YubiKeys to fizyczne urządzenia zabezpieczające, które pomagają chronić konta użytkowników. Tego rodzaju urządzenia są często określane jako sprzętowy klucz bezpieczeństwa lub token sprzętowy. Obsługują różnorodne aplikacje i standardy kryptograficzne. Często są używane jako dodatkowa warstwa zabezpieczeń kont i systemów online, umożliwiając uwierzytelnianie dwuskładnikowe (2FA) lub uwierzytelnianie wieloskładnikowe (MFA).
YubiKey utrudnia atakującym ponowne wykorzystanie danych uwierzytelniających uzyskanych w wyniku phishingu, wprowadzając drugi czynnik uwierzytelniania, który jest trudny do sfałszowania ze względu na mechanizm wyzwanie-odpowiedź.
W jakim celu używać tokena sprzętowego do uwierzytelniania wieloskładnikowego?
Zwiększone bezpieczeństwo: MFA zapewnia wyższe gwarancje bezpieczeństwa niż uwierzytelnianie jednoskładnikowe. Tokeny sprzętowe są mniej podatne na zagrożenia i mogą wytrzymać szerszy zakres zagrożeń w porównaniu do haseł.
Poziom pewności uwierzytelnienia: Tokeny sprzętowe są często zalecane w przypadku wyższych AAL , takich jak AAL3 dla systemów o podwyższonych wymaganiach bezpieczeństwa.
Zgodność: Tokeny sprzętowe zaprojektowano tak, aby bezproblemowo współpracowały z różnymi systemami operacyjnymi obsługującymi standardy FIDO U2F i FIDO2, w tym Windows, macOS, Linux, Android i iOS, a także dużymi platformami internetowymi, takimi jak Google, Apple, AWS, Azure.
Przenośność: tokeny sprzętowe są małe i lekkie.
Rozszerzalność: tokeny sprzętowe obsługują wiele protokołów i można ich używać na różne sposoby za pośrednictwem USB, NFC i Bluetooth. Dzięki temu są one wysoce rozszerzalne w zakresie tworzenia i zabezpieczania niestandardowych rozwiązań do uwierzytelniania i zarządzania tożsamością.
Poleganie na kryptografii: Tokeny sprzętowe opierają się na kryptografii w celu ochrony wrażliwych danych i zaawansowanych środkach bezpieczeństwa fizycznego w celu ochrony przechowywanych kluczy.
Yubikey: Architektura i możliwości
Architektura YubiKey została zaprojektowana tak, aby zapewnić wysoki poziom bezpieczeństwa i być kompatybilna z szeroką gamą urządzeń i aplikacji. Na poziomie podstawowym YubiKey jest mikrokomputerem obsługującym wiele protokołów transportowych. Posiada bezpieczny element odporny na manipulacje (koprocesor kryptograficzny), który może przechowywać ograniczoną ilość danych i wykonywać operacje kryptograficzne.
Rodzina protokołów uwierzytelniania FIDO: FIDO U2F, FIDO2 (bez hasła)
Rodzina protokołów uwierzytelniania FIDO to zestaw otwartych standardów, zaprojektowanych w celu poprawy bezpieczeństwa i wygody uwierzytelniania online. Dwa najbardziej znane protokoły FIDO to FIDO U2F i FIDO2
Protokół FIDO2 jest ewolucją FIDO U2F, zaprojektowaną w celu usunięcia niektórych jego ograniczeń. Na przykład FIDO U2F może być używane tylko jako drugi czynnik, podczas gdy FIDO2 może być używane jako główna metoda uwierzytelniania, eliminując w ten sposób potrzebę zapamiętywania i wpisywania hasła.
Uwierzytelnianie dwuskładnikowe w FIDO U2F
Jak działa FIDO U2F:
Uwierzytelniacz FIDO: token sprzętowy, który generuje asymetryczną parę kluczy i wystawia podpisy kryptograficzne.
Klient FIDO: Często przeglądarka, która przekazuje i weryfikuje komunikaty między wystawcą uwierzytelnienia a stroną uzależnioną.
Strona uzależniona: Usługa, do której użytkownik chce uzyskać dostęp. Należy pamiętać, że w rzeczywistości może istnieć wiele usług uwierzytelniających użytkowników i weryfikujących autentyczność tokenów.
FIDO U2F można wykorzystać jedynie jako drugi czynnik, ponieważ usługa musi już znać tożsamość użytkownika przed rozpoczęciem uwierzytelniania.
FIDO U2F wykorzystuje token sprzętowy do generowania podpisów kryptograficznych w celu uwierzytelnienia. Podczas rejestracji użytkownik generuje parę kluczy i wysyła klucz publiczny do usługi. Następnie podczas procesu uwierzytelniania usługa wysyła wyzwanie do użytkownika, który podpisuje je tokenem i odsyła podpis do usługi. Usługa weryfikuje podpis za pomocą klucza publicznego użytkownika.
Budowanie bezpiecznego uwierzytelniania za pomocą FIDO U2F i YubiKey
Polegając na FIDO U2F i YubiKey do tworzenia bezpiecznego uwierzytelniania, należy pamiętać o kilku ważnych kwestiach podczas korzystania z YubiKey FIDO U2F:
U2F nie chroni użytkowników przed ujawnieniem hasła: na przykład użytkownik może zostać przekierowany na stronę phishingową, gdzie ujawni swoje hasło. Próba phishingu zostanie wykryta na etapie uwierzytelnienia U2F.
U2F nie jest odporny na kradzież urządzenia: Skradzione urządzenie U2F może zostać wykorzystane przez atakującego, jeśli protokół U2F wymaga jedynie „testu obecności użytkownika” w celu przeprowadzenia operacji rejestracji i uwierzytelnienia. W takim przypadku nie jest zapewniona weryfikacja uchwytu urządzenia U2F. Jednakże w przypadku YubiKey istnieje możliwość podania kodu PIN w celu weryfikacji użytkownika.
Użytkownicy są odpowiedzialni za utworzenie kopii zapasowej swojego urządzenia, aby móc uwierzytelnić się w przypadku utraty głównego urządzenia. Na przykład użytkownicy powinni mieć możliwość zarejestrowania co najmniej dwóch urządzeń U2F u każdego usługodawcy. Bezpieczne wdrażanie innych metod awaryjnych powinno zostać odpowiednio zaprojektowane i przeanalizowane.