YubiKey: Κλειδί ασφαλείας υλικού για κρυπτογράφηση και MFA
Μια μικρή μεταλλική καρτέλα που πατάτε με την άκρη του δακτύλου σας έκανε κάτι που κανένας κωδικός πρόσβασης δεν κατάφερε ποτέ: έβαλε τέλος στις καταλήψεις λογαριασμών σε μια από τις εταιρείες που δέχτηκαν τις περισσότερες επιθέσεις στον κόσμο. Αφού η Google παρέδωσε ένα YubiKey σε περισσότερους από 85.000 υπαλλήλους , ο αριθμός των λογαριασμών προσωπικού που παραβιάστηκαν με επιτυχία μειώθηκε στο μηδέν και παρέμεινε εκεί από τις αρχές του 2017. Αυτή είναι όλη η ιδέα για ένα κλειδί ασφαλείας υλικού. Δεν είναι antivirus και δεν αποθηκεύει τα κέρματά σας. Είναι ένα φυσικό αντικείμενο που αποδεικνύει ότι είστε ο εαυτός σας και είναι σχεδόν αδύνατο να το εξαπατήσετε.
Αυτός ο οδηγός εξηγεί τι είναι ένα YubiKey, πώς λειτουργεί στην πραγματικότητα, γιατί υπερτερεί των εφαρμογών SMS και ελέγχου ταυτότητας και πώς να χρησιμοποιήσετε ένα για να κλειδώσετε τους κρυπτογραφικούς λογαριασμούς που κυνηγούν πρώτα οι κλέφτες.
Τι είναι ένα YubiKey και γιατί έχει σημασία
Σκεφτείτε ένα YubiKey σαν ένα κλειδί σπιτιού για τους λογαριασμούς σας, εκτός από το ότι αυτό δεν μπορεί να αντιγραφεί. Είναι ένα μικρό κλειδί ασφαλείας υλικού από την Yubico, τη σουηδοαμερικανική εταιρεία που τα κατασκευάζει από το 2007. Χωρίς μπαταρία. Χωρίς οθόνη. Απλώς ένα κομμάτι πλαστικού και μετάλλου στο μέγεθος μιας μονάδας flash που τοποθετείται σε μια θύρα USB ή συνδέει το τηλέφωνό σας μέσω NFC, με έναν χρυσό δίσκο που πιέζετε με την άκρη του δακτύλου σας.
Αυτή η άκρη του δακτύλου είναι όλο το κόλπο. Ένας κωδικός πρόσβασης είναι κάτι που γνωρίζετε και οτιδήποτε γνωρίζετε μπορεί να κλαπεί, να διαρρεύσει ή να μαντευτεί, συχνά και τα τρία ταυτόχρονα. Ένα YubiKey είναι κάτι που έχετε και δεν μπορείτε να υποκλέψετε ένα φυσικό αντικείμενο από την τσέπη κάποιου. Έτσι, γίνεται ένας δεύτερος παράγοντας για τον έλεγχο ταυτότητας δύο παραγόντων, και μάλιστα επίμονος. Δεν αποθηκεύει κανένα από τα κέρματά σας και κανένα από τα αρχεία σας. Κατά τη σύνδεση, απαντά σε μια μόνο ερώτηση και μετά σιωπά: είναι ο πραγματικός κάτοχος που στέκεται εδώ αυτή τη στιγμή; Πατήστε και είστε μέσα. Μην το κάνετε και η σύνδεση απλώς εξαφανίζεται στην οθόνη, όσο τέλειος κι αν φαινόταν ο κλεμμένος κωδικός πρόσβασης.
Πώς λειτουργεί ένα YubiKey για να σταματήσει το ηλεκτρονικό ψάρεμα (phishing)
Το έξυπνο κομμάτι δεν είναι το υλικό. Είναι μια υπογραφή που συνδέεται με τομέα και την οποία ένας ψεύτικος ιστότοπος δεν μπορεί ποτέ να εξαγάγει από τη συσκευή.
Ένα μυστικό που δεν φεύγει ποτέ
Καταχωρίστε ένα YubiKey σε μια υπηρεσία και αυτό θα δημιουργήσει αθόρυβα ένα νέο ζεύγος κλειδιών, ένα δημόσιο και ένα ιδιωτικό, χρησιμοποιώντας κρυπτογραφία δημόσιου κλειδιού. Το ιδιωτικό μισό εγγράφεται σε ένα ασφαλές τσιπ και δεν επιστρέφει ποτέ. Ούτε μέσω USB, ούτε με τη συσκευή στο χέρι σας, ποτέ. Μόνο το δημόσιο μισό πηγαίνει στον διακομιστή. Μετά από αυτό, κάθε σύνδεση είναι μια γρήγορη κλήση και απάντηση: ο ιστότοπος πραγματοποιεί μια τυχαία πρόκληση, το κλειδί το υπογράφει με το ιδιωτικό μισό που κανείς δεν μπορεί να διαβάσει και ο διακομιστής ελέγχει αυτήν την υπογραφή σε σχέση με το δημόσιο μισό που κράτησε. Αυτό είναι το πρότυπο FIDO2 και WebAuthn, βασισμένο στο παλαιότερο U2F, και είναι ο λόγος που τα διαπιστευτήριά σας δεν μπορούν να αφαιρεθούν από τη συσκευή.
Γιατί το ηλεκτρονικό ψάρεμα (phishing) δεν μπορεί να λειτουργήσει
Τώρα το κομμάτι που πραγματικά εξαλείφει το ηλεκτρονικό ψάρεμα (phishing). Στην ίδια ανταλλαγή, το πρόγραμμα περιήγησης λέει επίσης στο κλειδί σε ποιον τομέα βρίσκεστε. Το YubiKey το συγκρίνει με τον ιστότοπο στον οποίο εγγράφηκε για πρώτη φορά. Σε μια παρόμοια σελίδα, ο τομέας είναι λάθος, οπότε το κλειδί σηκώνει τους ώμους του και αρνείται να υπογράψει. Μπορείτε να ξεγελαστείτε εντελώς από τον ψεύτικο ιστότοπο - το υλικό δεν είναι, και το υλικό είναι αυτό που μετράει. Προσθέστε σε αυτό το φυσικό πάτημα που αποδεικνύει ότι υπάρχει ένας άνθρωπος, και έχετε αυτό που οι υπηρεσίες ασφαλείας χαρακτηρίζουν έλεγχο ταυτότητας ανθεκτικό στο ηλεκτρονικό ψάρεμα (phishing). Ένας κωδικός πρόσβασης μπορεί να πληκτρολογηθεί σε ένα ψεύτικο πλαίσιο. Μια υπογραφή που συνδέεται με τομέα δεν μπορεί.
OTP, έξυπνη κάρτα και κλειδιά πρόσβασης
Ένα κορυφαίο YubiKey μιλάει πολλές γλώσσες, όχι μία. Μπορεί να ενεργοποιήσει έναν κωδικό πρόσβασης μιας χρήσης Yubico, έναν τεράστιο αριθμό 44 χαρακτήρων δίπλα στους εξαψήφιους κωδικούς που εμφανίζει μια εφαρμογή. Εκτελεί επίσης κωδικούς πρόσβασης μιας χρήσης με βάση τον χρόνο, το ίδιο πρότυπο TOTP που χρησιμοποιεί η εφαρμογή ελέγχου ταυτότητας. Παίζει έξυπνη κάρτα για εταιρικές και κυβερνητικές συνδέσεις. Και αποθηκεύει κλειδιά πρόσβασης για πλήρη έλεγχο ταυτότητας χωρίς κωδικό πρόσβασης, όπου το κλειδί είναι η σύνδεση, όχι ένα αντίγραφο ασφαλείας αυτής. Αυτό το τελευταίο απογειώνεται γρήγορα: η FIDO Alliance λέει ότι σχεδόν οι μισοί από τους 100 κορυφαίους ιστότοπους δέχονται ήδη κλειδιά πρόσβασης.
| Πρωτόκολλο | Τι κάνει | Αντικαθιστά |
|---|---|---|
| FIDO2 / WebAuthn | Σύνδεση και κλειδιά πρόσβασης ανθεκτικά στο ηλεκτρονικό ψάρεμα (phishing) | Κωδικοί πρόσβασης και αδύναμο 2FA |
| U2F | Δεύτερος παράγοντας που συνδέεται με την προέλευση | SMS και κωδικοί εφαρμογών |
| Yubico OTP | Κωδικός πρόσβασης μίας χρήσης 44 χαρακτήρων | Σύντομοι κωδικοί ελέγχου ταυτότητας |
| ΟΡΚΟΣ / ΟΡΚΟΣ | Κωδικοί με βάση την ώρα που είναι αποθηκευμένοι στο κλειδί | Μια ξεχωριστή εφαρμογή ελέγχου ταυτότητας |
| Έξυπνη κάρτα (PIV) | Σύνδεση βάσει πιστοποιητικού | Σύνδεση με εταιρικό σήμα |
Γιατί ένα YubiKey ξεπερνά τις εφαρμογές SMS και Authenticator
Κάθε άλλος κοινός δευτερεύων παράγοντας μπορεί να μεταδοθεί σε έναν ψεύτικο ιστότοπο σε πραγματικό χρόνο. Ένα YubiKey δεν μπορεί, και αυτό το μοναδικό κενό είναι ακριβώς το σημείο όπου κλέβονται τα κρυπτονομίσματα.
Τα SMS είναι ο πιο αδύναμος κρίκος
Ένας κωδικός SMS φαίνεται βολικός και είναι η χειρότερη κοινή επιλογή. Ο κωδικός πηγαίνει στον αριθμό τηλεφώνου σας και ο αριθμός τηλεφώνου σας μπορεί να σας αφαιρεθεί. Σε μια ανταλλαγή SIM, ένας εισβολέας πείθει τον πάροχο σας να μεταφέρει τον αριθμό σας στην κάρτα SIM του και στη συνέχεια πιάνει απευθείας τους κωδικούς σας. Αυτή δεν είναι μια σπάνια περίπτωση. Η απάτη ανταλλαγής SIM στο Ηνωμένο Βασίλειο αυξήθηκε κατά περισσότερο από 1.055% το 2024. Αυτός είναι ο λόγος για τον οποίο η CISA και το FBI αρνούνται να θεωρήσουν τα SMS ως MFA ανθεκτικά στο ηλεκτρονικό ψάρεμα (phishing). Για έναν λογαριασμό που κατέχει χρήματα, η εμπιστοσύνη στα SMS είναι λάθος και είναι ακριβώς αυτή η αδυναμία που κάνει ένα κλειδί υλικού να έχει μεγαλύτερη σημασία για έναν κάτοχο κρυπτονομισμάτων από ό,τι για σχεδόν οποιονδήποτε άλλον.
Ακόμη και οι εφαρμογές ελέγχου ταυτότητας έχουν ένα κενό ηλεκτρονικού "ψαρέματος" (phishing)
Οι εφαρμογές ελέγχου ταυτότητας αποτελούν ένα μεγάλο βήμα μπροστά από τα SMS και θεωρούνται ισχυρός έλεγχος ταυτότητας δύο παραγόντων δίπλα σε έναν κωδικό κειμένου, αλλά διατηρούν μια αδυναμία. Οποιοδήποτε MFA αξίζει να ενεργοποιηθεί. Η Microsoft διαπίστωσε ότι μπλοκάρει το 99,9% των αυτοματοποιημένων επιθέσεων. Ωστόσο, ο τύπος αποφασίζει εάν ένας ζωντανός ανθρώπινος phisher θα περάσει. Ο εξαψήφιος κωδικός που εμφανίζει μια εφαρμογή είναι απλώς ένας αριθμός και ένας αριθμός μπορεί να πληκτρολογηθεί σε ένα ψεύτικο πλαίσιο. Μια σύγχρονη σελίδα ηλεκτρονικού "ψαρέματος" ζητά τον κώδικά σας και τον μεταδίδει στην πραγματική υπηρεσία μέσα στο παράθυρο των 30 δευτερολέπτων. Ένα YubiKey κλείνει αυτό το κενό, επειδή η υπογραφή του είναι συνδεδεμένη με τον πραγματικό τομέα και δεν μπορεί να αναπαραχθεί σε άλλον. Αυτό δεν είναι θεωρία. Αυτός είναι ο λόγος για τον οποίο το προσωπικό των 85.000 ατόμων της Google σταμάτησε να δέχεται ηλεκτρονικό "ψάρεμα" την ημέρα που τα κλειδιά υλικού αντικατέστησαν τα πάντα.
| Μέθοδος | Ανθεκτικό στο ηλεκτρονικό ψάρεμα (phishing) | Ανθεκτικό στην ανταλλαγή SIM | Λειτουργεί εκτός σύνδεσης |
|---|---|---|---|
| Κωδικός SMS | Οχι | Οχι | Οχι |
| Εφαρμογή ελέγχου ταυτότητας | Οχι | Ναί | Ναί |
| YubiKey | Ναί | Ναί | Ναί |
Χρήση YubiKey για την ασφάλεια των κρυπτονομισμάτων σας
Ιδού το όφελος για οποιονδήποτε ασχολείται με τα κρυπτονομίσματα: ένα YubiKey κλειδώνει τους ακριβείς λογαριασμούς που στοχεύουν πρώτα οι ανταλλαγές SIM και οι αποστραγγιστές πορτοφολιών. Τα περισσότερα μεγάλα ανταλλακτήρια υποστηρίζουν πλέον ένα κλειδί ασφαλείας υλικού για την ασφάλεια του λογαριασμού και αρκετά επιτρέπουν την πλήρη σύνδεση FIDO2 ή με κωδικό πρόσβασης, συμπεριλαμβανομένων των Coinbase , Binance, Gemini, OKX, Bybit, Crypto.com και KuCoin. Τα Kraken και Bitfinex δέχονται ένα κλειδί υλικού ως δεύτερο παράγοντα. Η ενεργοποίηση αυτού σημαίνει ότι ένας κλέφτης που έχει τον κωδικό πρόσβασής σας και τον αριθμό τηλεφώνου σας δεν μπορεί να εισέλθει χωρίς το φυσικό κλειδί.
Μην σταματάτε στο ανταλλακτήριο. Ο λογαριασμός που έχει τη μεγαλύτερη σημασία είναι το email σας — είναι η διαδρομή ανάκτησης για όλα τα άλλα — οπότε βάλτε πρώτα ένα κλειδί σε αυτό. Προσθέστε ένα στη συνέχεια στον διαχειριστή κωδικών πρόσβασης, έπειτα στο ανταλλακτήριο και σε οποιαδήποτε υπηρεσία πορτοφολιού που το υποστηρίζει. Ο στόχος είναι απλός: καταργήστε κάθε σύνδεση που εξαρτάται μόνο από έναν κωδικό που ένας απατεώνας μπορεί να υποκλέψει ή να phishing. Το ίδιο κλειδί στη συνέχεια ασφαλίζει τις άλλες διαδικτυακές σας υπηρεσίες με μία συνήθεια και, επειδή η τεχνολογία δημιουργήθηκε ειδικά για να αποτρέπει τις επιθέσεις phishing, εξουδετερώνει το ακριβές βήμα στο οποίο βασίζεται μια σελίδα draining πορτοφολιού ή ψεύτικης airdrop. Σε όλους αυτούς τους διαδικτυακούς λογαριασμούς, το YubiKey γίνεται το μοναδικό διαπιστευτήριο που κανείς δεν μπορεί να αντιγράψει από απόσταση, το οποίο κλείνει αθόρυβα την πόρτα στην οποία βασίζονται οι ανταλλαγές SIM και οι draining.
Μοντέλα YubiKey και πώς να επιλέξετε
Ο κατάλογος της Yubico φαίνεται πιο τρομακτικός από ό,τι είναι στην πραγματικότητα η επιλογή. Τρία ερωτήματα το λύνουν: ποιες θύρες έχουν οι συσκευές σας, αν θέλετε NFC για το τηλέφωνό σας και αν θέλετε αναγνώστη δακτυλικών αποτυπωμάτων.
Για τους περισσότερους ανθρώπους, η απάντηση είναι το YubiKey 5 NFC , περίπου στα 58$. Μιλάει όλα τα παραπάνω πρωτόκολλα και σας παρέχει USB-A συν NFC. Όλος ο εξοπλισμός σας είναι USB-C; Το YubiKey 5C NFC είναι το ίδιο κλειδί σε διαφορετικό μέγεθος. Θέλετε να ξοδέψετε λιγότερα; Το Κλειδί Ασφαλείας, περίπου στα 29$, αφαιρεί τα επιπλέον χαρακτηριστικά και τρέχει μόνο FIDO2 και U2F, τα οποία είναι αρκετά για κρυπτογράφηση και καθημερινές συνδέσεις. Προτιμάτε δακτυλικό αποτύπωμα; Η σειρά YubiKey Bio, κοντά στα 98$, προσθέτει έναν βιομετρικό αισθητήρα για χρήση χωρίς PIN και υπάρχει μια σειρά FIPS για ρυθμιζόμενους χώρους εργασίας. Ό,τι κι αν βρείτε, αγοράστε δύο. Το δεύτερο είναι το εφεδρικό σας και θα είστε ευγνώμονες γι' αυτό την ημέρα που το πρώτο θα πλυθεί.
Ρύθμιση και διαβίωση με ένα YubiKey
Η εγκατάσταση διαρκεί περίπου δέκα λεπτά ανά λογαριασμό. Το κομμάτι για το οποίο κανείς δεν σας προειδοποιεί είναι το αντίγραφο ασφαλείας.
Καταχώριση του κλειδιού σας
Ξεκινήστε από την επίσημη σελίδα εγκατάστασης, επιλέξτε μια υπηρεσία και ανοίξτε τις ρυθμίσεις δύο παραγόντων ή κλειδιού πρόσβασης. Στη συνέχεια, επιλέξτε μία από τις τρεις διαδρομές για να διαμορφώσετε το κλειδί: καταχωρήστε το ως κλειδί ασφαλείας, αποθηκεύστε ένα κλειδί πρόσβασης σε αυτό ή τοποθετήστε το σε μια υποδοχή εφαρμογής ελέγχου ταυτότητας. Πατήστε όταν σας ζητηθεί και τελειώσατε. Οι περισσότεροι άνθρωποι καταλήγουν με δύο yubikey και μερικές επιλογές ελέγχου ταυτότητας σε κάθε λογαριασμό, επομένως η απώλεια μίας συσκευής δεν τους κλειδώνει ποτέ. Το ίδιο κλειδί λειτουργεί σε Windows, macOS, Linux, Android και iOS, επομένως προστατεύει τον φορητό υπολογιστή και το τηλέφωνό σας. Κάντε πρώτα το email σας, μετά τον διαχειριστή κωδικών πρόσβασης και μετά την ανταλλαγή. Αυτές οι τρεις καλύπτουν το μεγαλύτερο μέρος του πραγματικού σας κινδύνου.
Η παγίδα: αντίγραφα ασφαλείας και ειλικρινή όρια
Ένα YubiKey δεν είναι μαγικό και αξίζει να γνωρίζετε τους συμβιβασμούς. Καταχωρίστε ένα μόνο κλειδί, χάστε το και μπορείτε να κλειδωθείτε έξω, οπότε πάντα να εγγράφετε ένα εφεδρικό ή να φυλάσσετε τους κωδικούς ανάκτησης κάπου ασφαλές. Δεν υποστηρίζουν όλες οι υπηρεσίες κλειδιά υλικού ακόμα, αν και η λίστα μεγαλώνει κάθε χρόνο. Υπάρχει το αρχικό κόστος, περίπου 58 δολάρια. Και το υλικό είχε σφάλματα: ένα ελάττωμα του 2017 που ονομάζεται ROCA, ένα πρόβλημα του Infineon του 2024, που και τα δύο χρειάζονταν φυσική πρόσβαση και διορθώνονταν σε νεότερο υλικολογισμικό. Υποσημειώσεις, όχι λύσεις. Κανένα από αυτά δεν υπερτερεί του ενός πράγματος που έχει σημασία εδώ, το οποίο είναι η διακοπή των εξ αποστάσεως καταλήψεων λογαριασμών χωρίς προειδοποίηση.
Αξίζει τον κόπο ένα YubiKey για χρήστες κρυπτονομισμάτων;
Για όποιον κατέχει κρυπτονομίσματα, η απάντηση είναι ένα εύκολο ναι. Ένα YubiKey είναι μια εφάπαξ αγορά, περίπου 58$ συν ένα αντίγραφο ασφαλείας, χωρίς συνδρομή. Αν το ζυγίσετε αυτό με μια μόνο σελίδα ανταλλαγής SIM ή ηλεκτρονικού "ψαρέματος" που αδειάζει έναν λογαριασμό ανταλλαγής, τα μαθηματικά δεν είναι ακριβώς. Ένας κωδικός πρόσβασης και μια εφαρμογή ελέγχου ταυτότητας ανεβάζουν τον πήχη. Το YubiKey MFA τον ανεβάζει πέρα από εκεί που μπορούν να φτάσουν οι απομακρυσμένοι εισβολείς. Αν έστω και ένας από τους online λογαριασμούς σας κατέχει χρήματα, είναι η φθηνότερη ασφάλεια που θα αγοράσετε ποτέ.
Ένα YubiKey μετατρέπει το δάχτυλό σας σε κωδικό πρόσβασης
Αφαιρέστε τα πρωτόκολλα και τους αριθμούς μοντέλων και ένα YubiKey κάνει ένα πράγμα εξαιρετικά καλά: μετατρέπει το ισχυρότερο μέρος της σύνδεσής σας σε ένα φυσικό αντικείμενο που κρατάτε και αγγίζετε. Το ηλεκτρονικό ψάρεμα (phishing) μπορεί να αντιγράψει έναν κωδικό πρόσβασης και να μεταδώσει έναν κωδικό, αλλά δεν μπορεί να αντιγράψει ένα κλειδί που βρίσκεται στην τσέπη σας - ή να προσποιηθεί το άγγιγμα του δακτύλου σας. Αυτός είναι ολόκληρος ο λόγος που λειτουργεί εκεί που διαρρέουν όλα τα άλλα. Τοποθετήστε ένα στο email σας και στο κύριο ανταλλακτήριο συναλλαγών σας αυτή την εβδομάδα και προσθέστε ένα αντίγραφο ασφαλείας. Έτσι, το μόνο πραγματικό ερώτημα που απομένει είναι το πρακτικό: ποιον λογαριασμό που περιέχει τα χρήματά σας προστατεύετε ακόμα με έναν κωδικό που ένας ξένος θα μπορούσε να υποκλέψει σήμερα;
