פרסומת

כאשר מספר אירועי הפריצה הולכים וגדלים מיום ליום, כולם צריכים להשתמש אימות דו-שלבי / שני גורמים (2FA) מה זה אימות דו-גורמי, ומדוע עליך להשתמש בואימות דו-גורמי (2FA) הוא שיטת אבטחה הדורשת שתי דרכים שונות להוכחת זהותך. הוא נפוץ בחיי היומיום. למשל תשלום בכרטיס אשראי לא רק מחייב את הכרטיס, ... קרא עוד . זה מוסיף שכבה מוגנת כדורים סביב חשבונך המקוון, מה שמקשה מאוד על האקר לחדור דרך ההאקר.

dropboxyubico

אבל אנשים רבים מודחים משימוש ב- 2FA, פשוט בגלל אי ​​הנוחות האם אימות דו-שלבי יכול להיות פחות מעצבן? ארבעה פריצות סודיות המובטחות לשיפור האבטחההאם אתה רוצה אבטחת חשבונות מוגנת נגד כדורים? אני ממליץ לאפשר מה שמכונה אימות "שני גורמים". קרא עוד של צורך לקבל קוד שני מהטלפון שלהם, בכל פעם שהם רוצים להתחבר. אז אנשים משביתים את התכונה, או שהם לא טורחים להגדיר אותה מלכתחילה. אבל אתה צריך, כמו חברות רבות עולים עכשיו עם הרעיון.

אם אתה סופר את עצמך בקבוצה "בקלות לא נוחה", אתה תשמח לשמוע שיש אפשרות אחרת במקום 2FA. אפשרות זו שומרת על חשבונך באותה מידה, אך כל שעליך לעשות הוא ללחוץ על כפתור ולהיכנס אליו. זה נקרא יובי, ואחרי מספר ימים של שימוש בו, אני כבר מומר. מותק, היית לי שלום.

instagram viewer

מה זה YubiKey?

yubikey

YubiKey הוא מקל דמוי USB, מתוצרת החברה יוביקו. הם מייצרים מוצרים שונים שכולם מבצעים עבודות דומות. אך לעניין מאמר זה, אני מתמקד בנושא פידו U2F, (אוניברסלי דו-פקטורי) שהוא זה שקיבלתי. קל להתקנה ולשימוש, וכנראה שכך בלתי ניתן להריסה.

מהאתר:

"כל ה- YubiKeys כמעט בלתי ניתנים להריסה. YubiKey בגודל הסטנדרטי (כגון YubiKey Standard, YubiKey NEO, YubiKey Edge ו- FIDO U2F Key Security) הוא עשוי מפלסטיק מעוצב הזרקה המעטפת את המעגלים, ואילו האלמנטים החשופים מורכבים מקשיחים בדרגה צבאית זהב. YubiKey בגודל סטנדרטי עמיד למים וריסוס, מתחבר למחזיק המפתחות שלך לצד מפתחות הבית ומכונית ".

yubikey_waterproof

זה די קטן, עדין למראה, וסליחה על כך שאתה מטיל ספק בטענה ה"בלתי ניתנת להפרעה ". במשקל של 3 גרם בלבד, המדידות שלו הן רק 18 מ"מ x 45 מ"מ x 3 מ"מ. אבל המפתח הקטן הזה, יחד עם אחסון כל הסיסמאות שלי ב- KeePass, גרם לפתע להיכנס לחשבונות ללא כאבים ונטולי עצבנות. גוגל ופייסבוק משתמשים ב- YubiKey לצורך אישורי עובדים, כך שלקונספט יש כמה מפגשים כבדים מאוד מאחוריו, ומגבים אותו. גוגל הציגו אותו למשתמשים שלהם בשנת 2014.

איך זה עובד?

ה- YubiKey הוא פיסת חומרה התומכת בסיסמאות חד פעמיות, קידוד ואימות מפתח ציבורי, ובפרוטוקול Universal 2nd Factor (U2F) שפותח על ידי ה- ברית FIDO. אתה יכול להשתמש בו כדי להתחבר באופן מאובטח לחשבונות הנתמכים שלך באמצעות סיסמה חד פעמית או באמצעות FIDO צמד מפתחות ציבורי / פרטי כיצד הצפנה עובדת והאם זה באמת בטוח? קרא עוד שנוצר על ידי המכשיר. לאחר כניסה למפתח, לוחצים על כפתור הזהב ומגע האצבע מעניק מטען חשמלי קטן שמפעיל את המכשיר.

איך אתה מגדיר את זה?

קל מאוד להתקין YubiKey, כפי שתראו בהמשך. מפתח U2F עובד עבור חשבונות Google, Dropbox, גיתוב מה כן ומדוע עליך להשתמש בבקרת גרסאות אם אתה מפתחכמפתחי אתרים, הרבה זמן אנו נוטים לעבוד על אתרי פיתוח מקומיים ואז פשוט מעלים את הכל כשסיימנו. זה בסדר כשזה רק אתה והשינויים קטנים, ... קרא עוד , ו דשלאן Dashlane - מנהל סיסמאות חדש וחלקלק, מילוי טפסים ועוזר קניות באינטרנטאם ניסית בעבר כמה מנהלי סיסמאות, כנראה שלמדת לצפות לחספוס כלשהו בקצוות. הם אפליקציות יציבות ושימושיות, אך הממשקים שלהם יכולים להיות מורכבים מדי ולא נוחים. דשליין לא רק מקטין ... קרא עוד . לעניין מאמר זה, אני הולך עם חשבונות גוגל, אך האחרים פחות או יותר ינהגו באותו נוהל. פשוט צילומי מסך שונים.

לכו אל דף האימות הדו-שלבי של גוגל ולחצו על מפתחות אבטחה כרטיסייה.

yubikey1

לאחר מכן זה לוקח אותך לדף ההתקנה. עקוב אחר ההוראות כמפורט בדף. הכל בסיסי מאוד וברור.

yubikey2

כאשר המפתח נרשם בהצלחה, מקש "הרשמה" בתחתית יהפוך לירוק ויציג "רשום". אם זה לא, התחל שוב מההתחלה עד שזה יקרה.

yubikey3

אתה יכול לבדוק אם המפתח נרשם בהצלחה על ידי חזרה אל מפתחות אבטחה כרטיסייה.

yubikey4

וזה, גבירותיי ורבותיי, זהו.

מה אם תיכנס באמצעות טלפון חכם או טאבלט?

אייפון

זה היה אחד הדברים הראשונים שעלו לראש. אני נכנס לכל חשבונות Google שלי הרבה במכשירי iOS שלי. מכשירי ה- iDevices שלי נפלאים והכל, אבל החולשה היחידה שיש להם היא שאין להם יציאת USB. אז לאן YubiKey הולך כשזה שואל אותי?

לאחר בדיקה עם החברה נראה כי אם אתה מתחבר לחשבונך באמצעות טלפון או טאבלט, ה- YubiKey מזהה זאת, ומסך ההתחברות יוגדר כברירת מחדל באופן אוטומטי לשיטת אימות 2 גורמים (סמס, אותנטי, או המאמת של גוגל גוגל ממליצה על תהליך דו-שלבי להגנה על חשבונך [חדשות]לרוב משתמשי האינטרנט המוכשרים יש ככל הנראה חשבון גוגל אחד לפחות - בעיקר מכיוון שגוגל, לטוב ולרע, חוצה דרכים עם כל כך הרבה אתרים אחרים, שקשה להימנע מאי שימוש ב ... קרא עוד ). YubiKey עצמו יתבקש רק אם הוא מגלה שאתה משתמש במחשב שולחני או מחשב נייד, משהו שיש בו יציאת USB.

ראוי גם לציין שאם אתה מנתב את הדוא"ל שלך דרך לקוח מקומי כמו Apple Mail או Outlook, אז לא YubiKey או 2FA אינם נתמכים. במקרה זה, יהיה עליכם להשתמש בסיסמת יישום מיוחדת מהאפליקציה המדוברת.

היתרונות שלה

בואו ונעבור עם מספר היתרונות של שימוש במפתח כזה.

זה פשוט מאוד לשימוש

touch_yubico

אין באמת דרך להתעסק במשהו כזה. לאחר שהוגדר כראוי, פשוט הכנס את המפתח ליציאת ה- USB ולחץ פעם אחת על הכפתור הזוהר. זהו זה. עכשיו איך מישהו יכול לטעות בזה?

לחשבון שלך יש ביטחון נוסף ללא העצבנות

כפי שציינתי קודם, 2FA זה טוב - אבל זה יכול להיות מעצבן. כשאני מדבר עם מישהו שאין לו 2FA, התירוץ הרגיל הוא תמיד "זה יותר מדי טרחה“. אבל טענת הנגד שלי היא תמיד "וכמה טרחה מעורבת בניסיון לאחזר חשבון שנפרץ?“. אבל בכל זאת אני עדיין מבין את זה. 2FA כרוך בכניסה לטלפון, קבלת הקוד והזנתו. לעשות זאת פעם אחת זה לא עניין גדול, אבל כשאתה עושה את זה על בסיס קבוע, זה מתחיל להיות מייגע. אפילו התפתיתי בכמה הזדמנויות לכבות את כל העניין ולא אכפת לי שמישהו יוכל לפרוץ לחשבונות שלי, ואני לא לבד בזה.

YubiKey מסיר את הטרדה הזו וגורם לך להיות נוטה יותר להשתמש בהגנה הנוספת. עם זאת, עדיין תזדקק להגדרת 2FA אם אתה ניגש לחשבונות המקוונים שלך באמצעות סמארטפון או טאבלט. אז אתה לא יכול לברוח לחלוטין מ- 2FA.

זה זול

YubiKeys השונים המוצעים כוללים מחיר משתנה ($ 40- $ 50), מכיוון שכל אחד מהם מבצע עבודה מסוימת (עיין בפרק "חסרונות" למידע נוסף בנושא זה). עם זאת, ה- U2F ממש זול (18 דולר באמזון), מכיוון שהוא עושה פחות משאר המפתחות. להרטיב את הרגליים במכשיר, התחל עם U2F הוא אידיאלי. חשוב על זה כגלגלים של לומדים על אופניים של ילד.

אי אפשר להידבק בווירוסים

וירוס

אחד הדברים שהבחנתי בהם הכי הרבה ברשת, כשקוראים על YubiKeys, הוא אנשים שצועקים "ולהידבק בטרמינל אינטרנט ציבורי? לא תודה!“. ובכן ראשית, אתה לא אמור להשתמש חיבורי אינטרנט ציבוריים 5 דרכים לוודא מחשבים ציבוריים שבהם אתה משתמש בטוחיםWiFi ציבורי מסוכן לא משנה באיזה מחשב אתה נמצא, אך מכונות זרות דורשות זהירות רבה עוד יותר. אם אתה משתמש במחשב ציבורי, עקוב אחר ההנחיות הבאות כדי להבטיח את פרטיותך ובטיחותך. קרא עוד מסיבות אבטחה, ושנית, ה- YubiKeys אינם יכולים להשיג וירוסים מכיוון שאי אפשר להעביר אליו קבצים. זה לא מכשיר USB מסוג זה. הוסף לכך את העובדה שהמידע הכלול במפתח מוגן כל כתיבה, והמחשב מזהה את המקש כמקלדת. אז אין צורך לדאוג בניקוד הזה.

חסרונותיה

למרות ש- YubiKey הוא מכשיר נהדר לדעתי, עדיין ישנם כמה חסרונות בולטים שעליכם להיות מודעים אליהם.

זה עובד רק ב- Chrome

כרטיסיות כרום רבות מדי

נכון לכתיבת שורות אלה, YubiKey עובד רק ב- Google Chrome, גרסה 38 ואילך. אז משתמשי מזל קשה של פיירפוקס, ספארי, אופרה ו- קצה 10 סיבות שאתה צריך להשתמש ב- Microsoft Edge עכשיומיקרוסופט אדג 'מציינת הפסקה מוחלטת משם המותג Internet Explorer, והריגה את אילן היוחסין בן 20 בתהליך. הנה הסיבה שאתה צריך להשתמש בזה. קרא עוד . יתכן מאוד שהם יעלו על סיפונה בעתיד, אבל כרגע הם לא תומכים ב- YubiKey. לאורך חיי אני לא יכול להבין מדוע רק Chrome תומך. זה סוג של מנוכר למספר גדול של משתמשים בדפדפנים.

חשבונות שונים דורשים מפתחות שונים

yubikeys

יוביקו מייצר 7 מוצרים שונים, וכולם עושים דברים שונים. לדוגמא, המפתח שלי, ה- Fido U2F, פותח רק חשבונות ב- Google, Dropbox, Github ו- Dashlane (מנהלי חשבונות פרמיום בלבד).

אבל - והנה הדבר הגדול באמת - אם אתה רוצה לאבטח את חשבונות מערכת ההפעלה, Paypal, Evernote או WordPress שלך, אתה תצטרך YubiKeys שונים. אם כל מה שאתה צריך זה משהו כדי לבטל את הנעילה של חשבון Gmail שלך, U2F יספיק. כל דבר אחר זה כמו להשתמש במיכל להחלפת זבוב.

ה- YubiKey 4 די עושה הכל, אבל במחיר של 50 דולר זה אולי יתגלה כיקר מדי בשביל מישהו שרק ירצה להיכנס למייל שלו.

אם מישהו מקבל את סיסמת המפתח והחשבון שלך, החשבון שלך מתפשר

האקר

העניין עם 2FA הוא שכל פורץ יזדקק לגישה פיזית לטלפון שלך, כדי לקבל את ה- SMS או את קוד המאמת של גוגל. אם יש לך קוד סיסמא בטלפון שלך (שאתה צריך, במיוחד לאור העימות בין אפל ל- FBI דלתות אחוריות של ה- FBI לא יעזרו לאף אחד - אפילו לא ה- FBIה- FBI מבקש לאלץ את חברות הטכנולוגיה לאפשר לשירותי אבטחה לחטט בהודעות מיידיות. אבל דלתות אחוריות ביטחוניות כאלה לא קיימות בפועל, ואם הם היו עושים זאת, האם היית סומך על הממשלה שלך איתם? קרא עוד ), אז גישה לקודי 2FA שלך תהיה בלתי אפשרית לצד ג 'שאינו מורשה. אלא אם כן הקוד שלך הוא משהו מאוד ברור (כמו יום ההולדת שלך), והפורץ מכיר אותך מספיק טוב כדי לנחש זאת.

אבל אם מישהו תופס את YubiKey שלך, ויודע גם את סיסמת החשבון שלך, אז הם היו נכנסים לחשבון מהר יותר מסכין לוהטת דרך חמאה. לא היה להם שום קוד סיסמה לסמארטפון שיעקוף. זאת בהנחה שיש לך קוד בטלפון מלכתחילה. אם לא, ובכן, אין הבדל בין שימוש ב- 2FA לבין שימוש ב- YubiKey.

הדרך הטובה ביותר לתקן את הבעיה היא להשתמש בטיפול ארוך מאוד, סיסמת חשבון קשה לנחש מדריך לניהול סיסמאותאל תרגיש מוצף מסיסמאות, או פשוט השתמש באותו אתר בכל אתר רק כדי שתזכור אותם: תכנן אסטרטגיית ניהול סיסמאות משלך. קרא עוד (ולשמור אותו בסרטון מנהל סיסמאות מוצפן מנהל הסיסמאות קרב רויאל: מי יגמר בראש? קרא עוד ). ככה, גם אם המפתח ייפול לידיים הלא נכונות, להבין את סיסמת החשבון יהיה קשה ביותר, אם לא בלתי אפשרי. ללא הסיסמה המפתח בסופו של דבר יהיה חתיכת פלסטיק חסרת תועלת.

האם יש חלופות ל- YubiKey?

ניטרוקי

לאחר הסתכלות סביב, נראה כי האלטרנטיבה היחידה ל- YubiKey היא ניטרוקי. מחיר זהה לזה של ה- YubiKey, NitroKey מיוצר בגרמניה ומתגאה בכך שהוא קוד פתוח. נראה שזה עושה הרבה יותר מ- YubiKey, מה שגורם לי לשקול לקנות אחד ולבדוק אותו כדי להשוות. המוצר נקרא בעבר Crypto-Key ו- נבדק על ידי דני עוד בשנת 2012 קרן הקריפטו של קרן הפרטיות הגרמנית - כיצד ומדוע היא מאובטחת יותרכל הזמן נוצרות טכנולוגיות חדשות על מנת להגביר את האבטחה, ורבות מאותן טכנולוגיות בסופו של דבר נעלמות בגלל פרצות ונושאים אחרים שמתגלים בסופו של דבר. שום צורה של ביטחון אינה פטורה ... קרא עוד .

אבל נחמד לראות שלפחות חברה אחת אחרת מייצרת מוצר מתחרה ותוך כדי כך מקדמת את כל הרעיון של מפתח אבטחה. יריבות מקדמת מחקרים, והמחקר מסתיים במוצרים טובים יותר (בדרך כלל).

שקט נפשי או נוחות?

מקלדת

כל התחקיר של מושג YubiKey העלה, מבחינתי, את כל השאלה על מה עלינו להיות מוכנים להשלים בשם הביטחון. אימות דו-גורמי הוא דרך מצוינת לוודא שחשבונך נעול, אך כפי שציינתי, זה יכול להיות כאב אמיתי בקת. זה גורם לאנשים רבים לומר "להרגיע את זה, אני מכבה את זה!".

מצד שני, משהו כמו YubiKey או NitroKey הופך את כל התהליך לנוח. לחץ על כפתור ונכנסת אליו. אבל אם תאבד את המפתח, ומישהו יכול לנחש בקלות את הסיסמה שלך, יהיה לך יום רע מאוד. אז שקט נפשי (והולכים כמה צעדים נוספים של טרחה) או לחיצה על הכפתור על מקש וחוסכת 60 שניות? לאיזה מחנה אתה נופל? ספרו לנו בתגובות.

מארק אוניל הוא עיתונאי ו ביבליופיל פרילנסרי, שמוציא דברים שפורסמו מאז 1989. במשך 6 שנים הוא היה העורך המנהל של MakeUseOf. עכשיו הוא כותב, שותה יותר מדי תה, מתמודד עם כלבו וכותב עוד קצת. אתה יכול למצוא אותו בטוויטר ובפייסבוק.