YubiKey – wyższy poziom zabezpieczeń

Szacunkowy czas czytania: 4 minut

 

Kilka miesięcy temu pisałam na blogu o dwustopniowym uwierzytelnianiu (2FA). Skupiłam się wtedy na kodach podawanych w SMSach, e-mailach lub w aplikacji Google Authenticator. Te metody zabezpieczenia kont wciąż się sprawdzają, ale wszelkiej maści oszuści nie próżnują i poprzeczka się podnosi, a takie kody coraz łatwiej przechwycić.
W związku z tym dziś nadszedł czas na YubiKey, czyli fizyczny klucz U2F (Universal 2nd Factor) umożliwiający zabezpieczenie dostępu do naszych kont. Od jakiegoś czasu chciałam go kupić, ale wciąż się wahałam. Cena, choć nie porażająco wysoka, też grała swoją rolę (najtańsze klucze to wydatek ok. 150 zł).

Co mnie przekonało? 🙂

W dniach 8-9 kwietnia 2021 odbywały się Warszawskie Dni Informatyki w formie on-line. Obejrzałam tam kilka prelekcji z zakresu cyberbezpieczeństwa i postanowiłam jednak zainwestować w YubiKey. Kupiłam najtańszy model, czyli Security Key NFC. Jego kompatybilność z różnymi serwisami możecie sprawdzić na stronie producenta.

Na razie skonfigurowałam go z Facebookiem, Googlem i GitHubem. Działa zarówno podłączony do portu USB, jak i zdalnie przez NFC (standard komunikacji bliskiego zasięgu – najbardziej znany jest z płatności zbliżeniowych telefonem). Testowałam komunikację na iPhonie 11 i się sprawdza. Listę urządzeń obsługujących NFC znajdziecie na przykład tutaj, ale najlepiej jest upewnić się w dokumentacji danego modelu.

Najważniejsze zalety klucza U2F

Jeśli znacie już 2FA i używacie np. Google Authenticatora, to wiecie, że gdy logujecie się na nowym urządzeniu (lub w trybie incognito) do swojego Gmaila lub Facebooka, to po wpisaniu loginu oraz hasła, pojawia się też okienko na wpisanie jednorazowego kodu z aplikacji. I tu wkracza YubiKey. Jeśli wybierzemy klucz U2F jako metodę dodatkowego zabezpieczenia konta, nie będziemy potrzebować już jednorazowych kodów. Wystarczy, że klucz będzie wpięty w nasze urządzenie lub zbliżymy go do górnej części naszego telefonu.

Ogromnym plusem jest to, że klucz weryfikuje adres serwisu, czyli jeśli nawet sami nie zauważymy, że strona jest fałszywką, to klucz zrobi to za nas. Nie zalogujemy się nim na podstawione, phishingowe stronki. Niestety w przypadku Google Authenticatora czy SMSa takie zagrożenie jest – wystarczy, że na fałszywej stronie, jej autor podstawi nam okienko na kod.

Najważniejsze wady klucza U2F

Coś co mnie bardzo martwi to fakt, że mogę mój klucz gdzieś zapodziać. Dlatego poleca się tworzyć dwa takie same klucze, by jeden był „zapasem” trzymanym w tzw. „pewnym miejscu”. Wiąże się to jednak z kolejnym wydatkiem. Na razie kupiłam tylko jeden klucz i spróbuję funkcjonować na jednym 🙂

Na szczęście, o ile zgubienie klucza może utrudnić nam życie, nie będzie to miało wpływu na bezpieczeństwo naszych kont. Klucz nie przechowuje danych dostępowych, a więc nawet jeśli ktoś go ukradnie/znajdzie, to nie będzie mógł się pod nas podszyć.

Konfiguracja Google

Klucz dodajemy dokładnie w tym samym miejscu co dwuskładnikowe uwierzytelnianie z użyciem Authenticatora, czyli w sekcji security naszego konta Google: https://myaccount.google.com/security

Wchodzimy do sekcji „Weryfikacja dwuetapowa” i tam wybieramy „Klucz bezpieczeństwa” i następnie postępujemy zgodnie ze wskazówkami Google.

 

Konfiguracja Facebooka

Wchodzimy do ustawień security: https://www.facebook.com/settings?tab=security a następnie szukamy tam sekcji „Two-factor authentication” lub „Dwuskładnikowe uwierzytelnianie”. Można także przejść tam bezpośrednio: https://www.facebook.com/security/2fac/settings

Wybieramy opcję „Klucz bezpieczeństwa” / „Security Key” i postępujemy zgodnie ze wskazówkami. Ostatecznie powinniśmy zobaczyć taki ekran jak poniżej.


Mam nadzieję, że udało mi się przybliżyć Wam ideę kluczy U2F. Pamiętajcie, że w obecnych czasach nawet tzw. „mocne hasło” nie uchroni nas przed socjotechniką. A oszustwa w internecie to nie jest wcale praca wysoce wyspecjalizowanych genialnych hakerów-programistów, tylko w większości zwykłe granie na ludzkich emocjach (strach, pośpiech, obietnice wygranej). Każdy może się dać kiedyś złapać!

Opisałam tu klucz Yubico, ponieważ jest to najbardziej znany producent, a klucze są dostępne od ręki np. na Allegro. Natomiast nie jest to jedyny producent. Przykładowo Google ma swojego Titan Security Key. Niestety nie jest dostępny w sklepie Google na terenie Polski.