YubiKey: Апаратний ключ безпеки для криптовалют та багатофакторної автентичності
Невеликий металевий язичок, якого ви торкаєтеся кінчиком пальця, зробив те, що жодному паролю ніколи не вдавалося: він поклав край захопленню облікових записів в одній з найбільш атакованих компаній у світі. Після того, як Google надав YubiKey понад 85 000 співробітникам , кількість успішно викрадених облікових записів співробітників впала до нуля і залишалася на цьому рівні з початку 2017 року. У цьому вся суть апаратного ключа безпеки. Це не антивірус і він не зберігає ваші монети. Це фізичний об'єкт, який доводить, що ви — це ви, і його майже неможливо обдурити.
У цьому посібнику пояснюється, що таке YubiKey, як він насправді працює, чому він кращий за SMS та програми автентифікації , а також як використовувати його для блокування крипто-акаунтів, на які злодії націлюються в першу чергу.
Що таке YubiKey і чому це важливо
Уявіть собі YubiKey як ключ від дому для ваших облікових записів, але цей не можна скопіювати. Це невеликий апаратний ключ безпеки від Yubico, шведсько-американської компанії, яка виробляє їх з 2007 року. Без батареї. Без екрана. Просто шматочок пластику та металу розміром з флешку, який вставляється в USB-порт або додається до телефону через NFC, за допомогою золотого диска, який ви натискаєте кінчиком пальця.
У цьому кінчику пальця і полягає весь фокус. Пароль – це те, що ви знаєте, і все, що ви знаєте, може бути вкрадено, розголошено або вгадано, часто все це одночасно. YubiKey – це те, що у вас є, і ви не можете викрасти фізичний об’єкт з чиєїсь кишені. Тож він стає другим фактором для двофакторної автентифікації, і впертим фактором. Він не зберігає жодної з ваших монет і жодного з ваших файлів. Під час входу він відповідає на одне питання, а потім замовкає: чи стоїть тут справжній власник? Натисніть, і ви ввійшли. Не робіть цього, і пароль для входу просто зникає на екрані, яким би ідеальним не виглядав вкрадений пароль.
Як працює YubiKey для запобігання фішингу
Найрозумніше не в апаратному забезпеченні. Це підпис, пов’язаний з доменом, який підроблений вебсайт ніколи не зможе виманити з пристрою.
Таємниця, яка ніколи не покидає нас
Зареєструйте YubiKey у сервісі, і він непомітно створить нову пару ключів, один відкритий, а один приватний, використовуючи криптографію з відкритим ключем. Приватна половина записується в захищений чіп і ніколи не повертається назад. Ні через USB, ні з пристроєм у ваших руках, ні ніколи. На сервер надходить лише публічна половина. Після цього кожен вхід – це швидкий виклик і відповідь: сайт кидає випадковий виклик, ключ підписує його приватною половиною, яку ніхто не може прочитати, а сервер перевіряє цей підпис з публічною половиною, яку він зберіг. Це стандарт FIDO2 та WebAuthn, побудований на старому U2F, і саме тому ваші облікові дані не можна зняти з пристрою.
Чому фішинг не працює
Тепер та частина, яка фактично знищує фішинг. У цьому ж обміні браузер також повідомляє ключу, на якому домені ви знаходитесь. YubiKey порівнює його з сайтом, на якому він спочатку зареєструвався. На схожій сторінці домен неправильний, тому ключ знизує плечима та відмовляється підписувати. Вас може повністю обдурити фальшивий сайт — апаратне забезпечення — ні, а саме апаратне забезпечення має значення. Додайте фізичний дотик, який доводить присутність людини, і ви отримаєте те, що служби безпеки називають автентифікацією, стійкою до фішингу. Пароль можна ввести у підроблене поле. Підпис, пов'язаний з доменом, — ні.
OTP, смарт-картка та ключі доступу
Флагманський YubiKey розмовляє кількома мовами, а не однією. Він може генерувати одноразовий пароль Yubico – 44-символьний монстр поруч із шестизначними кодами, які показує додаток. Він також використовує одноразові паролі на основі часу, той самий стандарт TOTP, який використовує ваш додаток для автентифікації. Він відтворює смарт-картки для корпоративних та урядових входів. І він зберігає ключі доступу для повністю безпарольної автентифікації, де ключем є логін, а не його резервна копія. Останній спосіб швидко набирає популярності: FIDO Alliance стверджує, що майже половина зі 100 найкращих веб-сайтів вже приймають ключі доступу.
| Протокол | Що це робить | Замінює |
|---|---|---|
| FIDO2 / Веб-автентифікація | Вхід та паролі, стійкі до фішингу | Паролі та слабка 2FA |
| U2F | Другий фактор, пов'язаний з походженням | SMS та коди додатків |
| Одноразовий пароль Yubico | 44-символьний одноразовий пароль | Короткі коди автентифікатора |
| TOTP / ПРИСЯГА | Коди з часовими обмеженнями, що зберігаються на ключі | Окремий додаток для автентифікації |
| Смарт-картка (PIV) | Вхід на основі сертифіката | Вхід для корпоративних бейджів |
Чому YubiKey перевершує програми SMS та автентифікатора
Будь-який інший поширений другий фактор можна передати на підроблений сайт у режимі реального часу. YubiKey — ні, і саме з цього єдиного прогалини крадуть криптовалюту.
SMS – найслабша ланка
Код у текстовому повідомленні здається зручним і є найгіршим поширеним варіантом. Код надсилається на ваш номер телефону, і ваш номер телефону може бути отриманий у вас. Під час заміни SIM-картки зловмисник переконує вашого оператора перенести ваш номер на свою SIM-картку, а потім безпосередньо перехоплює ваші коди. Це не рідкісний граничний випадок. Шахрайство із заміною SIM-картки у Великій Британії зросло більш ніж на 1055% у 2024 році. Саме тому CISA та ФБР взагалі відмовляються вважати SMS стійким до фішингу MFA. Для рахунку, на якому зберігаються гроші, довіра до SMS є помилкою, і саме ця слабкість робить апаратний ключ більш важливим для власника криптовалюти, ніж для майже будь-кого іншого.
Навіть програми для автентифікації мають прогалину у фішингу
Програми-автентифікатори – це великий крок вперед порівняно з SMS і вважаються надійною двофакторною автентифікацією поруч із текстовим кодом, але вони мають одну слабкість. Варто ввімкнути будь-яку багатофакторну автентифікацію (MFA); Microsoft виявила, що вона блокує 99,9% автоматизованих атак. Тим не менш, саме цей тип вирішує, чи пройде фішер-живий користувач. Шестизначний код, який показує програма, – це просто число, і число можна ввести у фальшиве поле. Сучасна фішингова сторінка запитує ваш код і передає його справжньому сервісу протягом 30-секундного вікна. YubiKey закриває цю діру, оскільки його підпис прив’язаний до справжнього домену і не може бути відтворений на іншому. Це не теорія. Саме тому 85 000 співробітників Google перестали отримувати фішингові атаки того дня, коли апаратні ключі замінили все інше.
| Метод | Захист від фішингу | Захист від заміни SIM-картки | Працює офлайн |
|---|---|---|---|
| SMS-код | Ні | Ні | Ні |
| Додаток для автентифікації | Ні | Так | Так |
| ЮбіКей | Так | Так | Так |
Використання YubiKey для захисту вашої криптовалюти
Ось що виходить з цього для кожного, хто працює в криптовалюті: YubiKey блокує саме ті облікові записи, на які в першу чергу спрямовані операції зі свопами SIM-карт та зливом гаманців. Більшість великих бірж зараз підтримують апаратний ключ безпеки для захисту облікового запису, а деякі дозволяють повний вхід за допомогою FIDO2 або пароля, включаючи Coinbase , Binance, Gemini, OKX, Bybit, Crypto.com та KuCoin. Kraken та Bitfinex приймають апаратний ключ як другий фактор. Якщо ввімкнути його, злодій, який має ваш пароль і номер телефону, все одно не зможе увійти без фізичного ключа.
Не зупиняйтеся на біржі. Найважливіший обліковий запис — це ваша електронна пошта, це шлях відновлення для всього іншого, тому спочатку додайте ключ до неї. Далі додайте його до менеджера паролів, потім до біржі та будь-якого сервісу гаманця, який його підтримує. Мета проста: видалити кожен логін, який залежить лише від коду, який шахрай може використати фішинг або перехопити. Той самий ключ потім захищає ваші інші онлайн-сервіси за допомогою однієї звички, і оскільки технологія була створена спеціально для боротьби з фішинговими атаками, вона нейтралізує саме той крок, на який покладається злив гаманця або сторінка фальшивого airdrop. У всіх цих онлайн-акаунтах YubiKey стає єдиним обліковим записом, який ніхто не може скопіювати віддалено, що непомітно зачиняє двері, на які покладаються заміна SIM-карт та зливи.
Моделі YubiKey та як їх вибрати
Каталог Yubico виглядає страшнішим, ніж є насправді. Вирішують три питання: які порти мають ваші пристрої, чи потрібен вам NFC для вашого телефону та чи потрібен вам сканер відбитків пальців.
Для більшості людей відповіддю буде YubiKey 5 NFC за ціною близько 58 доларів. Він підтримує всі перераховані вище протоколи та надає вам USB-A плюс NFC. Усе ваше обладнання має USB-C? YubiKey 5C NFC — це той самий ключ, але в іншому форм-факторі. Хочете витратити менше? Ключ безпеки за ціною близько 29 доларів позбавлений додаткових функцій та працює лише з FIDO2 та U2F, чого достатньо для криптовалют та щоденного входу. Віддаєте перевагу відбитку пальця? YubiKey Bio Series за ціною близько 98 доларів додає біометричний датчик для використання без PIN-коду, а також має лінійку FIPS для регульованих робочих місць. Що б ви не обрали, купуйте два. Другий — це ваша резервна копія, і ви будете вдячні за нього того дня, коли перший пройде повну обробку.
Налаштування та використання YubiKey
Налаштування займає близько десяти хвилин для кожного облікового запису. Про що вас ніхто не попереджає, так це про резервне копіювання.
Реєстрація вашого ключа
Почніть з офіційної сторінки налаштувань, виберіть сервіс і відкрийте його налаштування двофакторної аутентифікації або ключа доступу. Потім виберіть один із трьох шляхів налаштування ключа: зареєструйте його як ключ безпеки, збережіть для нього ключ доступу або вставте його в слот програми-автентифікатора. Натисніть, коли з’явиться запит, і все готово. Більшість людей мають два yubikey та кілька варіантів автентифікації для кожного облікового запису, тому втрата одного пристрою ніколи не блокує їх. Один і той самий ключ працює у Windows, macOS, Linux, Android та iOS, тому він захищає ваш ноутбук і телефон. Спочатку перевірте електронну пошту, потім менеджер паролів, а потім обмін паролями. Ці три варіанти покривають більшу частину вашого реального ризику.
Загвоздка: резервні копії та чесні ліміти
YubiKey — це не магія, і варто знати про всі недоліки. Зареєструйте один ключ, втратите його, і ви можете втратити доступ до облікового запису, тому завжди реєструйте запасний або зберігайте коди відновлення в безпечному місці. Не кожен сервіс підтримує апаратні ключі, хоча список щороку зростає. Є ще й початкові витрати, приблизно 58 доларів. А в апаратному забезпеченні є помилки: недолік 2017 року під назвою ROCA, проблема Infineon 2024 року, обидва вимагають фізичного доступу та обидва виправлені в новішій прошивці. Виноски, а не вирішальні фактори. Жоден з них не переважає єдиного, що тут важливо, а саме — зупинити віддалене захоплення облікового запису.
Чи вартий YubiKey для користувачів криптовалют?
Для тих, хто володіє криптовалютою, відповідь проста – так. YubiKey – це одноразова покупка, приблизно за 58 доларів плюс резервна копія, без підписки. Порівняйте це з однією заміною SIM-картки або фішинговою сторінкою, яка спустошує обліковий запис біржі, і математика буде не такою вже й близькою. Пароль і додаток для автентифікації піднімають планку; YubiKey MFA піднімає її вище меж, до яких віддалені зловмисники взагалі можуть дістатися. Якщо навіть на одному з ваших онлайн-рахунків є гроші, це найдешевша страховка, яку ви коли-небудь купували.
YubiKey перетворює ваш палець на пароль
Якщо відкинути протоколи та номери моделей, то YubiKey чудово виконує одну річ: він перетворює найсильнішу частину вашого логіна на фізичний об'єкт, який ви тримаєте та до якого торкаєтеся. Фішинг може скопіювати пароль і передати код, але він не може скопіювати ключ, що лежить у вашій кишені, або підробити дотик пальця. Саме тому він працює там, де все інше витікає. Встановіть його на свою електронну пошту та основну біржу цього тижня, а також додайте резервну копію. Тож єдине реальне питання, що залишилося, — це практичне: який обліковий запис, на якому зберігаються ваші гроші, ви все ще захищаєте кодом, який незнайомець міг би здійснити фішинг сьогодні?
