Nie jest żadną nowiną, że o bezpieczeństwo naszych danych należy dbać. Cyberprzestępcy stale udoskonalają metody podszywania się pod popularne serwisy, by wykraść informacje o nas i przejąć nasze konta. Często słyszymy o kolejnych takich sytuacjach. Znamy zagrożenia i zazwyczaj wiemy, jak się przed nimi chronić, a jednak zdarza się, że przez nieuwagę sami stajemy się ofiarami.

Swego rodzaju panaceum na tego typu ataki jest zastosowanie do logowania weryfikacji dwuskładnikowej. Dzięki niej za pośrednictwem SMS-a lub aplikacji autoryzującej otrzymamy specjalny, jednorazowy kod, którym potwierdzimy nasze uprawnienia dostępu do serwisu. Niestety, wszelkie te działania spełzną na niczym, jeśli wprowadzimy te dane na odpowiednio spreparowanej stronie internetowej. Nie zawsze sprawdzamy dokładnie adres w przeglądarce. Wtedy niejako na tacy podamy włamywaczowi nasze hasło i kod weryfikacyjny… Jak się zatem przed taką sytuacją uchronić? Oczywiście być czujnym i sprawdzać każdy szczegół podczas logowania. Można również kupić specjalny klucz, który będzie nas skutecznie chronić przed przejęciem naszych kont. Właśnie takie urządzenie trafiło do redakcji Mój Mac Magazynu i bliżej się mu przyjrzymy.

YubiKey 4,

bo o nim mowa, wygląda jak pendrive, w rzeczywistości to sprzętowy klucz USB oferujący silne uwierzytelnianie dwuskładnikowe (2FA). Jest on dziełem szwedzkiego startupu Yubico. Umożliwia autoryzację użytkownika po wprowadzeniu odpowiednich danych logowania, a następnie podłączeniu urządzenia do portu USB. Przesyła ono wtedy odpowiedni klucz do oprogramowania i na jego podstawie zezwala użytkownikowi na dostęp konta.

W przeciwieństwie do tradycyjnego uwierzytelniania dwuskładnikowego za pomocą SMS YubiKey nie wymaga połączenia sieciowego ani dostępu do naszego telefonu. Wystarczy tylko jego obecność w porcie urządzenia. Potem należy tylko dotknąć okrągłego klawisza z logotypem firmy (niestety nie posiada wbudowanego czytnika linii papilarnych), aby potwierdzić uwierzytelnienie. W przypadku gdy nieświadomie będziemy logować się na sfałszowaną stronę, urządzenie nie pozwoli na podanie drugiego składnika hasła dzięki współpracy z przeglądarką. Tym samym atakujący zdobędzie tylko jeden składnik i nie będzie w stanie przechwycić dostępu do naszego konta.

Wsparcie dla zabezpieczenia za pośrednictwem YubiKeya oferuje wiele popularnych serwisów wspierających U2F. Jest to otwarty standard uwierzytelniania, który umożliwia użytkownikom bezpieczny dostęp do dowolnej liczby usług online za pomocą jednego urządzenia. Dzieje się to natychmiast, bez żadnych sterowników. Urządzenie instaluje się w systemie jako klawiatura. Dzięki temu jest uniwersalny i współpracuje nie tylko z macOS, ale także z Windowsem czy Linuxem. Z pomocą YubiKeya możemy zalogować się do naszej usługi bez problemu na obcym komputerze. Wystarczy go wsunąć do portu USB, nieważne, jaki system operacyjny będzie na nim zainstalowany. Istotne jest jednak to, z jakiej przeglądarki korzystamy.

Obecnie uwierzytelnianie działa bez żadnych modyfikacji i problemów na Chromie i Operze. Jeśli zatem korzystacie z usług Google, Facebooka, Dropboxa czy GitHuba lub z popularnych CMS, jak WordPress, Drupal czy Joomla, warto pomyśleć o dodatkowym zabezpieczeniu w postaci YubiKeya. Oczywiście to tylko niektóre z nich. Szczegółową listę partnerów wspierających standard U2F znajdziecie tutaj.

YubiKey możemy wykorzystać także do logowania się do naszego systemu operacyjnego. Dzięki jego możliwościom oprócz zabezpieczenia naszych kont w popularnych serwisach zapewnimy bezpieczeństwo swoim komputerom. To bardzo proste. Wystarczy zainstalować aplikację YubiKey PIV Manager, nadać PIN i już będziemy mogli bezpiecznie logować się do naszego komputera. Co ciekawe YubiKey 4 pozwoli zabezpieczyć także zdalne logowanie do systemu za pośrednictwem szyfrowanego protokołu komunikacyjnego ssh. Wyciągnięcie klucza z portu USB zerwie połączenie.

To jeszcze nie koniec szerokich umiejętności naszego YubiKeya. Urządzenie daje nam do dyspozycji dwa sloty konfiguracyjne. Każdy slot działa niezależnie od drugiego i można go zaprogramować w trzech różnych trybach:

  • Yubico OTP (generuje jednorazowe 128-bitowe szyfrowane hasła AES),
  • OATH-HOTP (generuje ustalony przez użytkownika 6—8-cyfrowy kod zmieniający się zgodnie z licznikiem uwierzytelnienia)
  • Hasło statyczne.

Daje to możliwość wykorzystania tych dwóch slotów na sześć różnych sposobów. Hasła są generowane przez krótsze (dla pierwszego slotu) i dłuższe (dla drugiego) naciśnięcie kółka z logotypem. Powyższe funkcjonalności to tylko namiastka funkcji realizowanych przez tak niepozorne urządzenie, jakim jest YubiKey 4. Jego możliwości są znacznie szersze i nie starczyłoby stron tego Magazynu na ich szczegółowe opisywanie. To naprawdę fantastyczny sprzęt, który zapewni poczucie bezpieczeństwa zarówno zwyczajnym użytkownikom, jak i ekspertom traktującym bezpieczeństwo jako priorytet. Prostota działania powoduje, że nie jest to sprzęt tylko dla wąskiej grupy specjalistów. Oni bowiem YubiKeya już z pewnością posiadają i doceniają jego szerokie możliwości konfiguracji. Niech rekomendacją będzie fakt, iż z urządzeń firmy Yubiko korzystają pracownicy Google i Facebooka.

Jedynym mankamentem klucza jest to, że w przypadku jego utraty możemy mieć problem z zalogowaniem się do własnego konta. Można dokupić drugi zapasowy klucz lub zapewnić sobie awaryjny sposób logowania. Nie ma — niestety — produktów odpornych na sytuacje losowe. Reasumując, jest produkt warty polecenia i zdecydowanie warto go nabyć. Tym bardziej że cena (40 $) nie jest wygórowana jak na tego typu urządzenie. To stosunkowo niski koszt przy ewentualnych stratach związanych z przejęciem naszych kont i nieautoryzowanym ich wykorzystaniem. Pamiętajmy, że nasze bezpieczeństwo jest bezcenne.

Witryna: www.yubico.com

Już w najbliższy poniedziałek (15 stycznia 2018r.) w naszym newsletterze będziecie mogli wygrać kilka sztuk. Warto się zatem do niego zapisać za pomocą  poniższego formularza.