Yubikey – najskuteczniejsza ochrona przed phishingiem i przejęciem konta

Phishing – kto nie miał do czynienia z tą jakże starą, ale ciągle skuteczną techniką przejęcia cudzych informacji, które każdy z nas chce chronić na własny sposób i jak najlepiej. Wielokrotnie w różnych artykułach sugerowaliśmy, w jaki sposób chronić siebie i swoich przyjaciół przed socjotechniką zwykłą, masową oraz tą ukierunkowaną, gdzie dobrze przygotowany atak na firmę najprawdopodobniej prędzej czy później będzie miał dla atakującego szczęśliwe zakończenie.

Odłóżmy teraz na bok wszelkie rekomendacje „bezpiecznego” korzystania z komputera, poczty elektronicznej, portali społecznościowych, itp., bo oto przedstawiamy Yubikey – prawdopodobnie najskuteczniejsze narzędzie zapobiegające atakom phishingowym i nieautoryzowanym przejęciom kont internetowych, z jakim kiedykolwiek mieliśmy do czynienia.


Klucze Yubikey

Yubikey to „klucz” do skutecznej ochrony konta

Jeżeli posiadacie pocztę od Google (Gmail), konto na Dropboxie, Google+, YouTube, Githubie, Facebooku, Twitterze oraz w innych internetowych usługach, które wspierają dwuetapową weryfikację podczas logowania się do serwisu (najczęściej jawi się ona w postaci wiadomości SMS, które przychodzą na telefon przy próbie zalogowania się) to jest szansa, że wspierają one (lub dopiero będą wspierać) tak zwane uwierzytelnienie U2F, które umożliwi bezpiecznie logowanie się do serwisu internetowego bez instalowania dodatkowych sterowników lub oprogramowania producenta (klucz Yubikey może działać na wszystkich systemach operacyjnych).

Chociaż od "środka" zasada działania Yubikey opera się o nowoczesne metody kryptograficzne, to dla przeciętnego użytkownika nie ma to większego znaczenia – dla niego liczy się tylko kwestia bezpieczeństwa, która realizowana jest za pośrednictwem silnego uwierzytelnienia dwuskładnikowego (2FA) przy użyciu klucza PGP publicznego i prywatnego o bardzo mocnym szyfrowaniu RSA 4096, który był wykorzystany m.in. w Cryptolockerze (i do dnia dzisiejszego nie znaleziono metody na odszyfrowanie plików po ataku tego szkodnika). W ten sposób użytkownik jest chroniony przed phishingiem, przechwytywaniem sesji, atakami man-in-the-middle i atakami złośliwego oprogramowania. Co więcej, metoda ta jest łatwa w użyciu:

  • działa już po „wyjęciu z pudełka” we współpracy z przeglądarką Chrome i już wkrótce z Firefoksem,
  • umożliwia natychmiastowe uwierzytelnianie do dowolnej liczby usług internetowych,
  • i co również istotne – zapewnia wysoką prywatność generując nową parę kluczy podczas logowania się do każdego serwisu internetowego.

Yubikey w praktyce

Praktyka nie różni się zbyt wiele od tej, z którą spotykacie się każdego dnia podczas korzystania z usług internetowych wspierających dodatkowe zabezpieczenie konta w postaci jednorazowych kodów SMS podczas logowania.

Krok 1: W zależności od wariantu Yubikey, jego cena jest różna. Yubikey znalazł już oficjalnego dystrybutora (jest nim firma ePrinus), chociaż produkt oferowany jest przez partnera ePrinus, firmę InBase (inbase.pl), która specjalizuje się w doradztwie w ochronie informacji i danych osobowych oraz w dostarczaniu rozwiązań i usług bezpieczeństwa.

Automatyczne i dwustopniowe uwierzytelnienie z pomocą klucza Yubikey realizowane jest na kilka sposobów:

1. Standardowym kluczem Yubikey 4 oraz wersją Yubikey NANO na komputerach, które posiadają złącze USB.


Obsługa klucza Yubikey jest banalna.

2. Yubikey NEO oprócz uwierzytelnienia przez USB wspiera bezdotykową komunikację NFC z urządzeniem mobilnym.


Zamiast wpisywać kod z wiadomości SMS, dwa "dotknięcia" i "już".


Klucz Yubikey może być stosowany podczas logowania się do serwisów z urządzeń mobilnych.

3. Najtańsza wersją Yubikey FIDO U2F Security Key nie wspiera szyfrowania RSA 4096, lecz ECC p256 i jest dedykowana tylko dla komputerów z portami USB.

Krok 2: Należy włączyć uwierzytelnienie U2F w usłudze internetowej, która takowe wspiera. Na chwilę obecną są to: Gmail, Dropbox, Google+, YouTube, Github, Facebook, Twitter… (prosimy o komentarze, kto jeszcze powinien trafić na tę listę).

Na przykład: dla usług Google przejdź do ustawień logowania, włącz dwuetapową weryfikację za pomocą kodów SMS (jeśli jeszcze nie korzystasz z tego zabezpieczenia), następnie „Dodaj klucz bezpieczeństwa” (na razie działa tylko z Chrome) i postępuj według prostych instrukcji.


Ustawienia 2FA dla konta Google.

Krok 3: Teraz, podczas próby logowania się do Gmail lub innego serwisu, który wspiera U2F trzeba tradycyjnie wpisać login oraz hasło – i zamiast kodów SMS, które mogą być przechwycone przez złośliwe oprogramowanie – wystarczy podłączyć Yubikey do portu USB lub (w przypadku Yubikey NEO) zbliżyć klucz do urządzenia mobilnego z włączoną komunikacją NFC.

To wszystko, właśnie zalogowałeś/aś się do swojego serwisu w bardzo bezpieczny sposób.

Magia kryptografii

Cała kryptograficzna magia "odbywa się" podczas logowania do serwisu dzięki API przeglądarki, która weryfikuje adres strony WWW i realizuje uwierzytelnienie z wykorzystaniem kryptografii asymetrycznej. Oznacza to, że jeśli adres URL strony nie zgadza się (np. może to być strona fałszywa stworzona na potrzeby phishingowego ataku: hxxp://gmail-account.com), to nieświadomy zagrożeń użytkownik nie będzie w stanie zalogować się do podrobionej witryny popularnego serwisu, oraz co istotne, atakujący nie będą w stanie wyłudzić drugiego potrzebnego składnika do zalogowania się na cudze konto.

Na dzień dzisiejszy U2F wspiera przeglądarka Google Chrome (Firefox już niedługo). Klucze Yubikey mogą być stosowane z systemami Windows, Linux, Mac OS, Android, iOS oraz wszędzie tam, gdzie możliwe jest uruchomienie przeglądarki Google Chrome, a komputer lub urządzenie mobilne posiada port USB / NFC.

Do minusów tego rozwiązania musimy zaliczyć fakt, że w przypadku zgubienia klucza użytkownik nie będzie w stanie zalogować do usługi. Aby się przed tym zabezpieczyć, może dokupić drugi klucz i „sparować” go z kontem, ale wiąże się to z dodatkowymi kosztami. W przypadku serwisów Google, zalogowanie się możliwe jest przywykorzystaniu zapasowych kodów lub drugiego telefonu.

Warto na koniec dodać, że projekt Yubikey został założony przez szwedzką firmę, a sam proces dwuetapowej weryfikacji U2F został opracowany wspólnie przez Yubico oraz Google. Z rozwiązania Yubikey korzystają pracownicy takich firm jak Facebook oraz Google, a sama firma Yubico udostępnia darmową dokumentację, dzięki której deweloperzy za darmo mogą wdrożyć U2F na swoich stronach internetowych. Ta metoda logowania działa już dla:

  • CMS Joomla!, który natywnie wspiera klucze Yubikey,
  • poprzez wtyczki: Drupal, Magento, WordPress,
  • i nie tylko CMS-y, zastosowanie kluczy Yubikey możliwe jest też w przypadku logowania się do serwerów SSH/SFTP.



Podobne artykuły

Każdy z nas korzysta z wielu serwisów internetowych. Wiąże się to z koniecznością zakładania kont,...

Komentarze

Obrazek użytkownika Adam

Twitter nie wspiera.

Obrazek użytkownika Adrian Ścibor

#1 Adam, słuszna uwaga. Wykreślone.

Obrazek użytkownika Adam J.

Warto do listy dodać CMS Joomla! który natywnie wspiera ten sposób weryfikacji.

Obrazek użytkownika Adrian Ścibor

#3 Właściwie nie tylko. Z informacji, które uzupełniłem są to właściwie wszystkie najpopularniejsze CMSy. Taka mała rzecz a cieszy.

Obrazek użytkownika Specek

W naszej firmie uzywamy takiego rozwiazania z logowaniem sie do Terminal Servers

Obrazek użytkownika Rafał Rosłaniec

Bardzo ciekawy artykuł. Ja dołoże kilka swoich uwag.
Yubikey można zintegrować z wieloma systemami, przykłady na stronie producenta: https://www.yubico.com/support/partners/#
Porównanie możliwości Yubikey https://www.yubico.com/products/why-yubikey-wins/
Co do przeglądarki Firefox, to powinno działać z dodatkiem U2F napisanym przez naszego rodaka: Pawła Chmielowskiego: https://addons.mozilla.org/en-US/firefox/addon/u2f-support-add-on/ - tylko trzeba zmienić w ustawieniach przeglądarki, by udawała Chrome :-)
Z Operą i Chrome Yubikey działa bez problemów.
W artykule nie ma informacji o Yubikey HSM: https://www.yubico.com/products/yubihsm/ - najtańszym HSM na rynku.
Na forum Yubico można znależć wiele ciekawych implementacji kluczy czy też integracji: https://forum.yubico.com/
Np: logowanie się zdalne po SSH do Linux/Unix, z Mac OSX (logowanie się do systemu i po wyjęciu klucza system automatycznie się blokuje), z Windows i logowaniem do domeny za pomocą certyfikatów.
Windows 10 natywnie wspiera U2F, więc można klucz Yubikey wykorzystać do logowania się do Windows 10.
I ostatnia sprawa: NFC. Można wykorzystać klucz jako kartę korporacyjną (logowanie do domeny, otwieranie drzwi, wydruki, itp). NFC działa na pewno z Androidem, nie wiem jak z Windows. Na pewno nie działa z Iphone/Ipad. Na Androida jest darmowa aplikacja Yubikey Notes, która odblokowuje się za pomocą przyłożenia klucza Yubikey (jeśli posiada on NFC).
Co do chmurowych rozwiązań, należy pamiętać o integracji z Lastpass, czyli systemem do przechowywania haseł (to jego główna funkcja). Niestety, dziala ona tylko z płatną wersją premium lub enterprise.
Ciekawostka: ponad rok temu Lastpass zostało zhackowane, ale tylko hasła zabezpieczone przez Yubikey nie zostały skompromitowane (są one zaszyfrowane tym kluczem).
Yubikey posiada dwa sloty do konfiguracji: jak się krótko przytrzyma go, pokaże kod 1 a dłuższe przytrzymanie da kod 2 (zależnie od zaprogramowania), np: konfiguruję na slocie 1 OTP na slocie drugim statyczne hasło. PIV, PGP, U2F czy HOTP są konfigurowane poza tymi slotami, więc tak naprawdę jedne Klucz Yubikey można wykorzystać na 6 różnych sposobów niezależnie od siebie.

Obrazek użytkownika Adrian Ścibor

#6 Dzięki za podesłanie cennych dodatkowych informacji. Na pewno przydadzą się do kolejnego artykułu nt. możliwości tych kluczy, który powstanie... W przyszłości.

Dodaj komentarz