YubiKey: Аппаратный ключ безопасности для криптографии и многофакторной аутентификации.
Небольшая металлическая защелка, которой вы касаетесь кончиком пальца, сделала то, чего не удавалось ни одному паролю: она предотвратила захват учетных записей в одной из самых атакуемых компаний в мире. После того, как Google передал YubiKey более чем 85 000 сотрудникам , количество успешно взломанных фишинговых учетных записей сотрудников упало до нуля и остается на этом уровне с начала 2017 года. В этом и заключается вся суть аппаратного ключа безопасности. Это не антивирус и он не хранит ваши монеты. Это физический объект, который доказывает вашу личность, и его практически невозможно обмануть.
В этом руководстве объясняется, что такое YubiKey, как он работает, почему он превосходит SMS-сообщения и приложения- аутентификаторы , а также как использовать его для защиты криптовалютных счетов, которые воры выбирают в первую очередь.
Что такое YubiKey и почему это важно
Представьте себе YubiKey как ключ от дома для ваших учетных записей, только этот ключ нельзя скопировать. Это небольшой аппаратный ключ безопасности от компании Yubico, шведско-американской фирмы, которая производит их с 2007 года. Никакой батареи. Никакого экрана. Просто тонкий кусочек пластика и металла размером с флешку, который вставляется в USB-порт или подключается к телефону по технологии NFC, а золотой диск нужно нажимать кончиком пальца.
Вся хитрость в этом — касание кончика пальца. Пароль — это то, что вы знаете, а всё, что вы знаете, может быть украдено, украдено или угадано, часто все три сразу. YubiKey — это то, что у вас есть, а физический предмет из чужого кармана выманить невозможно. Поэтому он становится вторым фактором двухфакторной аутентификации, причём довольно настойчивым. Он не хранит ни ваши монеты, ни ваши файлы. При входе в систему он задаёт один вопрос, а затем замолкает: находится ли здесь настоящий владелец прямо сейчас? Нажмите — и вы войдете. Не нажимайте — и вход просто прервётся на экране, каким бы идеальным ни казался украденный пароль.
Как YubiKey предотвращает фишинг
Хитрость заключается не в оборудовании. Это привязанная к домену сигнатура, которую поддельный веб-сайт никогда не сможет получить с помощью этого устройства.
Тайна, которая никогда не исчезнет.
Зарегистрируйте YubiKey в сервисе, и он незаметно создаст новую пару ключей, одну открытую и одну закрытую, используя криптографию с открытым ключом. Закрытая половина будет записана на защищенный чип и никогда не будет извлечена. Ни через USB, ни с устройством в руках, никогда. Только открытая половина будет отправлена на сервер. После этого каждый вход в систему будет представлять собой быстрый запрос и ответ: сайт отправляет случайный запрос, ключ подписывает его закрытой половиной, которую никто не сможет прочитать, и сервер проверяет эту подпись по отношению к открытой половине, которую он сохранил. Это стандарт FIDO2 и WebAuthn, построенный на основе более старого U2F, и именно поэтому ваши учетные данные нельзя откопать с устройства.
Почему фишинг не работает
Теперь перейдём к тому, что действительно предотвращает фишинг. В ходе этого же обмена данными браузер также сообщает ключу, на каком домене вы находитесь. YubiKey сравнивает его с сайтом, на котором он был первоначально зарегистрирован. На похожей странице домен указан неверно, поэтому ключ пожимает плечами и отказывается подписывать. Вас можно полностью обмануть поддельным сайтом — оборудование не обманывается, а именно оборудование имеет значение. Добавьте к этому физический ввод, подтверждающий присутствие человека, и вы получите то, что специалисты по безопасности называют аутентификацией, устойчивой к фишингу. Пароль можно ввести в поддельное поле. Подпись, привязанная к домену, — нет.
OTP, смарт-карта и ключи доступа
Флагманская модель YubiKey говорит на нескольких языках, а не на одном. Она может генерировать одноразовый пароль Yubico — 44-символьный монстр, который отображается рядом с шестизначными кодами в приложении. Она также поддерживает одноразовые пароли на основе времени, используя тот же стандарт TOTP, что и ваше приложение-аутентификатор. Она работает как смарт-карта для корпоративных и государственных входов в систему. И она хранит ключи доступа для полностью беспарольной аутентификации, где ключом является сам логин, а не его резервная копия. Последнее быстро набирает популярность: по данным FIDO Alliance , почти половина из 100 ведущих веб-сайтов уже принимают ключи доступа.
| Протокол | Что это делает | Заменяет |
|---|---|---|
| FIDO2 / WebAuthn | Устойчивые к фишингу логины и пароли | Пароли и слабая двухфакторная аутентификация |
| U2F | Второй фактор, связанный с происхождением | SMS-коды и коды приложений |
| Yubico OTP | 44-символьный одноразовый пароль | Короткие коды аутентификации |
| TOTP / КЛЯТВА | Временные коды, хранящиеся на ключе. | Отдельное приложение-аутентификатор |
| Смарт-карта (PIV) | Вход в систему на основе сертификатов | Вход по корпоративным бейджам |
Почему YubiKey лучше, чем SMS и приложения-аутентификаторы
Любой другой распространенный второй фактор может быть передан на поддельный сайт в режиме реального времени. YubiKey этого сделать не может, и именно в этом единственном пробеле происходит кража криптовалюты.
SMS — самое слабое звено
Код, отправляемый в SMS, кажется удобным, но это худший из распространенных вариантов. Код отправляется на ваш номер телефона, и ваш номер телефона могут украсть. При подмене SIM-карты злоумышленник убеждает вашего оператора перевести ваш номер на свою SIM-карту, а затем напрямую перехватывает ваши коды. Это не редкий частный случай. Мошенничество с подменой SIM-карт в Великобритании выросло более чем на 1055% в 2024 году. Именно поэтому CISA и ФБР вообще отказываются считать SMS устойчивым к фишингу многофакторным аутентификационным кодом. Для владельца счета, хранящего деньги, доверять SMS — ошибка, и именно эта уязвимость делает аппаратный ключ более важным для владельца криптовалюты, чем для большинства других.
Даже в приложениях-аутентификаторах есть уязвимость для фишинга.
Приложения-аутентификаторы — это значительный шаг вперед по сравнению с SMS и считаются надежной двухфакторной аутентификацией наряду с текстовым кодом, но у них есть один недостаток. Любая многофакторная аутентификация заслуживает включения; Microsoft обнаружила, что она блокирует 99,9% автоматизированных атак. Тем не менее, тип приложения определяет, сможет ли живой фишер пройти через него. Шестизначный код, отображаемый приложением, — это всего лишь число, а число можно ввести в поддельное поле. Современная фишинговая страница запрашивает ваш код и передает его реальному сервису в течение 30 секунд. YubiKey закрывает эту лазейку, потому что его подпись привязана к реальному домену и не может быть воспроизведена на другом. Это не теория. Именно поэтому 85 000 сотрудников Google перестали подвергаться фишингу в тот день, когда аппаратные ключи заменили все остальное.
| Метод | Устойчивость к фишингу | Защита от подмены SIM-карты | Работает в автономном режиме |
|---|---|---|---|
| SMS-код | Нет | Нет | Нет |
| Приложение-аутентификатор | Нет | Да | Да |
| YubiKey | Да | Да | Да |
Использование YubiKey для защиты вашей криптовалюты
Вот выгода для всех, кто работает с криптовалютой: YubiKey блокирует именно те учетные записи, которые в первую очередь выбирают мошенники, подменяющие SIM-карты, и злоумышленники, опустошающие кошельки. Большинство крупных бирж теперь поддерживают аппаратный ключ безопасности для защиты учетных записей, а некоторые позволяют использовать полный вход через FIDO2 или пароль, включая Coinbase , Binance, Gemini, OKX, Bybit, Crypto.com и KuCoin. Kraken и Bitfinex принимают аппаратный ключ в качестве второго фактора. Включение этой функции означает, что вор, имеющий ваш пароль и номер телефона, все равно не сможет получить доступ без физического ключа.
Не ограничивайтесь только биржей. Самый важный аккаунт — это ваша электронная почта, поскольку она является путем восстановления для всего остального, поэтому сначала создайте для нее ключ. Затем добавьте его в свой менеджер паролей, после этого — на биржу и в любой поддерживаемый ею сервис кошелька. Цель проста: удалить все входы в систему, которые зависят только от кода, который мошенник может подделать или перехватить. Тот же ключ затем защитит ваши другие онлайн-сервисы с помощью одной привычки, и, поскольку технология была разработана специально для борьбы с фишинговыми атаками, она нейтрализует именно тот шаг, на который полагаются мошенники, выкачивающие деньги из кошелька, или поддельные страницы аирдропов. Во всех этих онлайн-аккаунтах YubiKey становится единственными учетными данными, которые никто не может скопировать удаленно, что незаметно закрывает дверь для подмен SIM-карт и мошенников, выкачивающих деньги из кошелька.
Модели YubiKey и как их выбрать
Каталог продукции Yubico выглядит страшнее, чем есть на самом деле. Решить всё можно тремя вопросами: какие порты есть у ваших устройств, нужен ли вам NFC для телефона и нужен ли вам сканер отпечатков пальцев.
Для большинства людей ответом станет YubiKey 5 NFC примерно за 58 долларов. Он поддерживает все вышеперечисленные протоколы и обеспечивает работу через USB-A плюс NFC. Все ваши устройства имеют разъем USB-C? YubiKey 5C NFC — это тот же ключ, но в другом форм-факторе. Хотите сэкономить? Security Key примерно за 29 долларов обходится без дополнительных функций и работает только с FIDO2 и U2F, чего вполне достаточно для работы с криптовалютой и повседневных учетных записей. Предпочитаете отпечаток пальца? YubiKey Bio Series, около 98 долларов, добавляет биометрический датчик для использования без PIN-кода, а также есть линейка, соответствующая стандарту FIPS, для регулируемых рабочих мест. Что бы вы ни выбрали, купите два. Второй — ваш резервный, и вы будете благодарны ему в тот день, когда первый придет в негодность.
Настройка и использование YubiKey
Настройка каждой учетной записи занимает около десяти минут. Но никто не предупреждает о резервном копировании.
Регистрация вашего ключа
Начните с официальной страницы настройки, выберите сервис и откройте его настройки двухфакторной аутентификации или пароля. Затем выберите один из трех способов настройки ключа: зарегистрируйте его как ключ безопасности, сохраните пароль или поместите его в слот приложения-аутентификатора. Нажмите, когда появится запрос, и готово. У большинства пользователей в итоге оказывается два YubiKey и несколько вариантов аутентификации для каждой учетной записи, поэтому потеря одного устройства никогда не приведет к блокировке доступа. Один и тот же ключ работает на Windows, macOS, Linux, Android и iOS, поэтому он защищает как ваш ноутбук, так и ваш телефон. Сначала настройте свою электронную почту, затем менеджер паролей, а затем Exchange. Эти три варианта покрывают большую часть реальных рисков.
Подвох в том, чтобы иметь запасные варианты и честные ограничения.
YubiKey — это не волшебство, и о компромиссах стоит знать. Зарегистрируйте один ключ, потеряете его — и вы можете заблокировать себе доступ, поэтому всегда регистрируйте запасной или храните коды восстановления в надежном месте. Не все сервисы пока поддерживают аппаратные ключи, хотя этот список ежегодно пополняется. Есть первоначальная стоимость, примерно 58 долларов. И у аппаратного обеспечения были ошибки: уязвимость ROCA 2017 года, проблема Infineon 2024 года, обе требовали физического доступа и обе были исправлены в более новых версиях прошивки. Это лишь примечания, а не критические недостатки. Ни один из них не перевешивает то, что здесь действительно важно, — это полная защита от удаленного захвата учетных записей.
Стоит ли покупать YubiKey пользователям криптовалют?
Для тех, кто владеет криптовалютой, ответ однозначно положительный. YubiKey — это разовая покупка, около 58 долларов плюс резервная копия, без подписки. Сравните это с одной заменой SIM-карты или фишинговой страницей, которая опустошает счет на бирже, и разница будет огромной. Пароль и приложение-аутентификатор повышают уровень защиты; многофакторная аутентификация YubiKey поднимает его настолько высоко, что удаленные злоумышленники вообще не могут до него добраться. Если хотя бы на одном из ваших онлайн-счетов хранятся деньги, это самая дешевая страховка, которую вы когда-либо купите.
YubiKey превращает ваш палец в пароль.
Если отбросить протоколы и номера моделей, YubiKey отлично справляется с одной задачей: он делает самую надежную часть вашей системы авторизации физическим объектом, который вы держите в руках и трогаете. Фишинг может скопировать пароль и передать код, но он не может скопировать ключ, лежащий у вас в кармане, или подделать касание пальца. Именно поэтому он работает там, где все остальное может дать сбой. Установите его на свою электронную почту и основной аккаунт на бирже на этой неделе, а также добавьте резервный. Таким образом, остается только практический вопрос: какой счет, на котором хранятся ваши деньги, вы по-прежнему защищаете кодом, который сегодня может подделать посторонний?
