Yubikey to coś więcej niż sprzętowy, niemożliwy do zhakowania menadżer haseł

Producent: Yubico
Nazwa: Yubikey NEO

Cena SRP: zależna od wersji

Sprawdź ceny
Zobacz ulotkę

Konkluzje

Yubikey nie tylko chroni przed atakami, ale również przed własną głupotą, rutyną i niewiedzą. To zdecydowanie najlepsza metoda ochrony przed phishingiem, z jaką kiedykolwiek mieliśmy do czynienia. Dodatkowymi atutami kluczy Yubikey jest wsparcie dla NFC i integracja z nieograniczoną ilością usług U2F.

Każdy z nas korzysta z wielu serwisów internetowych. Wiąże się to z koniecznością zakładania kont, które zazwyczaj zabezpieczone są prostym hasłem. Z lenistwa, czy też dla ułatwienia, ustawiamy identyczne hasła i używamy tego samego adresu e-mail. Jest to w jakimś sensie zrozumiałe (niestety bezpieczne już nie), ponieważ zapamiętanie dla każdego portalu innego, odpowiednio skomplikowanego hasła (nie wspominając o posiadaniu tak wielu skrzynek pocztowych) jest kłopotliwe. Jak bardzo ryzykowne jest takie postępowanie, uwidacznia nam PwnedWebsites, gdzie możemy na własne oczy ujrzeć ogrom wykradzionych danych logowania z rozmaitych stron.

Zawarte w serwisie PwnedWebsites informacje dotyczą dziesiątek milionów loginów i haseł, które są przypisane konkretnym witrynom. Na przykład, w 2015 roku firma LastPass odpowiedzialna za dostarczanie jednego z najbardziej popularnych menadżerów haseł, oficjalnie przyznała się do wykrycia włamania na ich serwery. Skradziono adresy e-mail użytkowników i odpowiedzi bezpieczeństwa przywracające zapomniane hasło-master. Historia zakończyła się szczęśliwie (jeśli możemy tak powiedzieć), ponieważ wykradzione hashe danych uwierzytelniających były dobrze zaszyfrowane.

Niestety, co jakiś czas świat obiega informacja o kolejnych wyciekach i nie zanosi się na to, żeby w najbliższym czasie sytuacja uległa zmianie. Oczywiście, możemy posłużyć się np. menadżerem haseł LastPass lub KeePass, które wyręczą nas w zapamiętywaniu skomplikowanych ciągów znaków. Należy jednak pamiętać, że wspomniana usługa SaaS uległa atakowi. Co zatem może uczynić szary użytkownik w celu zabezpieczenia swoich danych, skoro nawet potężne serwisy, jak np. MySpace przodujący w niechlubnym rankingu wykradzionych danych logowania, nie potrafi poradzić sobie z tą plagą? Szczęśliwie z odsieczą przychodzi szwedzka firma Yubico wraz ze swoimi produktami z serii Yubikey.

Wyłącznym dystrybutorem firmy Yubico w Polsce jest spółka ePrinus, która odpowiedzialna jest za poszarzenie sieci autoryzowanych partnerów specjalizujących się w dziedzinie bezpieczeństwa. Należą do nich m.in. firmy: Exence, FancyFon, Fly On The Cloud, Newind.

Na chwilę obecną klucze Yubikey można zamawiać przez autoryzowanego partnera spółki – detaliczny sklep online https://inbase.pl/sklep, który prowadzony jest przez najstarszego i najbardziej doświadczonego partnera Yubico w Polsce. Chociaż „sklep” jest sporym niedopowiedzeniem, firma ta specjalizuje się m.in. w przeprowadzaniu audytów zgodności z ustawą o ochronie danych osobowych i danych medycznych (posiada wymagane certyfikaty ISO19011, ISO27000, ISO27001, ISO22301, ABI), pełni doradztwo w zakresie bezpieczeństwa informacji i wdrożeń systemów do ochrony danych osobowych oraz dostarcza produkty do wspierania zarządzania bezpieczeństwem, które są zgodne z wytycznymi GIODO. Do ostatnich sukcesów firmy należy współpraca z klientami z sektorów SMB i Enterprise oraz z sektora edukacyjnego (uczelnie wyższe), w których z sukcesem zrealizowano integrację kluczy Yubikey z systemami klienta.

Czym jest Yubikey?

Jest łatwym w użyciu i co najważniejsze gwarantującym bezpieczeństwo kluczem pomagającym zabezpieczyć nasze konta w sieci poprzez zastosowanie U2F (Universal 2nd Factor). Mówiąc w skrócie, po podaniu loginu i wpisaniu hasła umieszczamy Yubikey w porcie USB i naciskamy przycisk na kluczu. Resztę pracy wykonuje urządzenie generując przy pomocy krzywej eliptycznej secp256r1 wykorzystywanej w kryptografii asymetrycznej jednorazowy klucz OTP – „One Time Password” i wysyła go do danego serwisu. Według instytutu National Institute for Standards and Technology (NIST), powinno to zapewnić bezpieczeństwo na wysokim poziomie jeszcze przez co najmniej kilkanaście lat. Dodatkowo sprzętowy kluczyk potrafi przechowywać dwa zapamiętane hasła – to drugie wprowadzamy tak samo, tylko odpowiednio dłużej przytrzymując złoty przycisk.


Po wpisaniu loginu oraz hasła trzeba wykonać jeszcze jeden krok – zamiast podatnej na zhackowanie metody SMS, wystarczy dotknąć metalowej blaszki, która jest wkomponowana w obudowę klucza.


Logowanie do serwisów wspierających U2F odbywa się w taki sam sposób jak dotychczas, z tą różnicą, że zamiast podatnej na zhackowanie metody dwuetapowej weryfikacji przy pomocy SMS.


Klucze Yubikey NEO posiadają wsparcie dla komunikacji NFC. Jest to dodatkowy atut, który warto wziąć pod uwagę przy zakupie klucza. Logowanie z telefonu może być tak samo bezpieczne, jak z komputera.

Dostępne wersje

Yubikey jest obecnie oferowany w pięciu wersjach, z czego pierwsze trzy, czyli: Yubikey 4, Yubikey 4C oraz Yubikey 4 NANO, nie różnią się między sobą niczym poza wielkością – i w przypadku wersji 4C – przeznaczeniem dla portu USB-C. Natomiast wszystkie klucze oferują OTP, Smart Card, FIDO U2F, RSA 4096 OpenPGP, a ich cena waha się od 40$ (polski dystrybutor oferuje produkt w cenie 215,87zł) za Yubikey 4 i 50$ (w Polsce 268,76zł) za dwa pozostałe modele.

Najtańszy, bo dostępny w cenie 18$ na stronie producenta i za 100,25zł w sklepie autoryzowanego partnera (InBase.pl) jest FIDO U2F SECURITY KEY, który (jak wskazuje jego nazwa) dedykowany jest tylko i wyłącznie do korzystania ze standardu FIDO U2F. Klucz ten nie wspiera silnego szyfrowania RSA-4096.

Ostatnim modelem jest Yubikey NEO (cena taka sama jak w przypadku wersji NANO), który wspiera OTP, Smart Card, FIDO U2F i pracuje zarówno za pośrednictwem portu USB, jak i NFC.

Po kilkunastu dniach użytkowania Yubikey okazuje się niezbędny

W tym momencie użytkownik może powiedzieć, że podobną funkcjonalność oferują jednorazowe hasła SMS, czy np. aplikacja Google Authenticator i nie potrzebuje kolejnego gadżetu. Na pierwszy rzut oka takie stwierdzenie może wydawać się słuszne, jednakże nasz „Yubi” ma tutaj sporo do powiedzenia:

- Nie musimy przepisywać generowanego kodu, a w razie utraty klucza, nie musimy się martwić, że ktoś wejdzie w posiadanie jakichkolwiek informacji na nasz temat, nawet przechowywane hasła same w sobie bez dodatkowych danych są bezwartościowe.

- Utrata na przykład telefonu niesie za sobą niestety poważne ryzyko spenetrowania naszych pilnie strzeżonych sekretów. Co ciekawe, firma Yubico udostępnia swoją własną i darmową aplikację Yubico Authenticator, zarówno dla urządzeń mobilnych, jak i różnych systemów operacyjnych, która może z powodzeniem zastąpić aplikację od Google i zapewnić dodatkowe bezpieczeństwo i elastyczność użycia.

- Aplikacja Yubico pokaże nam kody do naszych serwisów po podłączeniu klucza do USB w przypadku komputerów lub po zbliżeniu go do telefonu z NFC. Z jednej strony, pozwala nam to uniezależnić się od telefonu i jednocześnie stanowi dodatkowe zabezpieczenie w przypadku utraty urządzenia mobilnego, które bez kluczyka nie udostępni kodów.

– Logowanie z wykorzystaniem Yubikey ma nad wiadomościami SMS jedną i szalenie ważną przewagę. Telefon użytkownika może być zainfekowany trojanem, który zdoła przechwycić wiadomości SMS (w taki sam sposób, jak robią to mobilne trojany bankowe).

Wielu użytkowników z pewnością ucieszy możliwość logowania z użyciem Yubikey do Facebooka, usług Google, Dropbox, GitHub, czy menadżera haseł LastPass. Warto również pamiętać o dostępie do naszych komputerów – klucz współpracuje z wieloma systemami: Mac OS, Linux i oczywiście z systemami Windows w wersjach 7, 8 i 10. Wprawdzie wymaga to zainstalowania darmowej aplikacji, jednakże cały proces nie powinien nastręczać trudności nawet dla osób mniej technicznych.

Funkcjonalność klucza tutaj się nie kończy. Na forum producenta znaleźć można całkiem sporo zastosowań kluczy Yubikey. Więcej o możliwościach kluczy pisaliśmy w artykule pt. "Yubikey – najskuteczniejsza ochrona przed phishingiem i przejęciem konta" oraz "Kilka słów o bezpiecznym logowaniu: Yubikey 4 i Yubikey NEO w praktyce".




Podobne artykuły

Phishing – kto nie miał do czynienia z tą jakże starą, ale ciągle skuteczną techniką przejęcia...
W poprzednim artykule na temat kluczy Yubikey przedstawiliśmy sposoby ich wykorzystania i...

Dodaj komentarz