Знайомство з YubiKey —
що потрібно знати про найпопулярніші ключі безпеки у світі
Якщо ви помітили, у минулих наших статтях, де ми порушували теми інформаційної безпеки, ми не раз згадували в якості одного з найбільш надійних методів захисту від фішингу та зламу акаунтів ключ безпеки YubiKey або токен. Сьогодні хочемо розповісти більше про їхні види та можливості, як і де їх можна використовувати.
Що таке YubiKey
Ключі безпеки YubiKey — це мініатюрні (не більше флешки) апаратні пристрої Yubico (виробництво Швеції та США), призначені для забезпечення безпечного входу до облікових записів операційних систем або вебдодатків.
Ключі мають такі якості:
- підтримують відкритий бездрайверний протокол для універсальної двофакторної автентифікації (U2F);
- можуть генерувати одноразові паролі (OTP);
- працюють на основі криптографічної системи.
- Ви можете використовувати ключ безпеки як другий фактор, після введення пароля. Це надійніше і швидше, ніж використання інших методів, оскільки ніхто не зможе відкрити ваш обліковий запис без ключа. Ви можете докладніше дізнатися про те, як працює двофакторна автентифікація у нашій статті.
- Ви можете прискорити вхід до облікового запису, використовуючи функцію OTP, замість того, щоб набирати генерований код із додатка. Також, на відміну від багатьох пристроїв, лічильник Yubico OTP завжди синхронізований із сервером, оскільки він зашифрований (не хешується). Крім того, на відміну від SMS-коду, пароль, що генерується ключем, неможливо перехопити.
- Криптографічна система — це різновид асиметричного шифрування, при якому на сервер передається два ключі: відкритий (що передається по доступному для спостереження каналу) і закритий (що читається тільки пристроєм). Закритий ключ використовується для генерації електронного підпису або розшифровки ключа, переданого по відкритому каналу. Порівняти цей принцип можна із замком і ключем від замка: припустимо у клієнта є ключ і замок; щоб клієнт отримав посилку, і дорогою її ніхто не розкрив, він спочатку відправляє замок постачальнику, постачальник замикає посилку цим замком, потім клієнт відмикає замок своїм ключем.
Важливо! Без наявності фізичного ключа безпеки ніхто не зможе потрапити до ваших облікових записів. Навіть якщо шахраю вдасться отримати паролі, він не пройде другий крок перевірки власника облікового запису. Ключі безпеки використовуються співробітниками багатьох IT-корпорацій як найнадійніший метод захисту.
- вибір формфактора (USB-A, USB-C, Lightning);
- є мініатюрні версії практично без корпусу (Nano);
- режим смарткартки;
- підключення через NFC;
- відсутність необхідності у завантаженні драйверів або іншого ПЗ;
- водонепроникність та ударостійкість;
- довговічність внаслідок відсутності батарей чи інших висувних частин, які могли б вийти з ладу під час експлуатації.
Серії ключів YubiKey
Компанія Yubico була заснована ще 2007 року. За цей час було випущено шість поколінь ключів, враховано вразливість попередніх версій та додано нові функції. Коротко розглянемо історію створення версій для розуміння технологічних можливостей та ціноутворення обладнання, яке без перебільшення можна назвати передовим.
На сьогодні залишається актуальною тема управління ланцюжками постачання. Особливо, коли йдеться про IT-компанії, які займаються розробкою ПЗ і є постачальниками послуг для інших бізнесів. Адже проникнення хакерів у корпоративні мережі великих компаній може завдати шкоди величезних масштабів.
Прикладами атак на ланцюжки постачання є напади на SolarWinds (компанія, що займається розробкою промислового програмного забезпечення управління мережами) і Kaseya (компанія, що займається розробками у сфері інформаційної безпеки).
Внаслідок хакерських атак до їхнього коду було внесено вірус-вимагач, який не змогли виявити співробітники виробників. Під прицілом опинилися як самі компанії, так і споживачі послуг. За дешифрування файлів зловмисники вимагали десятки мільйонів доларів.
Традиційно високотехнологічні компанії займаються регулярним усуненням уразливостей, тестуванням, проводять аудити інформаційної безпеки. Проте споживачі дуже залежать від компетенцій вендора. Від його вибору залежить безпека підприємства.
Трохи історії
Перше покоління пристроїв, що працюють на основі криптографії (стандарт шифрування AES), було представлено у 2008 році на конференції RSA – це міжнародна конференція з інформаційної безпеки, де обговорюються проблеми кіберзагроз та порушуються питання захисту інформаційних систем. Наступного року покращена серія ключів уже надійшла у продаж.
До третього покоління ключів YubiKey (YubiKey OATH та YubiKey RFID від 2010 р.) було додано функцію генерації шести- та восьмизначних OTP-паролів. Після цього у 2012 році було випущено серію Nano — мініатюрну версію стандартних ключів, які повністю поміщаються в USB порт і зовсім трохи виступають за межі корпусу пристрою.
У тому ж році з’явилася серія YubiKey Neo, яка вже підтримувала NFC разом із наявністю інших формфакторів. Тобто стало можливим безконтактне підключення ключів YubiKey до пристроїв або робота пристрою як смарткартки. Також у цих пристроїв була підтримка протоколу OpenPGP (стандарт шифрування для електронної пошти та менеджерів паролів) та USB HID емуляція клавіатури. Через два роки серія була оновлена та отримала підтримку протоколу FIDO U2F.
У 2014 році було випущено Security Key, де були відсутні деякі функції, що підтримуються попередніми версіями. Відсутні були, зокрема, OTP-паролі та режим смарткарти. Але й коштували такі ключі значно дешевше (близько $18, а не $50-60 як YubiKey Neo).
Після цього було випущено ще кілька серій у різних варіаціях: якісь відрізнялися формфактором, якісь — функціями. Врешті у покупця з’явився вибір: платити за повний набір можливостей або заощадити, зупинившись на моделі ключа, в якій відсутні функції, менш актуальні для клієнта.
Так тривало до 2018 року, доки не було випущено 5-ту серію з 4 видів ключів у різних формфакторах з підтримкою новітніх на той час протоколів FIDO2/WebAuthn, що дозволяють підключити автентифікацію без введення пароля.
Нарешті у 2021 році з’являється інноваційна та супернадійна розробка YubiKey Bio з двома формфакторами (USB-A, USB-C) – зі сканером відбитків пальців. Вона цікава тим, що навіть у випадку, якщо ключ якимось чином потрапить до рук шахрая, він все одно не зможе його використати.
На цей час виробник залишив у продажу такі серії:
- YubiKey 5;
- YubiKey FIPS;
- Security Key;
- YubiKey Bio;
- YubiHSM 2.
Погляньмо, чим вони відрізняються.
YubiKey 5
Ця серія по суті прийшла на зміну YubiKey Neo і має найширший спектр можливостей. Вона складається із шести типів ключів:
- YubiKey 5 NFC (USB-А);
- YubiKey 5C NFC (USB-С) ;
- YubiKey 5Ci (Lightning);
- YubiKey 5C (USB-С);
- YubiKey 5 Nano (USB-А);
- YubiKey 5C Nano (USB-С).
Характеристики серії:
- вибір ключів з чотирьох формфакторів, що підходять для ваших пристроїв;
- підтримка протоколів FIDO2, U2F, OTP, OpenPGP 3; режим смарткартки;
- стійкість до роздавлювання та водонепроникність IP68.
Ви можете переглянути додаткові характеристики та порівняти ключі безпеки на цій сторінці.
YubiKey FIPS
Ключі цієї серії розроблені спеціально для співробітників великого бізнесу чи державних органів. Вони також мають вибір із шести моделей для різних пристроїв, як і в серії YubiKey 5. Крім того, їх можна пронумерувати для відстеження та надання повноважень певним співробітникам, а при звільненні перепризначати власників ключів.
Ключі надійно захищають від фішингу кібератак та крадіжки облікових даних.
Ключі цієї серії підтримують:
- протоколи двофакторної автентифікації FIDO, FIDO2, FIDO U2F;
- одноразові паролі OTP, при генерації паролів враховується як фактор часу, так і фактор лічильника;
- OATN — режим, що дозволяє зберігати до 32 записів облікових даних;
- режим смарткартки PIV (посвідчення особи);
- можливості: аутентифікації, цифрового підпису, керування ключами, атестації.
Ключі цієї серії також мають надійність і міцність, водонепроникні, можуть зберігатися при температурі від –20 °C до +85 °C. Через особливості даної продукції, вона постачається лише за спецзамовленням (від 50 шт.). Деталі уточнюйте у наших менеджерів.
YubiKey Security Key
- підтримує протоколи FIDO2 та U2F;
- може передавати паролі та підключатися до пристроїв через NFC;
- має ступінь захисту IP68; стійкість до роздавлювання;
- працює з Google, Microsoft, Twitter, Facebook та сотнями інших сервісів.
Особливості серії:
- немає функції OTP;
- не працює у режимі смарткарти;
- не працює із сервісом LastPass.
Докладніший технічний опис ви можете знайти на цій сторінці.
YubiKey Bio
Дана серія поєднує в собі апаратну безпеку та біометричну автентифікацію. Вона підтверджує особу користувача за відбитком пальця, а не за торканням чи дотиком, що визначає присутність користувача як в інших серіях.
Особливості:
- не мають NFC;
- не працюють із сервісом LastPass.
Можливості ключів безпеки цієї серії:
- доступні у двох формфакторах: USB-A та USB-C;
- підтримують протоколи FIDO2/WebAuthn, U2F;
- сумісні з операційними системами та браузерами Windows, MacOS, Chrome OS, Linux, Chrome та Edge;
- додано біометричний сканер і сховище для відбитків в елементі ключа (дані користувачів не передаються на сервер або ще кудись).
YubiHSM 2
YubiHSM 2 — це апаратний модуль, який важить всього 1 г, але здатний чудово захистити від фішингу та кібератак зі спробами зламати ПК для впровадження шкідливого ПЗ. Цей пристрій призначений виключно для захисту серверів, додатків або обчислювальних пристроїв.
Більше інформації про пристрій можна знайти тут.
Можливості:
- розширені криптографічні можливості: RSA, ECC, ECDSA (ed25519), SHA-2, AES;
- захищена сесія між HSM та додатком;
- управління доступом на основі ролей для використання та розподілу ключів;
- 16 одночасних з’єднань;
- можливість надання доступу до мережі та віддалене управління;
- унікальний «nano» формфактор, низьке енергоспоживання;
- упаковування ключів за допомогою коду з постійною вагою (M of N), резервного копіювання та відновлення;
- інтерфейс заснований на YubiHSM KSP, PKCS # 11 та власних бібліотек.
Де придбати YubiKey
Компанія The Kernel є офіційним дистриб’ютором YubiKey в Україні. Тому ви можете замовити ключі оптом для свого бізнесу (співробітників) або для реалізації, звернувшись безпосередньо до наших менеджерів, заповнивши форму на сайті.
Також ми пропонуємо продукцію в роздріб у нашому інтернет-магазині. Якщо у вас залишилися питання, звертайтесь до нашої підтримки на сайті або пишіть тут, у коментарях.