message Authenticator Code), HMAC-SHA1, szyfrowanie i deszyfrowanie AES, jak również kryptograficzny True Random Number Generation. Wspiera również OTP oraz OATH-HOTP i oczywiście współpracuje z Yubico Validation Server. Co więcej, dostępna wersja NANO klucza HSM jest wielkości paznokcia i w całości mieści się w porcie, nie wymaga dodatkowego zasilania oraz nie wymaga praktycznie żadnej konserwacji.

[block:views=avlab_glosowanie-block/2336]


Dodaj komentarz

Treść tego pola jest prywatna i nie będzie udostępniana publicznie.

Zapoznaj się z naszą ofertą

Jeśli zajmujesz się sprzedażą rozwiązań zabezpieczających, jesteś dystrybutorem, autoryzowanym partnerem lub producentem i chciałbyś na portalu AVLab zaprezentować swoje portfolio gronu potencjalnych odbiorców, zareklamować wydarzenie, oprogramowanie, sprzęt lub inne usługi — po prostu napisz do nas. A może mialeś/aś do czynienia z ransomware? Pomagamy też w odszyfrowaniu plików.
Czytaj więcej