Преглед и оценка на Yubico yubikey 5ci

Линията YubiKey на Yubico от години е идеален избор за просто и хардуерно двуфакторно удостоверяване. Последната граница за Yubico е iPhone, който накрая адресира с YubiKey 5Ci. Това мъничко двойно устройство разполага с USB-C конектор в единия край и Apple съвместим Lightning конектор от другата. Тази хидра на хардуерен ключ работи точно както трябва и е снабдена с функции, с които конкуренцията не може да отговаря, но е затруднена от ограничената поддръжка на iOS и сравнително високата цена.

Какво е двуфакторно удостоверяване

На практика двуфакторното удостоверяване (2FA) използва две неща, за да влезете в сайт или услуга, но не откъде идва името. Вместо това се отнася до теория за удостоверяване, където доказвате, че трябва да имате достъп с:

Нещо, което знаеш.

Нещо си.

Или нещо, което имаш.

Нещо, което знаете, е като парола, за което хората са ужасни и наистина трябва да оставим мениджърите на пароли да се грижат. Нещо, което сте, е като биометрични данни, като например да използвате пръстовия си отпечатък, за да отключите телефон. Нещо, което имате, би могло да бъде хардуерен автентификатор, например YubiKey. 2FA е мястото, където използвате двама автентификатори от списъка вместо само един, тъй като е малко вероятно нападателят да има два от трите. Това е изключително ефективен начин за осигуряване на вход. Толкова, че след като Google изиска вътрешно използване на хардуерни ключове 2FA, успешните фишинг атаки паднаха до нула.

Има много начини да направите 2FA. Получаването на еднократна парола чрез SMS вероятно е това, с което хората са най-запознати, въпреки че това е на път поради опасения за сигурността. Yubico ръководи създаването на FIDO2 протокол и стандарта WebAuthn, който използва криптография с публичен ключ за сигурна автентификация. Сертифицираният от W3C стандарт WebAuthn внесе този стил на автентификация на все повече браузъри и услуги през последните години и може да бъде бъдещето на начина, по който проверяваме удостоверяването. Microsoft например експериментира с използването на WebAuthn устройства като YubiKeys за напълно без парола.

Направено за мобилни устройства

Семейството YubiKey нарасна значително, като включваше седем различни ключа в различни размери и превес на щепсели и протоколи. USB-A Yubico Security Key поддържа само FIDO2 / WebAuthn и струва $ 20, докато USB-A ключът за защита NFC добавя безжична поддръжка за $ 27.

Изображение чрез Yubico.

Серията YubiKey 5, на снимката по-горе, обхваща няколко устройства. Започвайки отляво, USB-A YubiKey 5 NFC струва $ 45 и е може би най-способният от всички устройства. USB-C YubiKey 5C струва 50 долара и най-много прилича на 5Ci в тънкия си инатлив дизайн. 5 Nano и 5C Nano струват съответно 50 и 60 долара и са проектирани да живеят във вашите пристанища полу-постоянно. С 70 долара YubiKey 5Ci е най-скъпият ключ в семейството.

В сравнение с USB-A YubiKey дизайна, 5Ci е мъничък. Тя е 12 мм х 40, 3 мм и дебелина само 5 мм. Това е малко над половината от ширината на USB-A ключ и малко по-къса. Той е излят в устойчива, черна пластмаса с метално подсилен централен отвор, за да го прикрепите към вашия пръстен за ключове. 5Ci обаче е по-дебел от YubiKey 5 NFC. Този допълнителен обхват в съчетание с централния му отвор го прави малко странно подходящ за ключодържател, но работи. Лека е с перо само 3 грама, но все още се чувства добре изградена.

В близост до средата на устройството има два повдигнати метални възли. Когато включите 5Ci, докоснете тези възли, когато бъдете подканени да завършите проверката. Подобно на всички устройства на YubiKey, 5Ci няма вътрешна батерия и черпи цялата си мощност от устройството, към което е свързано. По-специално, YubiKey 5Ci не поддържа NFC, докато Yubico Security Key NFC и YubiKey 5 NFC.

YubiKey 5Ci има уникален дизайн с двоен завършек. Едната страна има USB-C конектор, а другата има конектор Apple Lightning, който сте виждали на зарядни устройства за iPhone и iPad от години. По ирония на съдбата, най-голямото ми оплакване за 5Ci са неговите конектори. За едно нещо ми беше трудно да намеря компютър с USB-C порт, за да тествам различните възможности на 5Ci. Освен това е много по-лесно да запишете ключа от компютър, отколкото от мобилно устройство. Ако използвате скорошен хардуер, намирането на USB-C порт вероятно няма да е проблем, но ако сте като мен и използвате компютри, докато те буквално не се разпаднат, може да се нуждаете от адаптер.

От друга страна, USB-C края на устройството не се вписваше добре нито в Nokia 6.1, нито в Asus UX360c ZenBook Flip, който използвах при тестване. Трябваше наистина да натисна, за да вкарам 5Ci и всеки път мислех, че ще счупя нещо. Имаше и няколко случая, когато изглежда, че устройството не е седнало правилно, тъй като не се свързва. Това не беше прекъсвач на сделката по никакъв смисъл и след няколко натискания и издърпвания конекторът започна да се чувства по-добре. Може би просто има нужда да се пробие.

От своя страна конекторът на Lightning работеше забележително добре. Влезе гладко и силно се подряза. Беше старателно като Apple и нямам оплаквания. Yubico посочи, че USB-C конекторът на 5Ci няма да работи в модели iPad, които имат USB-C портове.

Изображение чрез Yubico.

Ръцете с YubiKey 5Ci

Преди да можете да използвате 5Ci или който и да е друг удостоверяващ хардуер, трябва да го регистрирате с всяка услуга. Проблемът е, че не всеки браузър или приложение поддържа хардуерни ключове за удостоверяване. Сблъсках се с този проблем за първи път, когато тествах ключа за защита на NFC на Yubico. Тогава (както сега) поддръжката на Apple за NFC не се разпростираше до ключовете за сигурност в повечето контексти. Открих, че има повече контексти, в които 5Ci работи на iOS, отколкото когато тествах NFC клавиши на iPhone, но сравнително малката поддръжка е малко смущаваща.

За да тествам поддръжката на FIDO2 / WebAuthn, отворих Twitter в браузъра Brave, който Yubico предложи да използвам, защото поддържа автентификация, базирана на браузъра. Влезнах както обикновено, отидох в панела за настройки и записах YubiKey 5Ci. Следващият път, когато влязох, Twitter ме подкани да въведем ключа си и го докоснете. Спазих се и бързо внесох уеб приложението.

За съжаление не успях да вляза в Twitter с нито Safari, нито с приложението Twitter iOS. Също така не успях да запиша Yubikey 5Ci с моя акаунт в Google в Brave, Safari или дори Chrome.

YubiKey 5Ci също поддържа еднократни пароли (OTP). В тази конфигурация включвате ключа и докосвате металните възли и се изплюва дълъг уникален код. Ето едно: ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb. Няколко услуги, като LastPass, използват тази функция вместо FIDO2 / WebAuthn. Предимството е, че ключът се чете като клавиатура, така че е много прост и не изисква допълнителна поддръжка от браузъра.

За да тествам OTP, първо трябваше да запиша ключа с акаунт LastPass. Не успях да направя това на iPad или iPhone. В случай на браузъри, не ми беше дадена възможност да използвам алтернативни методи и браузърите не можеха да използват NFC за четене на моя YubiKey 5 NFC. Приложението LastPass прочете моя NFC ключ, но приложението не включва опции за редактиране на записаните ви хардуерни ключове. В крайна сметка трябваше да намеря лаптоп с USB-C портове, за да запиша 5Ci. След като го направих, влизането в LastPass чрез приложението или чрез приложението LastPass или браузъра Brave беше леко. Въведох потребителското име и паролата си както обикновено, след което бях подканен да вмъкна моя ключ и след това докоснете металните възли на ключа. Секунда по-късно бях влязъл.

Това бяха само няколко от услугите, с които YubiKey може да работи, а Yubico поддържа доста изчерпателен списък на сайтове и услуги, които приемат или FIDO2 / WebAuthn или YubiKey OTP. Представител на компанията спомена 1Password, Bitwarden, Idaptive и Okta като специфични приложения за iOS, които вече поддържат използването на YubiKeys.

YubiKey 5Ci има всички други видове трикове, но всички те изискват компютър в определен момент. Например, можете да персонализирате различни аспекти на вашия ключ, като например да изплюете предварително зададена парола, когато дълго натискате металните възли. Той също така може да бъде конфигуриран да се удвоява като смарт карта и може да изплюе ограничени във времето пароли (TOTP) точно като Google Authenticator с помощта на приложение за удостоверяване на десктоп. Представител на Yubico ми потвърди, че с изключение на NFC комуникацията, YubiKey 5Ci може да направи всичко, което YubiKey 5 NFC може да направи.

YubiKey 5Ci срещу конкуренцията

Там има множество конкуренти за хардуерно удостоверяване, не на последно място е Google. За 50 долара компанията ще ви изпрати USB-A ключ за сигурност на Google Titan, който използва FIDO2 / WebAuthn и презареждащ се Bluetooth ключ. Това е добър комплект, но винаги съм бил скептичен към използването на Bluetooth за устройства за сигурност.

Ако притежавате мобилно устройство с операционна система Android 7.0 или по-нова версия, можете да го използвате и като хардуерен удостоверител за акаунти в Google. Това има предимството да сте напълно безплатен и да използвате съществуващ хардуер, който вече притежавате, но в момента той е ограничен по обхват. Освен това разчита на работа на батерии и радиостанции, за разлика от всички устройства YubiKey.

Ако брандирането на Google не е вашето нещо, можете да отидете директно до Feitian, компанията, която Google бе маркирала за ключовете на Titan. Тези устройства се предлагат в множество размери, конфигурации и цени. Единственият недостатък е малко вероятният потенциал за атаки по веригата на доставки, тъй като Feitian се намира в Китай. Yubico винаги бърза да посочи, че произвежда ключовете си в САЩ и Швеция.

Някои може да предпочетат алтернатива с отворен код, като NitroKey FIDO U2F. Това немско устройство работи с 22, 00 евро и използва хардуер и софтуер с отворен код. Предимството на хардуера с отворен код е, че неговата сигурност може да бъде независимо проверена от всяка трета страна. Открих, че NitroKey е способен, но тромав. Докато другите клавиши за сигурност са тънки като клавиши, NitroKey е тромав и използва USB-A конектор в пълен размер. Попитах представител на Yubico за използването на компоненти с отворен код и те отговориха, че най-добрите налични чипове на елементарни елементи просто не са с отворен източник.

Едно нещо, което трябва да имате предвид е, че 2FA не изисква хардуерен ключ. Google Удостоверител, Duo Mobile и други услуги предлагат 2FA безплатно чрез приложения. Google и Apple защитени акаунти на своите услуги с възможност за удостоверяване от друго доверено устройство. Предимството на хардуерните ключове е, че те работят без захранване или обслужване на клетки, но ако смятате, че използването на физически ключ е прекалено трудно, препоръчвам просто използването на какъвто и да е метод 2FA, който има най-голям смисъл за вас.

Твърде много, твърде скоро

Единствените ми истински оплаквания към самия YubiKey 5Ci са неговата цена и лепкавият му USB-C щепсел (който може да се подобри с течение на времето). Истинската неприятност е поддръжката на iOS устройства, която, въпреки че се подобрява, все още е ограничена. Това всъщност не е вината на Yubico, но е разочароващо, защото USB-C YubiKey струва 20 долара по-малко. Ще ми хареса, ако Apple и други разработчици започнаха да работят сериозно за разширяване на поддръжката на всички видове хардуерни ключове. След като това се случи, YubiKey 5Ci наистина ще блести. Дотогава значката за избор на редактора си остава ключът за сигурност от Yubico, който струва само 20 долара и ще работи почти навсякъде, където поставите USB-A щепсел.