YubiKey: Chiave di sicurezza hardware per crittografia e autenticazione a più fattori
Una piccola linguetta metallica da toccare con un dito ha fatto qualcosa che nessuna password è mai riuscita a fare: ha posto fine ai furti di account in una delle aziende più attaccate al mondo. Dopo che Google ha distribuito una YubiKey a oltre 85.000 dipendenti , il numero di account del personale compromessi con il phishing è sceso a zero e da inizio 2017 non ha subito variazioni. Questo è il punto di forza di una chiave di sicurezza hardware. Non è un antivirus e non custodisce le vostre criptovalute. È un oggetto fisico che dimostra la vostra identità ed è praticamente impossibile da ingannare.
Questa guida spiega cos'è una YubiKey, come funziona, perché è migliore degli SMS e delle app di autenticazione e come usarla per proteggere gli account di criptovalute che i ladri prendono di mira per primi.
Cos'è una YubiKey e perché è importante
Immaginate una YubiKey come una chiave di casa per i vostri account, con la differenza che questa non può essere copiata. Si tratta di una piccola chiave di sicurezza hardware prodotta da Yubico, l'azienda svedese-americana che le realizza dal 2007. Niente batteria. Niente schermo. Solo una sottile striscia di plastica e metallo, delle dimensioni di una chiavetta USB, che si inserisce in una porta USB o si connette al telefono tramite NFC, con un disco dorato da premere con la punta di un dito.
Quel tocco sul polpastrello è tutto il trucco. Una password è qualcosa che conosci, e qualsiasi cosa tu conosca può essere rubata, divulgata o indovinata, spesso tutte e tre le cose contemporaneamente. Una YubiKey è qualcosa che possiedi, e non puoi rubare un oggetto fisico dalla tasca di qualcuno tramite phishing. Quindi diventa un secondo fattore per l'autenticazione a due fattori, e anche piuttosto ostinato. Non memorizza nessuna delle tue criptovalute né nessuno dei tuoi file. Al momento del login, risponde a una sola domanda e poi tace: il proprietario effettivo è qui in questo momento? Un tocco e sei dentro. Non farlo, e il login si blocca sullo schermo, per quanto perfetta potesse sembrare la password rubata.
Come funziona una YubiKey per prevenire il phishing
La parte geniale non sta nell'hardware. Si tratta di una firma associata al dominio che un sito web falso non potrà mai estorcere al dispositivo.
Un segreto che non se ne va mai
Registrando una YubiKey presso un servizio, questo genera silenziosamente una nuova coppia di chiavi, una pubblica e una privata, utilizzando la crittografia a chiave pubblica. La metà privata viene memorizzata su un chip di sicurezza e non viene mai più estratta. Né tramite USB, né con il dispositivo in mano, mai. Solo la metà pubblica viene inviata al server. Dopodiché, ogni accesso si riduce a una rapida chiamata e risposta: il sito propone una sfida casuale, la chiave la firma con la metà privata che nessuno può leggere e il server verifica la firma confrontandola con la metà pubblica che ha conservato. Questo è lo standard FIDO2 e WebAuthn, basato sul precedente U2F, ed è il motivo per cui le tue credenziali non possono essere rimosse dal dispositivo.
Perché il phishing non può funzionare
Ora passiamo alla parte che effettivamente neutralizza il phishing. Durante lo stesso scambio di dati, il browser comunica alla chiave anche il dominio su cui ti trovi. La YubiKey lo confronta con il sito con cui si è registrata inizialmente. Su una pagina simile, il dominio è errato, quindi la chiave si rifiuta di firmare. Puoi essere completamente ingannato dal sito falso, ma l'hardware no, ed è l'hardware che conta. Aggiungiamo la verifica fisica della presenza di una persona e otteniamo ciò che le agenzie di sicurezza definiscono autenticazione a prova di phishing. Una password può essere digitata in un campo falso. Una firma legata al dominio no.
OTP, smart card e passkey
La YubiKey di punta non si limita a una sola lingua, ma ne conosce diverse. Può generare password monouso Yubico, un vero e proprio mostro di 44 caratteri rispetto ai codici a sei cifre visualizzati dalle app. Supporta anche le password monouso basate sul tempo, secondo lo standard TOTP utilizzato dalle app di autenticazione. Funziona come smart card per gli accessi aziendali e governativi. E memorizza le chiavi di accesso per un'autenticazione completamente senza password, dove la chiave stessa è la password di accesso, non un backup. Quest'ultima funzionalità sta prendendo piede rapidamente: la FIDO Alliance afferma che quasi la metà dei 100 siti web più visitati accetta già le chiavi di accesso.
| Protocollo | Cosa fa | Sostituisce |
|---|---|---|
| FIDO2 / WebAuthn | Credenziali di accesso e password resistenti al phishing | Password e autenticazione a due fattori debole |
| U2F | Secondo fattore legato all'origine | Codici SMS e app |
| Yubico OTP | Password monouso di 44 caratteri | Codici brevi di autenticazione |
| TOTP / GIURAMENTO | Codici temporali memorizzati sulla chiave | Un'app di autenticazione separata |
| Smart card (PIV) | Accesso basato su certificati | Accesso tramite badge aziendale |
Perché YubiKey è migliore degli SMS e delle app di autenticazione
Ogni altro secondo fattore di autenticazione comune può essere trasmesso a un sito falso in tempo reale. Una YubiKey non può, ed è proprio in quella singola lacuna che vengono rubate le criptovalute.
Gli SMS sono l'anello debole
Ricevere un codice via SMS può sembrare comodo, ma è la peggiore opzione comunemente utilizzata. Il codice viene inviato al tuo numero di telefono, e il tuo numero di telefono può essere rubato. Nel caso di uno scambio di SIM, un malintenzionato convince il tuo operatore telefonico a trasferire il tuo numero sulla sua SIM, per poi intercettare direttamente i tuoi codici. Questo non è un caso isolato. Nel Regno Unito, le frodi legate allo scambio di SIM sono aumentate di oltre il 1055% nel 2024. È per questo che la CISA e l'FBI si rifiutano di considerare gli SMS come un metodo di autenticazione a più fattori (MFA) efficace contro il phishing. Per un conto che contiene denaro, fidarsi degli SMS è un errore, ed è proprio questa debolezza che rende una chiave hardware più importante per chi possiede criptovalute che per quasi chiunque altro.
Anche le app di autenticazione presentano una falla nella protezione dal phishing.
Le app di autenticazione rappresentano un notevole passo avanti rispetto agli SMS e, insieme al codice via SMS, costituiscono una solida autenticazione a due fattori, ma mantengono una vulnerabilità. Qualsiasi metodo di autenticazione a più fattori (MFA) è consigliabile; Microsoft ha scoperto che blocca il 99,9% degli attacchi automatizzati. Tuttavia, il tipo di autenticazione a più fattori determina se un phisher umano riuscirà a superare il sistema. Il codice a sei cifre mostrato da un'app è solo un numero, e un numero può essere digitato in un campo fasullo. Una moderna pagina di phishing richiede il codice e lo trasmette al servizio reale entro 30 secondi. Una YubiKey chiude questa falla, perché la sua firma è legata al dominio reale e non può essere riutilizzata su un altro. Non si tratta di teoria. È il motivo per cui gli 85.000 dipendenti di Google hanno smesso di subire attacchi di phishing il giorno in cui le chiavi hardware hanno sostituito tutti gli altri sistemi.
| Metodo | Resistente al phishing | Resistente allo scambio di SIM | Funziona offline |
|---|---|---|---|
| codice SMS | NO | NO | NO |
| App di autenticazione | NO | SÌ | SÌ |
| YubiKey | SÌ | SÌ | SÌ |
Utilizzare una YubiKey per proteggere le proprie criptovalute
Ecco il vantaggio per chiunque operi nel mondo delle criptovalute: una YubiKey protegge proprio gli account che vengono presi di mira per primi da chi effettua SIM swap e svuota i portafogli. La maggior parte dei principali exchange ora supporta una chiave di sicurezza hardware per la protezione dell'account e molti consentono l'accesso completo tramite FIDO2 o password, tra cui Coinbase , Binance, Gemini, OKX, Bybit, Crypto.com e KuCoin. Kraken e Bitfinex accettano una chiave hardware come secondo fattore di autenticazione. Attivando questa opzione, un ladro che ha la tua password e il tuo numero di telefono non potrà comunque accedere senza la chiave fisica.
Non fermarti all'exchange. L'account più importante è la tua email: è la chiave di recupero per tutto il resto, quindi assegna prima una chiave a questo account. Aggiungine una anche al tuo gestore di password, poi all'exchange e a qualsiasi servizio di wallet che lo supporti. L'obiettivo è semplice: eliminare ogni accesso che dipenda esclusivamente da un codice che un truffatore può ottenere tramite phishing o intercettazione. La stessa chiave proteggerà quindi tutti i tuoi servizi online con una sola abitudine e, poiché la tecnologia è stata creata appositamente per contrastare gli attacchi di phishing, neutralizza il passaggio preciso su cui si basano i programmi per svuotare i wallet o le false pagine di airdrop. In tutti questi account online, la YubiKey diventa l'unica credenziale che nessuno può copiare da remoto, chiudendo silenziosamente la porta ai programmi di SIM swapping e svuotamento di wallet.
Modelli di YubiKey e come sceglierli
Il catalogo di Yubico sembra più scoraggiante di quanto non sia in realtà. Tre domande bastano a decidere: quali porte hanno i tuoi dispositivi, se desideri la tecnologia NFC per il tuo telefono e se desideri un lettore di impronte digitali.
Per la maggior parte delle persone, la risposta è la YubiKey 5 NFC, che costa circa 58 dollari. Supporta tutti i protocolli sopra menzionati e offre USB-A e NFC. Tutti i tuoi dispositivi sono USB-C? La YubiKey 5C NFC è la stessa chiave in un formato diverso. Vuoi spendere meno? La Security Key, a circa 29 dollari, è priva di funzionalità aggiuntive e supporta solo FIDO2 e U2F, più che sufficienti per la crittografia e gli accessi quotidiani. Preferisci l'impronta digitale? La YubiKey Bio Series, a circa 98 dollari, aggiunge un sensore biometrico per l'utilizzo senza PIN, ed esiste una versione con certificazione FIPS per gli ambienti di lavoro regolamentati. Qualunque sia la tua scelta, comprane due. La seconda sarà la tua chiave di riserva e ne sarai grato il giorno in cui la prima finirà in lavatrice.
Configurazione e utilizzo di una YubiKey
La configurazione richiede circa dieci minuti per account. La parte di cui nessuno ti avverte è il backup.
Registrazione della chiave
Inizia dalla pagina di configurazione ufficiale, scegli un servizio e apri le impostazioni relative all'autenticazione a due fattori o alla password. Quindi, scegli uno dei tre percorsi per configurare la chiave: registrarla come chiave di sicurezza, salvarvi una password o inserirla in uno slot di un'app di autenticazione. Tocca quando richiesto e il gioco è fatto. La maggior parte degli utenti finisce per avere due YubiKey e un paio di opzioni di autenticazione per ogni account, quindi perdere un dispositivo non li blocca mai completamente. La stessa chiave funziona su Windows, macOS, Linux, Android e iOS, proteggendo così sia il tuo laptop che il tuo telefono. Inizia con la posta elettronica, poi con il gestore di password e infine con Exchange. Questi tre sistemi coprono la maggior parte dei rischi reali.
Il trucco: backup e limiti onesti
Una YubiKey non fa miracoli, ed è bene conoscerne i compromessi. Registra una sola chiave, perdila e rischi di rimanere bloccato fuori dal tuo account, quindi è sempre meglio registrarne una di riserva o conservare i codici di recupero in un luogo sicuro. Non tutti i servizi supportano ancora le chiavi hardware, anche se l'elenco si allunga ogni anno. C'è il costo iniziale, circa 58 dollari. Inoltre, l'hardware ha presentato dei bug: un difetto del 2017 chiamato ROCA e un problema con Infineon del 2024, entrambi che richiedevano l'accesso fisico e che sono stati risolti con firmware più recenti. Note a margine, non problemi insormontabili. Nessuno di questi aspetti è più importante di ciò che conta davvero: impedire completamente l'accesso remoto all'account.
Vale la pena acquistare una YubiKey per gli utenti di criptovalute?
Per chiunque possieda criptovalute, la risposta è un sì senza esitazione. Una YubiKey è un acquisto una tantum, circa 58 dollari più un backup, senza abbonamento. Confrontatela con un singolo scambio di SIM o una pagina di phishing che svuota un conto di scambio, e il confronto è netto. Una password e un'app di autenticazione aumentano il livello di sicurezza; l'autenticazione a più fattori (MFA) di YubiKey lo porta a un livello tale da rendere impossibile l'accesso da parte di hacker remoti. Se anche solo uno dei vostri conti online contiene denaro, è l'assicurazione più economica che possiate mai acquistare.
YubiKey trasforma il tuo dito in una password
Eliminando protocolli e numeri di modello, una YubiKey fa una cosa in modo eccezionale: rende il punto di accesso più sicuro un oggetto fisico che si tiene in mano e si tocca. Il phishing può copiare una password e trasmettere un codice, ma non può copiare una chiave che si trova in tasca, né simulare il tocco del dito. Questo è il motivo per cui funziona dove tutti gli altri metodi falliscono. Installane una sulla tua email e sul tuo account Exchange principale questa settimana e aggiungine una di backup. Quindi l'unica vera domanda che rimane è di natura pratica: quale conto in cui sono custoditi i tuoi soldi stai ancora proteggendo con un codice che uno sconosciuto potrebbe rubare tramite phishing oggi stesso?
