Преглед и оценка на Nitrokey fido u2f

Многото нарушения на данните през последните няколко години направиха едно изключително ясно: Паролите не работят. Въведете USB защитния ключ за Nitrokey Fido U2F от $ 25. Nitrokey прави много по-трудно лошите хора да проникнат в акаунта ви, като добавят втора стъпка за удостоверяване към популярни услуги като Google, Twitter, Facebook и други. Това, което прави Nitrokey уникален е, че е изцяло с отворен код, от хардуер до софтуер. Това е пъстърво, по-скъпо от съпоставими продукти, но за всеки, който изисква хардуер и софтуер с отворен код, Nitrokey е безличен.

Как работи двуфакторната автентификация

Докато двуфакторната автентификация (или 2FA) обикновено се приема, че означава добавяне на втора стъпка след въвеждане на паролата ви, това не е действителното определение на термина. По-скоро 2FA означава да вземете две средства за удостоверяване от списък на възможните три:

• Нещо, което знаеш,
• Нещо, което имате, и
• Нещо си.

Парола в главата ви (или, още по-добре, в мениджъра на пароли) е нещо, което знаете . Хардуерният ключ или приложението за удостоверяване е нещо, което имате , а пръстов отпечатък или друга биометрична е нещо, което сте . Засега сме засегнати с пароли, така че затова фактическото значение на 2FA е добавянето на една от другите две към парола. Той работи, защото въпреки че паролата ви може да бъде фиширана или разкрита при нарушение на данните, другите две са много трудни за получаване или подправяне.

Въпреки че има много начини да добавите 2FA, хардуерните ключове за сигурност като Nitrokey Fido U2F имат определени предимства. За разлика от еднократните кодове, изпратени чрез SMS, те не могат да бъдат прихващани. За разлика от кодовете, генерирани от приложение, те не могат да бъдат фиширани. Google доказа това, когато компанията изложи ключове за сигурност на всички 85 000 служители и видя, че успешните фишинг атаки паднаха до нула. Това каза, ако използването на защитен ключ звучи като твърде много караница, трябва да активирате 2FA по какъвто и да е начин за вас има смисъл.

Ръцете с Nitrokey Fido U2F

Nitrokey е немска компания, която продава различни устройства за сигурност на USB стикове. Повечето от тези устройства са съсредоточени около сигурно съхранение и криптиране. Те могат да съхраняват ключове за криптиране на имейли и дискове, а няколко дори идват с вградено сигурно хранилище. Nitrokey Fido U2F е най-достъпният пакет от 22 евро (това е около $ 25, в зависимост от валутния курс) и е единственият, посветен единствено на 2FA.

Моделът Fido U2F работи като втори автентификатор за много популярни уебсайтове, включително Google, Facebook, Twitter и т.н. Това е тънко, черно USB устройство с текстурирано пластмасово покритие, приличащо на старо устройство с флаш памет. Той е малък, на 48 на 19 на 7 мм и доста лек, тежи само 5 грама. Единият край е отрязан, за да побере ключодържател, а USB 1.1 тип A конектор от другия край е защитен от подвижна обвивка, която определено ще загубите в рамките на седмица. Освен капачката, тя няма подвижни части, което я прави устойчива (но не и непроницаема) за вода и раздробяване.

По-големият USB конектор е малко по-външен; линията YubiKey и Google Titan са напълно плоски. Nitrokey казва, че използването на по-големия USB конектор гарантира съвместимост с повече устройства и е по-издръжлив, но мисля, че предпочитам по-плоския стил, ако по друга причина не позволявам по-малко устройство. Nitrokey е доста обемист в сравнение с други клавиши за сигурност, които са тънки и вафли от светлина. Въпреки това, по-малко вероятно е Nitrokey да привлече много внимание с напълно нежния си вид.

Сдвояването на Nitrokey Fido U2F с уебсайт е проста афера. Просто отворете опциите за вход за поддържан сайт, поставете Nitrokey, когато бъдете подканени, и докоснете иконата на пръста върху случая, когато вътрешен бял светодиод свети. Това първоначално ме хвърли, тъй като аз съм по-свикнал със златния диск на чешмата, използван от Yubico и Google в техните ключове за сигурност, въпреки че Nitrokey работеше също толкова добре.

След като устройството бъде сдвоено, ще бъдете подканени да поставите и докоснете вашия Nitrokey Fido U2F, когато влезете със сайта. За да не бъдете заключени от записан сайт, силно препоръчвам да активирате друга опция 2FA, като резервни кодове, които могат да бъдат разпечатани и съхранявани някъде безопасно, или да регистрирате втори ключ за защита.

Тъй като Nitrokey Fido U2F не поддържа никаква безжична комуникация, няма да можете да го използвате за удостоверяване на мобилно устройство. Може би бихте могли да го издърпате с фънки USB адаптер, но аз не тествах този странен сценарий. Вместо това, за тези ситуации ще трябва да използвате друг метод 2FA, например приложение за удостоверяване. Yubico Security Key NFC е само с два долара повече, поддържа и Fido U2F, но включва NFC, така че можете да го ударите срещу телефона си, за да се удостоверите.

Сигурност без наблюдение

Когато нещо е с отворен код, то е напълно достъпно за проверка и дори промяна. Това също често означава, че това е доброволен проект и може да се предлага безплатно. Това е за разлика от така наречената „сигурност чрез неизвестност“, където критичните аспекти на продукта са скрити в името на защитата на тайните. Идеята е, че прозрачността помага да се правят по-добри, по-устойчиви продукти.

Nitrokey е изцяло изграден около идеята за отворен код. Компанията обобщава своя подход и това, което вярва, са ползите по този начин:

"Както хардуерът, така и фърмуерът, инструментите и библиотеките са с отворен код и безплатен софтуер, което позволява независими одити за сигурност. Гъвкаво адаптивни, без блокиране на доставчика, без сигурност чрез неизвестност, без скрити пропуски в сигурността."

Използването на инструменти с отворен код също е етично твърдение както за компаниите, така и за потребителите. Ако сте от типа човек, който наистина, наистина вярва в откритата информация, вероятно ще оцените позицията на Nitrokey. Хардуерът с отворен код също е сравнително рядко нещо, което помага да се улесни страховете от това, че разузнавателните агенции се подхлъзват на заден план в чипове в завода.

Това не означава, че да бъдеш с отворен код е вълшебен куршум срещу пропуски или атаки в сигурността. Heartbleed е причинен от грешка, несъзнателно добавена към криптографския софтуер OpenSSL с отворен код. Това каза, че вероятно, ако OpenSSL не е бил с отворен код, грешката може никога да не бъде намерена.

Приятели и врагове на Nitrokey Versus

Nitrokey Fido U2F е едно от около половин дузина устройства Nitrokey, които в момента се продават. Подобно на линията Yubikey 5 на Yubico, има различни конфигурации, от които да избирате. За разлика от Yubico, линията Nitrokey прави много повече от само автентификация. Nitrokey Storage 2, най-здравият и скъп от предложенията, поддържа S / MIME криптиране на имейли и дискове, OpenPGP / GnuPG имейл криптиране, еднократни пароли (OTP) и криптирано вградено съхранение. Той дори съхранява до 16 пароли в персонализиран мениджър на пароли. Струва 109EU или около $ 124.

Това е много супа от азбука и ако не сте го уловили всичко, вероятно това не е продуктът за вас. Поддръжката на OTP е забележителна, тъй като това е единствената хардуерна 2FA опция, поддържана от LastPass.

Nitrokey Pro 2 освобождава съхранението на борда и струва само 49 евро или около 56 долара. Уникално, той (или неговият братовчед на Purism Librem Key) може да се използва за проверка на валидността на фърмуера и хардуера на лаптопите Purism. Това означава, че могат да открият дали някой се е опитал да подправя вашия лаптоп Purism. Това е увлекателна функция, но интересна само за вида на човека, който би купил на първо място лаптоп Purism с отворен код.

Странно, разглежданият тук Nitrokey Fido U2F е единственият автентификатор, съвместим с Fido U2F от Nitrokey. Ако купите по-способен Nitrokey, няма да можете да използвате този широко приет стандарт.

Yubico, от друга страна, включва както Fido U2F, така и по-новото, по-надеждно Fido2 във всичките си устройства YubiKey 5, заедно с OTP, OATH (HOTP и TOTP), OpenPGP и поддръжка на smartcard. Два устройства YubiKey 5 също поддържат USB-C. Двете му оферти с най-ниска цена, ключът за защита и ключът за защита NFC, поддържат само Fido2 и Fido U2F. Последният от тях струва малко повече от Nitrokey Fido U2F при $ 27, но той включва безжични NFC комуникации, които Nitrokey не правят. От своя страна, ключът за сигурност е само $ 20, което го поставя добре на територията на импулсна покупка.

Пакетът на Google "Титан" е 50 долара и се приземява някъде между тях. Това включва две устройства - USB-A ключ и захранван от батерия Bluetooth ключ, и двете поддържат Fido U2F. Включването на второ устройство определено го прави съблазнителен пакет, но все още съм скептично настроен към полезността на заредения с батерия ключ.

Безкомпромисна сигурност

Nitrokey Fido U2F не е по-тънък, по-тънък или по-евтин от конкуренцията, но неговият ангажимент за хардуер и софтуер с отворен код е основен диференциал за някои. Подобно на много хардуер с отворен код, той е тромав, но потенциално по-добър. Все още предпочитаме нашия избор на редактор, защитния ключ от Yubico, който е малко по-евтин и много по-тънък от Nitrokey. Но ако просто потапяте върха на крака в 2FA хардуер и особено ако сте евангелист с отворен код, тогава Nitrokey Fido U2F е добър избор.