YubiKey: Kripto ve Çok Faktörlü Kimlik Doğrulama için Donanım Güvenlik Anahtarı
Parmak ucunuzla dokunduğunuz küçük bir metal parça, hiçbir şifrenin başaramadığı bir şeyi başardı: Dünyanın en çok saldırıya uğrayan şirketlerinden birinde hesap ele geçirme girişimlerine son verdi. Google, 85.000'den fazla çalışanına YubiKey dağıttıktan sonra, başarılı bir şekilde ele geçirilen personel hesaplarının sayısı sıfıra düştü ve 2017 başından beri bu seviyede kaldı. Donanım tabanlı bir güvenlik anahtarının tüm amacı bu. Antivirüs programı değil ve paranızı saklamıyor. Sizin kim olduğunuzu kanıtlayan fiziksel bir nesne ve kandırılması neredeyse imkansız.
Bu kılavuz, YubiKey'in ne olduğunu, nasıl çalıştığını, SMS ve kimlik doğrulama uygulamalarından neden daha iyi olduğunu ve hırsızların ilk hedef aldığı kripto hesaplarını nasıl güvence altına alacağınızı açıklıyor.
YubiKey Nedir ve Neden Önemlidir?
YubiKey'i hesaplarınız için bir ev anahtarı gibi düşünün, ancak bu kopyalanamaz. 2007'den beri bu cihazları üreten İsveç-Amerikan şirketi Yubico'nun küçük bir donanım güvenlik anahtarıdır. Pil yok. Ekran yok. Sadece bir USB portuna takılan veya NFC üzerinden telefonunuza dokundurulan, parmak ucunuzla bastığınız altın bir diske sahip, flash bellek boyutunda ince bir plastik ve metal parçası.
Bütün mesele o parmak ucunda. Şifre bildiğiniz bir şeydir ve bildiğiniz her şey çalınabilir, sızdırılabilir veya tahmin edilebilir, genellikle üçü birden. YubiKey ise sahip olduğunuz bir şeydir ve birinin cebinden fiziksel bir nesneyi ele geçiremezsiniz. Bu nedenle, iki faktörlü kimlik doğrulama için ikinci bir faktör haline gelir ve oldukça inatçı bir faktördür. Paralarınızı veya dosyalarınızı saklamaz. Giriş yaparken tek bir soruyu yanıtlar ve sonra sessizleşir: Gerçek sahibi şu anda burada mı? Dokunun ve giriş yapın. Dokunmazsanız, çalınan şifre ne kadar mükemmel görünürse görünsün, giriş ekranda kalır.
YubiKey Kimlik Avı Saldırılarını Nasıl Engeller?
İşin püf noktası donanımda değil. Sahte bir web sitesinin cihazdan asla elde edemeyeceği, alan adına bağlı bir imza söz konusu.
Asla unutulmayan bir sır
Bir YubiKey'i bir servise kaydettirdiğinizde, servis sessizce açık anahtar şifrelemesi kullanarak yeni bir anahtar çifti, biri açık diğeri özel, oluşturur. Özel kısım güvenli bir çipe kaydedilir ve asla geri çıkmaz. Ne USB üzerinden, ne cihaz elinizdeyken, asla. Sunucuya yalnızca açık kısım gider. Bundan sonra, her giriş hızlı bir çağrı ve yanıt işlemidir: site rastgele bir meydan okuma gönderir, anahtar bunu kimsenin okuyamayacağı özel kısımla imzalar ve sunucu bu imzayı sakladığı açık kısımla karşılaştırır. Bu, eski U2F üzerine kurulu FIDO2 ve WebAuthn standardıdır ve kimlik bilgilerinizin cihazdan sökülememesinin nedenidir.
Kimlik avı neden işe yaramaz?
Şimdi asıl mesele, kimlik avını etkisiz hale getirmek. Aynı işlemde, tarayıcı anahtara hangi alan adında olduğunuzu da bildirir. YubiKey bunu ilk kaydolduğu siteyle karşılaştırır. Benzer görünümlü bir sayfada alan adı yanlıştır, bu nedenle anahtar kayıtsız kalır ve imzalamayı reddeder. Sahte site sizi tamamen kandırabilir; ancak donanım kandırılamaz ve önemli olan donanımdır. İnsan varlığını kanıtlayan fiziksel bir giriş de eklediğinizde, güvenlik kuruluşlarının kimlik avına dayanıklı kimlik doğrulama olarak adlandırdığı şeye sahip olursunuz. Sahte bir kutuya parola yazılabilir. Alan adına bağlı bir imza ise yazılamaz.
OTP, akıllı kart ve şifreler
Amiral gemisi YubiKey, tek bir dil değil, birden fazla dil konuşabiliyor. Bir uygulamanın gösterdiği altı haneli kodların yanında 44 karakterlik devasa bir Yubico tek kullanımlık şifresi de gönderebiliyor. Ayrıca, kimlik doğrulama uygulamanızın kullandığı TOTP standardıyla aynı olan zamana dayalı tek kullanımlık şifreleri de destekliyor. Kurumsal ve devlet kurumlarının girişlerinde akıllı kart olarak kullanılabiliyor. Ve tamamen şifresiz kimlik doğrulama için parola anahtarlarını saklıyor; burada anahtar, girişin kendisi oluyor, yedek kopyası değil. Bu son özellik hızla yaygınlaşıyor: FIDO Alliance, en iyi 100 web sitesinin neredeyse yarısının zaten parola anahtarlarını kabul ettiğini söylüyor.
| Protokol | Ne işe yarar? | Yerine geçer |
|---|---|---|
| FIDO2 / WebAuthn | Kimlik avına karşı dayanıklı giriş ve parola sistemleri. | Şifreler ve zayıf iki faktörlü kimlik doğrulama |
| U2F | Kökenle bağlantılı ikinci faktör | SMS ve uygulama kodları |
| Yubico OTP | 44 karakterli tek kullanımlık şifre | Kısa kimlik doğrulama kodları |
| TOTP / YEMİN | Anahtar üzerinde saklanan zamana dayalı kodlar | Ayrı bir kimlik doğrulama uygulaması |
| Akıllı kart (PIV) | Sertifika tabanlı giriş | Kurumsal rozet girişleri |
YubiKey'in SMS ve Kimlik Doğrulama Uygulamalarından Daha İyi Olmasının Sebepleri
Diğer tüm yaygın ikinci faktörler gerçek zamanlı olarak sahte bir siteye iletilebilir. Ancak YubiKey ile bu mümkün değildir ve kripto paraların çalınmasının tam olarak bu tek açık noktasında gerçekleşir.
SMS en zayıf halkadır.
Kısa mesajla gönderilen kodlar kullanışlı görünse de en kötü yaygın seçenektir. Kod telefon numaranıza gönderilir ve telefon numaranız çalınabilir. SIM kart dolandırıcılığında, saldırgan operatörünüzü numaranızı kendi SIM kartına taşımaya ikna eder ve ardından kodlarınızı doğrudan ele geçirir. Bu nadir bir durum değildir. İngiltere'de SIM kart dolandırıcılığı 2024 yılında %1055'ten fazla arttı. Bu nedenle CISA ve FBI, SMS'i kimlik avına karşı dirençli çok faktörlü kimlik doğrulama (MFA) olarak kabul etmeyi reddediyor. Para tutan bir hesap için SMS'e güvenmek bir hatadır ve bu, donanım anahtarının kripto para sahipleri için neredeyse herkesten daha önemli olmasının tam nedenidir.
Kimlik doğrulama uygulamalarında bile kimlik avı açığı mevcut.
Kimlik doğrulama uygulamaları, SMS'e göre büyük bir ilerleme kaydediyor ve metin kodunun yanında güçlü iki faktörlü kimlik doğrulama olarak kabul ediliyor, ancak bir zayıflıkları var. Herhangi bir çok faktörlü kimlik doğrulama (MFA) etkinleştirilmeye değer; Microsoft, otomatik saldırıların %99,9'unu engellediğini tespit etti. Yine de, canlı bir insan kimlik avcısının içeri girip giremeyeceğine karar veren şey, türü oluyor. Bir uygulamanın gösterdiği altı haneli kod sadece bir rakam ve bir rakam sahte bir kutuya yazılabilir. Modern bir kimlik avı sayfası kodunuzu istiyor ve 30 saniyelik süre içinde gerçek servise iletiyor. YubiKey bu açığı kapatıyor çünkü imzası gerçek alan adına bağlı ve başka bir yere tekrar oynatılamıyor. Bu teori değil. Google'ın 85.000 çalışanının, donanım anahtarlarının her şeyin yerini aldığı gün kimlik avı saldırılarından kurtulmasının nedeni bu.
| Yöntem | Kimlik avına karşı dayanıklı | SIM kart değişimine dayanıklı | Çevrimdışı çalışır |
|---|---|---|---|
| SMS kodu | HAYIR | HAYIR | HAYIR |
| Kimlik doğrulama uygulaması | HAYIR | Evet | Evet |
| YubiAnahtarı | Evet | Evet | Evet |
Kripto Paralarınızı YubiKey ile Güvenli Hale Getirme
Kripto para dünyasında herkesin elde edeceği fayda şu: YubiKey, SIM kart dolandırıcılarının ve cüzdan boşaltma girişimlerinin ilk hedef aldığı hesapları kilitliyor. Çoğu büyük borsa artık hesap güvenliği için donanım güvenlik anahtarını destekliyor ve Coinbase , Binance, Gemini, OKX, Bybit, Crypto.com ve KuCoin dahil olmak üzere birçoğu tam FIDO2 veya parola girişi sağlıyor. Kraken ve Bitfinex, ikinci faktör olarak donanım anahtarını kabul ediyor. Bunu etkinleştirmek, şifrenizi ve telefon numaranızı bilen bir hırsızın fiziksel anahtar olmadan giriş yapamayacağı anlamına geliyor.
Sadece borsada durmayın. En önemli hesap e-postanızdır; diğer her şey için kurtarma yoludur, bu yüzden önce ona bir anahtar ekleyin. Ardından şifre yöneticinize, sonra borsanıza ve destekleyen tüm cüzdan hizmetlerine ekleyin. Amaç basit: Dolandırıcıların ele geçirebileceği veya müdahale edebileceği bir koda bağlı olan her türlü girişi ortadan kaldırın. Aynı anahtar daha sonra diğer çevrimiçi hizmetlerinizi tek bir alışkanlıkla güvence altına alır ve teknoloji özellikle kimlik avı saldırılarını etkisiz hale getirmek için geliştirildiğinden, cüzdan boşaltıcılarının veya sahte airdrop sayfalarının dayandığı adımı etkisiz hale getirir. Tüm bu çevrimiçi hesaplarda, YubiKey, kimsenin uzaktan kopyalayamayacağı tek kimlik bilgisi haline gelir ve bu da SIM değiştirme ve cüzdan boşaltıcılarının dayandığı kapıyı sessizce kapatır.
YubiKey Modelleri ve Seçim Yöntemleri
Yubico'nun kataloğu, göründüğünden daha az seçenek sunuyor. Üç soru her şeyi çözüyor: Cihazlarınızda hangi bağlantı noktaları var, telefonunuz için NFC istiyor musunuz ve parmak izi okuyucu istiyor musunuz?
Çoğu kişi için cevap, yaklaşık 58 dolarlık YubiKey 5 NFC'dir . Yukarıdaki tüm protokolleri destekler ve size USB-A artı NFC sunar. Tüm cihazlarınız USB-C mi? YubiKey 5C NFC, farklı bir form faktöründe aynı anahtardır. Daha az harcamak mı istiyorsunuz? Yaklaşık 29 dolarlık Security Key, ekstraları çıkarır ve yalnızca FIDO2 ve U2F'yi destekler; bu da kripto para birimleri ve günlük girişler için yeterlidir. Parmak izi mi tercih ediyorsunuz? Yaklaşık 98 dolarlık YubiKey Bio Serisi, PIN gerektirmeyen kullanım için biyometrik sensör ekler ve düzenlenmiş iş yerleri için FIPS serisi de mevcuttur. Hangisine karar verirseniz verin, iki tane alın. İkincisi yedek anahtarınızdır ve ilki çamaşır makinesinden geçtiği gün ona minnettar olacaksınız.
YubiKey'i Kurmak ve Kullanmak
Hesap başına kurulum yaklaşık on dakika sürüyor. Kimsenin sizi uyarmadığı kısım ise yedekleme.
Anahtarınızı kaydetme
Resmi kurulum sayfasından başlayın, bir hizmet seçin ve iki faktörlü veya parola ayarlarını açın. Ardından, anahtarı yapılandırmak için üç yoldan birini seçin: güvenlik anahtarı olarak kaydedin, ona bir parola kaydedin veya bir kimlik doğrulama uygulaması yuvasına yerleştirin. İstendiğinde dokunun ve işlem tamamdır. Çoğu kişi iki Yubikey ve her hesapta birkaç kimlik doğrulama seçeneğiyle sonuçlanır, bu nedenle bir cihazı kaybetmek onları asla kilitler. Aynı anahtar Windows, macOS, Linux, Android ve iOS'ta çalışır, bu nedenle dizüstü bilgisayarınızı ve telefonunuzu aynı şekilde korur. Önce e-postanızı, sonra parola yöneticinizi, sonra da Exchange'inizi yapılandırın. Bu üçü gerçek riskinizin çoğunu kapsar.
Sorun şu: yedeklemeler ve dürüst sınırlar.
YubiKey sihirli bir şey değil ve dezavantajları bilmekte fayda var. Tek bir anahtar kaydederseniz, kaybederseniz kendinizi kilitleyebilirsiniz, bu nedenle her zaman yedek bir anahtar kaydedin veya kurtarma kodlarınızı güvenli bir yerde saklayın. Her yıl liste büyüyor olsa da, henüz her servis donanım anahtarlarını desteklemiyor. Yaklaşık 58 dolarlık bir başlangıç maliyeti var. Ve donanımda hatalar oldu: 2017'de ROCA adı verilen bir hata, 2024'te Infineon sorunu, her ikisi de fiziksel erişim gerektiriyordu ve her ikisi de daha yeni yazılımlarda düzeltildi. Dipnotlar, ama sorun teşkil etmiyorlar. Bunların hiçbiri burada önemli olan tek şeyin, yani uzaktan hesap ele geçirmelerini tamamen engellemenin önüne geçemez.
Kripto para kullanıcıları için YubiKey almaya değer mi?
Kripto para sahibi olan herkes için cevap kesinlikle evet. YubiKey, yaklaşık 58 dolar artı yedekleme ücretiyle tek seferlik bir satın alım olup abonelik gerektirmez. Bunu, bir SIM kart değiştirme veya bir borsa hesabını boşaltan kimlik avı sayfasına karşı tarttığınızda, aradaki fark çok büyük. Bir parola ve kimlik doğrulama uygulaması çıtayı yükseltir; YubiKey MFA ise uzaktan saldırganların ulaşabileceği seviyenin çok ötesine taşır. Çevrimiçi hesaplarınızdan birinde bile para varsa, bu satın alabileceğiniz en ucuz sigortadır.
YubiKey, parmağınızı bir şifreye dönüştürür.
Protokolleri ve model numaralarını bir kenara bırakırsak, YubiKey tek bir şeyi son derece iyi yapar: Giriş bilgilerinizin en güçlü kısmını elinizde tuttuğunuz ve dokunduğunuz fiziksel bir nesne haline getirir. Kimlik avı bir şifreyi kopyalayabilir ve bir kod iletebilir, ancak cebinizde duran bir anahtarı kopyalayamaz veya parmağınızın dokunuşunu taklit edemez. Her şeyin sızdığı yerlerde işe yaramasının tüm nedeni budur. Bu hafta e-postanıza ve ana borsanıza bir tane takın ve bir yedek ekleyin. Öyleyse geriye kalan tek gerçek soru pratik olanıdır: Paranızın bulunduğu hangi hesabı hala bir yabancının bugün kimlik avı yoluyla ele geçirebileceği bir kodla koruyorsunuz?
