Inhoudsopgave:
- Hoe tweefactorauthenticatie werkt
- De vele smaken van YubiKey
- Hands On Met de YubiKey 5 NFC
- YubiKeys versus de Google Titan Security Key
- De YubiKey tot succes?
Video: Yubico YubiKey 5 NFC Security Key (November 2024)
Wachtwoorden zijn het zwakke punt van beveiliging sinds ze voor het eerst werden geïntroduceerd. Gelukkig is de Yubico YubiKey 5 NFC hier om onze belangrijkste accounts en nog veel meer te beschermen. De vijfde generatie van de YubiKey ondersteunt FIDO U2F voor een veilige tweefactorauthenticatie en gebruikt NFC om met uw telefoon te werken. Maar dat is slechts het begin van wat dit opmerkelijk krachtige en opmerkelijk kleine apparaat kan doen. Als u alleen op zoek bent naar een eenvoudige hardware U2F-optie, dan is de YubiKey 5 NFC waarschijnlijk overdreven. Overweeg in plaats daarvan de meer betaalbare beveiligingssleutel van Yubico of de Google Titan beveiligingssleutels. Maar als je al doordrenkt bent van beveiliging, ben je dol op wat de 5 NFC te bieden heeft.
Hoe tweefactorauthenticatie werkt
Hoewel je veel kunt doen met een hardwarebeveiligingssleutel zoals de YubiKey, is de primaire rol ervan een tweede verificatiefactor. In de praktijk betekent tweefactorauthenticatie (2FA) dat je na het invoeren van je wachtwoord een tweede ding moet doen om te bewijzen dat jij het bent. Maar de theorie achter 2FA combineert twee verschillende authenticatiesystemen uit een lijst van drie:
- Iets wat je weet
- Iets wat je hebt, of
- Iets wat je bent.
Bijvoorbeeld: een wachtwoord is iets dat u weet en het zou alleen in uw hoofd moeten bestaan (of in een wachtwoordbeheerder). Biometrische gegevens - vingerafdrukken van dingetjes, netvliesscans, harthandtekeningen, enzovoort - tellen als iets dat u bent . Yubico YubiKeys en hun soortgenoten zijn iets dat je hebt .
Deze beoordeling kijkt voornamelijk naar hardware 2FA, maar er zijn veel manieren om een tweede factor toe te voegen. Veel sites sturen u codes via sms om uw identiteit te verifiëren. Apps zoals Duo en Authy vertrouwen op pushmeldingen die (in theorie) moeilijker te onderscheppen zijn dan sms-berichten.
Of u nu kiest voor een hardware- of softwareoplossing of een combinatie van beide, voeg 2FA toe waar u maar kunt. Toen Google intern 2FA-sleutels implementeerde, zag het succesvolle accountovernames tot nul dalen. Het is zo goed.
De vele smaken van YubiKey
Yubico heeft altijd verschillende maten en variaties van zijn beveiligingssleutels aangeboden om aan vrijwel elke behoefte te voldoen. Dit is geweldig, omdat consumenten en IT-professionals precies kunnen krijgen wat ze nodig hebben tegen verschillende prijzen. Het nadeel is dat browsen in de Yubico-winkel een vaak overweldigende ervaring is. Ik zal mijn best doen om de basisprincipes samen te vatten.
Er zijn vier smaken YubiKey 5-serie apparaten, waaronder de $ 45 YubiKey 5 NFC die hier wordt beoordeeld, evenals drie andere vormfactoren: de $ 50 YubiKey 5 Nano, de $ 50 YubiKey 5C en de $ 60 YubiKey 5C Nano. De 5 NFC is de enige YubiKey die draadloze communicatie aanbiedt, maar daarnaast is het enige verschil tussen deze apparaten de grootte, prijs en USB-connector.
De twee Nano-apparaten zijn de kleinste apparaten in de groep en nestelen zich in uw USB-A- of USB-C-slots, gemakkelijk binnen handbereik als u ze vaak nodig hebt. De YubiKey 5C maakt gebruik van een USB-C-connector, is iets kleiner dan de 5 NFC en kan aan je sleutelhanger hangen naast de 5 NFC; het ontbreekt draadloze communicatie. U kunt de YubiKey 5C of 5C Nano echter rechtstreeks op uw Android-apparaat aansluiten.
Wat de YubiKey 5-serie onderscheidt van de concurrentie, is niet alleen de verscheidenheid aan vormfactoren. Deze apparaten zijn echte digitale beveiligingsmessen van het Zwitserse leger. Elke kaart kan als een smartcard (PIV) fungeren, eenmalige wachtwoorden genereren, zowel OATH-TOTP als OATH-HOTP ondersteunen en kan worden gebruikt voor challenge-response authenticatie. Alle vier apparaten ondersteunen drie cryptografische algoritmen: RSA 4096, ECC p256 en ECC p384. Deze apparaten kunnen zoveel verschillende rollen vervullen, vaak tegelijkertijd - op voorwaarde dat u weet wat u doet.
Hoewel de YubiKey 5 NFC in deze review centraal staat, heb ik in het verleden de YubiKey 4-serie apparaten getest en deze zijn fysiek identiek aan de USB-C- en Nano-varianten van de YubiKey 5-serie. Ze zijn allemaal goed gemaakt, bekleed met zwart plastic dat slijtage verbergt en uitgerust met verborgen groene LED's om je te laten weten dat ze zijn aangesloten en werken. De USB-A-apparaten hebben een gouden strook of schijf waarop u tikt, afhankelijk van de grootte van het apparaat. De USB-C-apparaten hebben ondertussen twee kleine metalen lipjes die u aantikt om te verifiëren. Het USB-A Nano-apparaat is moeilijker uit een slot te verwijderen dan het USB-C Nano-apparaat, maar de USB-A Nano YubiKey heeft een klein gaatje, dus het kan aan een touw of koord worden gehangen, terwijl de USB-C Nano doet niet.
Welk YubiKey-apparaat u koopt, hangt grotendeels af van de context waarin u het wilt gebruiken. De Nano-apparaten zijn handig als u van plan bent ze te gebruiken met een vertrouwde computer en u weet dat u vaak toegang moet hebben tot de YubiKey. De toetsen op volledige grootte zijn beter om aan een sleutelhanger te hangen en dicht bij de hand te houden.
Hands On Met de YubiKey 5 NFC
Om u op weg te helpen, heeft Yubico een handige gids voor nieuwe gebruikers gemaakt. Kies gewoon het YubiKey-apparaat dat u hebt en de site toont een lijst met alle plaatsen en contexten die u met uw YubiKey kunt gebruiken. Sommige van deze links verwijzen rechtstreeks naar de instappagina van een site of service, terwijl andere instructies geven die u zelf moet volgen.
De YubiKey instellen als een tweede U2F-factor is heel eenvoudig. Volg de instructies van de site of de service en plaats de YubiKey in de juiste sleuf wanneer daarom wordt gevraagd. Tik gewoon op de gouden schijf (of metalen lipjes, afhankelijk van het model) en de service registreert uw sleutel. De volgende keer dat u zich aanmeldt, voert u uw wachtwoord in en wordt u gevraagd uw sleutel in te voeren en op te tikken. Dat is het!
Dashlane, Google en Twitter zijn enkele van de vele sites die U2F ondersteunen en apparaten uit de YubiKey 5-serie accepteren. In mijn testen heb ik het als tweede factor voor een Google-account geregistreerd. Bij het inloggen op een desktopcomputer heb ik mijn inloggegevens ingevoerd en vervolgens vroeg Google me om mijn beveiligingssleutel in te voeren en erop te tikken. Dat is geen probleem, hoewel ik wel de Chrome-browser moest gebruiken om in te loggen.
Op mijn Android-apparaat is het proces net zo eenvoudig. Bij het inloggen heb ik mijn inloggegevens ingevoerd en vervolgens vroeg mijn telefoon mij om mijn beveiligingssleutel te gebruiken. Ik selecteerde NFC in een menu onderaan en sloeg vervolgens de 5 NFC tegen de achterkant van mijn telefoon. Het kostte nogal wat pogingen, maar uiteindelijk zoemde de telefoon bevestigend en ik was ingelogd.
De YubiKey 5-serie kan u op verschillende manieren authenticeren, niet alleen via U2F. Met LastPass bijvoorbeeld, registreert u de YubiKey om eenmalige wachtwoorden te genereren (specifiek op HMAC gebaseerde Eenmalige wachtwoorden, maar ik gebruik OTP voor beknoptheid) met een tik. Dit is anders dan U2F, maar in de praktijk voelt het erg op elkaar aan. Log in bij LastPass, navigeer naar het juiste deel van het menu Instellingen, klik op het tekstveld en tik op de YubiKey. Een reeks letters spuit uit, en dat is het! Wanneer u zich nu wilt aanmelden bij LastPass, wordt u gevraagd uw YubiKey aan te sluiten om meer OTP's te laten uitspugen.
De meesten van jullie zijn waarschijnlijk bekend met Google Authenticator, een app die elke 30 seconden zescijferige toegangscodes genereert. Deze technologie wordt meer in het algemeen tijdgebaseerde eenmalige wachtwoorden (TOTP's) genoemd en is een van de meest voorkomende formulieren voor 2FA die tegenwoordig worden gebruikt. Samen met een bijbehorende desktop- of mobiele app geeft Yubico een interessante draai aan het TOTP-systeem.
Sluit uw YubiKey aan, start de Yubico Authenticator-app en navigeer vervolgens naar een site die Google Authenticator of een vergelijkbare service ondersteunt. Om een Google-account te beveiligen, klikte ik bijvoorbeeld op de optie om een nieuwe telefoon in te schrijven bij de authenticator-app. Gewoonlijk verschijnt op dit punt een QR-code en de site vraagt u om deze te scannen met de juiste authenticator-app. In plaats daarvan heb ik een menu-optie in de Yubico Authenticator-desktop-app geselecteerd en deze heeft de QR-code van mijn scherm vastgelegd. Na nog een paar klikken begon de app elke 30 seconden met unieke zescijferige codes.
De truc is dat de Yubico-app geen TOTP's kan genereren zonder de YubiKey. In plaats van de inloggegevens op te slaan die nodig zijn om die codes op uw computer te maken, slaat de Yubico Authenticator die gegevens rechtstreeks op uw YubiKey op. Trek het eruit en de Authenticator-app kan geen nieuwe TOTP's maken. Dat is handig als u zich zorgen maakt over iemand die het apparaat steelt dat u gebruikt om uw TOTP's te genereren. Je kunt je YubiKey ook vergrendelen met een wachtwoord, dus zelfs als het van je wordt gestolen, kan het niet worden gebruikt voor het genereren van TOTP's.
Yubico biedt ook een TOTP-genererende Android-app die werkt met de YubiKey 5 NFC, om uw TOTP's mee te nemen op de weg. Wanneer je de app opent, is deze leeg, maar sla je 5 NFC tegen de achterkant en begint deze codes te genereren. Sluit de app en de codes verdwijnen; je moet opnieuw op de 5 NFC tikken. Dat is minder handig dan het opslaan van de informatie in de app zelf, maar veel veiliger.
Dit waren de scenario's die ik heb bekeken, maar de YubiKey 5-serie kan veel meer. U kunt het gebruiken als een smartcard om in te loggen op mijn desktopcomputer. U kunt het gebruiken om in te loggen op SSH-servers. U kunt zelfs een PGP-sleutel genereren en vervolgens de YubiKey gebruiken om te ondertekenen of te verifiëren. Eerlijk gezegd was het echter moeilijk genoeg om mijn hoofd rond de TOTP-toetsen te krijgen.
Hoewel Yubico veel documentatie en drie afzonderlijke desktop-apps (en nog drie mobiele apps) heeft, is het erg moeilijk om elk facet van de YubiKey te gebruiken zonder een flinke dosis bestaande kennis. Yubico heeft een website geïmplementeerd om klanten te informeren over waar ze hun sleutel voor kunnen gebruiken en om hen te begeleiden naar de nodige informatie. Die begeleiding is geweldig, maar het is gewoon begeleiding, niet de hand die gewoonlijk wordt geboden door technische producten. Het gebruik van uw YubiKey voor U2F is ook heel eenvoudig, maar het meeste uit uw YubiKey halen is niet gemakkelijk voor een beginner - of zelfs een beveiligingsjournalist.
YubiKeys versus de Google Titan Security Key
Yubico heeft een oplossing voor zowat elke situatie met de YubiKey 5-serie, maar de kosten zijn een probleem. Elk afzonderlijk apparaat kost tussen de $ 40 en $ 60 voor slechts één YubiKey.
De Titan Security Key Bundle van Google biedt daarentegen twee apparaten voor $ 50: een USB-A-sleutel en een Bluetooth / Micro USB-sleutelhanger. Dat geeft je meteen een reserve. Aan de andere kant heeft YubiKey gewoon meer waar voor je geld (ervan uitgaande dat je puzzelt hoe je het allemaal moet gebruiken). Beide Titan-apparaten kunnen NFC gebruiken, maar vanaf dit moment is ondersteuning op Android-apparaten niet ingeschakeld. Google levert ook een USB-C-adapter, zodat u uw Titan-sleutel met vrijwel elk apparaat kunt gebruiken. De Titan-toetsen ondersteunen echter alleen FIDO U2F. Dat werkt voor vrijwel elke website of service, maar ze kunnen niet worden gebruikt voor TOTP's, OTP's, Smart Card-toegang en de andere protocollen die worden ondersteund door de YubiKey 5-serie.
Prijsbewuste lezers die voornamelijk op zoek zijn naar alleen een U2F-apparaat zullen waarschijnlijk de $ 20 beveiligingssleutel van Yubico verkiezen. Deze USB-A-sleutel heeft hetzelfde silhouet als de YubiKey 5 NFC, maar is te herkennen aan de mooie blauwe plastic behuizing, een sleutelglyph op de middelste knop en het nummer twee op de bovenkant. Zoals de naam al doet vermoeden, ondersteunt dit apparaat FIDO U2F en FIDO2, maar dat is het dan. De beveiligingssleutel ondersteunt niet alle protocollen van de YubiKey 5-serie, dus u kunt deze niet gebruiken met LastPass of als smartcard en kan ook niet draadloos communiceren. Het kost ook minder dan de helft van de Titan-sleutelbundel of de 5 NFC.
De YubiKey tot succes?
De YubiKey 5-serie is een opmerkelijke reeks apparaten die een verbluffend aantal niches vullen. Het meest elementaire gebruik is als een FIDO U2F-authenticator of een OTP-generator, maar het kan zoveel meer. De problemen die we altijd hebben gehad met YubiKeys, en Yubico in het algemeen, is gewoon de uitdaging om uit te zoeken welke YubiKey te kiezen is, uit de half dozijn die het bedrijf momenteel aanbiedt. Uitzoeken wat je ermee kunt doen buiten U2F is dubbel uitdagend. De Yubico-apparaten zijn uitstekend, en hun documentatie verbetert, maar ze zijn zeker ontworpen met beveiligingsproblemen en IT-professionals in het achterhoofd.
Als je de waslijst met mogelijkheden van de YubiKey bekijkt en begrijpt, of op zijn minst nieuwsgierig naar ze bent, dan is dit het apparaat voor jou. U zult niet teleurgesteld zijn in dit robuuste kleine apparaat. Als u weet dat u uw online accounts beter wilt beveiligen, maar niet zeker weet hoe u dit moet doen, bent u waarschijnlijk beter af met de Google Titan Security Keys of de veel goedkopere Security Key van Yubico.
YubiKeys zijn een gevestigde en volwassen technologie, maar we verkennen deze ruimte nog steeds. Daarom geven we de YubiKey 5 NFC vier sterren, maar onthouden we een Editors 'Choice award totdat we meer opties hebben onderzocht.
