YubiKey: sprzętowy klucz bezpieczeństwa do kryptografii i uwierzytelniania wieloskładnikowego
Mała metalowa płytka, którą dotyka się opuszkiem palca, dokonała czegoś, czego nie udało się dokonać żadnemu hasłu: zakończyła przejęcia kont w jednej z najczęściej atakowanych firm na świecie. Po tym, jak Google przekazał YubiKey ponad 85 000 pracowników , liczba kont pracowników, które zostały skutecznie wykradzione, spadła do zera i utrzymuje się na tym poziomie od początku 2017 roku. To właśnie jest cała idea sprzętowego klucza bezpieczeństwa. Nie jest on programem antywirusowym ani nie przechowuje twoich monet. To fizyczny przedmiot, który dowodzi, że jesteś sobą, a jego oszukanie jest praktycznie niemożliwe.
W tym przewodniku wyjaśnimy, czym jest YubiKey, jak właściwie działa, dlaczego jest lepszy od aplikacji uwierzytelniających i SMS-ów oraz jak go używać do blokowania kont kryptowalutowych, które są głównym celem złodziei.
Czym jest YubiKey i dlaczego jest ważny
Wyobraź sobie YubiKey jako klucz do domu, z tą różnicą, że tego nie da się skopiować. To mały, sprzętowy klucz bezpieczeństwa od Yubico, szwedzko-amerykańskiej firmy, która produkuje je od 2007 roku. Bez baterii. Bez ekranu. Tylko kawałek plastiku i metalu wielkości pendrive'a, który wkłada się do portu USB lub podłącza do telefonu przez NFC, ze złotym dyskiem, który naciska się opuszkiem palca.
Ten czubek palca to cała sztuczka. Hasło to coś, co znasz, a wszystko, co wiesz, może zostać skradzione, ujawnione lub odgadnięte, często wszystkie trzy naraz. YubiKey to coś, co masz, i nie możesz wyłudzić fizycznego przedmiotu z czyjejś kieszeni. Staje się więc drugim, i to upartym, czynnikiem uwierzytelniania dwuskładnikowego. Nie przechowuje żadnych twoich monet ani plików. Podczas logowania odpowiada na jedno pytanie, a potem milknie: czy prawdziwy właściciel stoi tutaj w tej chwili? Stuknij i jesteś zalogowany. Nie klikaj, a logowanie po prostu znika na ekranie, niezależnie od tego, jak idealnie wyglądało skradzione hasło.
Jak działa YubiKey w celu zatrzymania phishingu
Sztuczka nie tkwi w sprzęcie. Chodzi o sygnaturę przypisaną do domeny, której fałszywa strona internetowa nigdy nie wydobędzie z urządzenia.
Sekret, który nigdy nie wychodzi na jaw
Zarejestruj klucz YubiKey w usłudze, a ona dyskretnie wybije nową parę kluczy, jeden publiczny i jeden prywatny, wykorzystując kryptografię klucza publicznego. Prywatna część zostaje wpisana w bezpieczny chip i nigdy nie wychodzi. Ani przez USB, ani z urządzeniem w dłoni, nigdy. Tylko publiczna część trafia na serwer. Potem każde logowanie to szybka odpowiedź: strona rzuca losowe wyzwanie, klucz podpisuje go prywatną częścią, której nikt nie może odczytać, a serwer sprawdza ten podpis z zachowaną publiczną częścią. To standard FIDO2 i WebAuthn, oparty na starszym U2F, i to właśnie dlatego Twoje dane uwierzytelniające nie mogą zostać usunięte z urządzenia.
Dlaczego phishing nie może działać
Teraz część, która faktycznie eliminuje phishing. W tej samej wymianie danych przeglądarka informuje również klucz, z której domeny korzystasz. YubiKey porównuje ją ze stroną, na której został pierwotnie zarejestrowany. Na stronie z fałszywą domeną domena jest błędna, więc klucz wzrusza ramionami i odmawia podpisania. Fałszywa strona może Cię całkowicie oszukać — sprzęt nie, a sprzęt jest tym, co się liczy. Dodaj do tego fizyczny dostęp, który potwierdza obecność człowieka, a otrzymasz to, co agencje bezpieczeństwa nazywają uwierzytelnianiem odpornym na phishing. Hasło można wpisać w fałszywe pole. Podpisu powiązanego z domeną nie da się.
OTP, karta inteligentna i klucze dostępu
Flagowy YubiKey obsługuje kilka języków, a nie tylko jeden. Potrafi wygenerować jednorazowe hasło Yubico, 44-znakowego potwora obok sześciocyfrowych kodów wyświetlanych przez aplikację. Obsługuje również jednorazowe hasła czasowe, ten sam standard TOTP, z którego korzysta Twoja aplikacja uwierzytelniająca. Obsługuje karty inteligentne do logowania w firmach i instytucjach rządowych. Przechowuje również klucze dostępu do uwierzytelniania całkowicie bezhasłowego, gdzie klucz jest loginem, a nie jego kopią zapasową. Ta ostatnia funkcja szybko zyskuje na popularności: według FIDO Alliance prawie połowa ze 100 najpopularniejszych stron internetowych akceptuje już klucze dostępu.
| Protokół | Co to robi | Zastępuje |
|---|---|---|
| FIDO2 / WebAuthn | Odporne na phishing loginy i hasła | Hasła i słabe uwierzytelnianie dwuskładnikowe |
| U2F | Drugi czynnik związany z pochodzeniem | Kody SMS i aplikacji |
| Yubico OTP | 44-znakowe jednorazowe hasło | Krótkie kody uwierzytelniające |
| TOTP / PRZYSIĘGA | Kody oparte na czasie przechowywane na kluczu | Osobna aplikacja uwierzytelniająca |
| Karta inteligentna (PIV) | Logowanie oparte na certyfikacie | Logowania do identyfikatorów korporacyjnych |
Dlaczego YubiKey jest lepszy od SMS-ów i aplikacji uwierzytelniających
Każdy inny powszechny drugi czynnik może zostać przekazany fałszywej stronie w czasie rzeczywistym. YubiKey nie, a ta pojedyncza luka to właśnie miejsce, w którym dochodzi do kradzieży kryptowalut.
SMS jest najsłabszym ogniwem
Kod SMS wydaje się wygodny i jest najgorszą z powszechnych opcji. Kod trafia na Twój numer telefonu, a Twój numer może zostać Ci odebrany. W przypadku podmiany karty SIM atakujący nakłania operatora do przeniesienia Twojego numeru na swoją kartę SIM, a następnie bezpośrednio przechwytuje Twoje kody. To nie jest rzadki przypadek. Oszustwa związane ze podmianą karty SIM w Wielkiej Brytanii wzrosły o ponad 1055% w 2024 roku. Właśnie dlatego CISA i FBI w ogóle nie uznają SMS-ów za uwierzytelnianie wieloskładnikowe (MFA) odporne na phishing. W przypadku konta z pieniędzmi zaufanie do SMS-ów to błąd i to właśnie ta słabość sprawia, że klucz sprzętowy ma dla posiadacza kryptowalut większe znaczenie niż dla prawie kogokolwiek innego.
Nawet aplikacje uwierzytelniające mają lukę w zabezpieczeniach przed phishingiem
Aplikacje uwierzytelniające to duży krok naprzód w porównaniu z SMS-ami i są uważane za silne uwierzytelnianie dwuskładnikowe, porównywalne z kodem tekstowym, ale mają jedną wadę. Warto włączyć każde uwierzytelnianie wieloskładnikowe; Microsoft odkrył, że blokuje ono 99,9% zautomatyzowanych ataków. Jednak to typ decyduje, czy żywy phishing przejdzie do ataku. Sześciocyfrowy kod wyświetlany przez aplikację to po prostu liczba, a liczbę można wpisać w fałszywe pole. Współczesna strona phishingowa prosi o podanie kodu i przekazuje go do prawdziwej usługi w ciągu 30 sekund. Klucz YubiKey zamyka tę lukę, ponieważ jego podpis jest powiązany z prawdziwą domeną i nie można go odtworzyć w innej. To nie jest teoria. Właśnie dlatego 85 000 pracowników Google przestało padać ofiarą phishingu w dniu, w którym klucze sprzętowe zastąpiły wszystko inne.
| Metoda | Odporny na phishing | Odporny na zamianę karty SIM | Działa offline |
|---|---|---|---|
| Kod SMS | NIE | NIE | NIE |
| Aplikacja uwierzytelniająca | NIE | Tak | Tak |
| YubiKey | Tak | Tak | Tak |
Zabezpieczanie kryptowalut za pomocą klucza YubiKey
Oto korzyści dla każdego w świecie kryptowalut: YubiKey blokuje dokładnie te konta, które są celem podmian kart SIM i wyczerpywania portfeli. Większość głównych giełd obsługuje teraz sprzętowy klucz bezpieczeństwa, aby zapewnić bezpieczeństwo kont, a kilka z nich, w tym Coinbase , Binance, Gemini, OKX, Bybit, Crypto.com i KuCoin, zezwala na pełne logowanie za pomocą FIDO2 lub klucza. Kraken i Bitfinex akceptują klucz sprzętowy jako drugi czynnik. Włączenie tej opcji oznacza, że złodziej, który zna Twoje hasło i numer telefonu, nadal nie będzie mógł uzyskać dostępu bez fizycznego klucza.
Nie zatrzymuj się na giełdzie. Najważniejsze jest konto e-mail — to ścieżka odzyskiwania wszystkiego innego — więc najpierw przypisz mu klucz. Następnie dodaj go do menedżera haseł, następnie do giełdy i dowolnego portfela, który go obsługuje. Cel jest prosty: usuń każde logowanie, które opiera się wyłącznie na kodzie, który oszust może wyłudzić lub przechwycić. Ten sam klucz zabezpiecza również inne usługi online, a ponieważ technologia została stworzona specjalnie do odpierania ataków phishingowych, neutralizuje ona precyzyjny krok, na którym polegają osoby wysysające dane z portfela lub strony oferujące fałszywe zrzuty. We wszystkich tych kontach online YubiKey staje się jedynym uwierzytelnieniem, którego nikt nie może zdalnie skopiować, co po cichu zamyka drzwi przed podmianą kart SIM i osobami wysysającymi dane z portfela.
Modele YubiKey i jak je wybrać
Katalog Yubico wygląda groźniej niż wybór, który w rzeczywistości istnieje. Rozstrzygają to trzy pytania: jakie porty mają Twoje urządzenia, czy chcesz NFC w telefonie i czy chcesz czytnik linii papilarnych.
Dla większości osób odpowiedzią jest YubiKey 5 NFC za około 58 dolarów. Obsługuje wszystkie powyższe protokoły i oferuje USB-A oraz NFC. Cały Twój sprzęt jest USB-C? YubiKey 5C NFC to ten sam klucz w innej obudowie. Chcesz wydać mniej? Klucz bezpieczeństwa za około 29 dolarów pozbawiony jest dodatkowych funkcji i obsługuje tylko FIDO2 i U2F, co w zupełności wystarcza do szyfrowania i codziennego logowania. Wolisz odcisk palca? Seria YubiKey Bio, kosztująca około 98 dolarów, posiada czujnik biometryczny do użytku bez PIN-u, a także certyfikat FIPS dla miejsc pracy podlegających regulacjom. Cokolwiek wybierzesz, kup dwa. Drugi to Twój zapasowy i będziesz za niego wdzięczny, gdy pierwszy się zepsuje.
Konfiguracja i korzystanie z YubiKey
Konfiguracja konta zajmuje około dziesięciu minut. Jedyną rzeczą, o której nikt Cię nie ostrzega, jest tworzenie kopii zapasowej.
Rejestracja klucza
Zacznij od oficjalnej strony konfiguracji, wybierz usługę i otwórz jej ustawienia uwierzytelniania dwuskładnikowego lub klucza dostępu. Następnie wybierz jedną z trzech metod konfiguracji klucza: zarejestruj go jako klucz bezpieczeństwa, zapisz klucz dostępu lub wrzuć do slotu aplikacji uwierzytelniającej. Stuknij po wyświetleniu monitu i gotowe. Większość użytkowników ma dwa yubikey i kilka opcji uwierzytelniania na każdym koncie, więc utrata jednego urządzenia nigdy nie blokuje dostępu. Ten sam klucz działa w systemach Windows, macOS, Linux, Android i iOS, więc chroni zarówno laptopa, jak i telefon. Najpierw sprawdź pocztę e-mail, następnie menedżera haseł, a na końcu Exchange. Te trzy opcje pokrywają większość rzeczywistego ryzyka.
Sedno sprawy: kopie zapasowe i uczciwe limity
YubiKey to nie magia, a warto znać kompromisy. Zarejestruj jeden klucz, a go zgubisz, a możesz się zamknąć, więc zawsze zarejestruj zapasowy lub schowaj kody odzyskiwania w bezpiecznym miejscu. Nie każda usługa obsługuje jeszcze klucze sprzętowe, choć lista rośnie z roku na rok. Do tego dochodzi koszt początkowy, około 58 dolarów. Sprzęt również miał błędy: błąd z 2017 roku o nazwie ROCA, problem z Infineon z 2024 roku – oba wymagające fizycznego dostępu i naprawione w nowszym oprogramowaniu. Przypisy, a nie czynniki decydujące o zakupie. Żaden z nich nie przeważa nad tym, co jest tu najważniejsze – zapobieganiem zdalnym przejęciom kont.
Czy YubiKey jest warty uwagi dla użytkowników kryptowalut?
Dla każdego posiadacza kryptowalut odpowiedź brzmi: tak. YubiKey to jednorazowy zakup, kosztujący około 58 dolarów plus zapasowy, bez subskrypcji. Porównaj to z pojedynczą wymianą karty SIM lub atakiem phishingowym, który opróżnia konto giełdowe, a rachunek będzie bardzo słaby. Hasło i aplikacja uwierzytelniająca podnoszą poprzeczkę; YubiKey MFA podnosi ją poza zasięg zdalnych hakerów. Jeśli choć jedno z Twoich kont internetowych zawiera pieniądze, to jest to najtańsze ubezpieczenie, jakie kiedykolwiek kupisz.
YubiKey zamienia Twój palec w hasło
Pozbądź się protokołów i numerów modeli, a YubiKey spełni jedno zadanie znakomicie: sprawi, że najsilniejszą częścią Twojego loginu stanie się fizyczny przedmiot, który trzymasz w ręku i którego dotykasz. Phishing może skopiować hasło i przekazać kod, ale nie skopiuje klucza, który trzymasz w kieszeni — ani nie sfinguje dotknięcia palcem. Właśnie dlatego działa, gdy wszystko inne przecieka. Załóż go na swoją pocztę e-mail i główną giełdę w tym tygodniu, a także dodaj kopię zapasową. Pozostaje więc tylko pytanie praktyczne: które konto, na którym przechowujesz swoje pieniądze, nadal chronisz kodem, który obcy mógłby dziś wyłudzić?
