Las contraseñas han sido el punto débil de la seguridad desde que se introdujeron por primera vez.
Afortunadamente, Yubico YubiKey 5 NFC está aquí para proteger nuestras cuentas más importantes y mucho más.
La quinta generación de YubiKey admite FIDO U2F para una autenticación segura de segundo factor y usa NFC para trabajar con su teléfono.
Pero eso es solo el comienzo de lo que puede hacer este dispositivo notablemente poderoso y muy pequeño.
Si solo está buscando una opción U2F de hardware simple, la YubiKey 5 NFC probablemente sea excesiva; considere la llave de seguridad más asequible de Yubico o las llaves de seguridad Titan de Google.
Pero si ya está inmerso en la seguridad, le encantará lo que el 5 NFC tiene para ofrecer.
Cómo funciona la autenticación de dos factores
Si bien hay muchas cosas que puede hacer con una clave de seguridad de hardware como YubiKey, su función principal es la de segundo factor de autenticación.
En la práctica, la autenticación de dos factores (2FA) significa tener que hacer una segunda cosa después de ingresar su contraseña para demostrar que es usted.
Pero la teoría detrás de 2FA es combinar dos sistemas diferentes de autenticación de una lista de tres:
- Algo que tu sabes
- Algo que tienes, o
- Algo que eres.
Por ejemplo: una contraseña, es algo que saber, y debería existir solo en su cabeza (o dentro de un administrador de contraseñas).
Los datos biométricos (escaneos de huellas digitales de thingk, escaneos de retina, firmas de corazón, etc.) cuentan como algo que usted están.
Yubico YubiKeys y los de su clase son algo que tener.
El uso de dos factores de esta lista de tres proporciona una mayor seguridad de que usted es quien dice ser y de que tiene autoridad para acceder a lo que está intentando acceder.
También es más difícil de romper para los malos.
Un atacante podría comprar su contraseña en la Dark Web, pero probablemente tampoco podrá obtener su clave de seguridad.
La autenticación proporcionada por 2FA también es efímera: solo funciona una vez, y generalmente solo por un tiempo limitado, para mayor seguridad.
Esta revisión analiza principalmente la 2FA de hardware, pero hay muchas formas de agregar un segundo factor.
Muchos sitios le enviarán códigos por SMS para verificar su identidad.
Aplicaciones como Duo (Free at Duo) y Authy dependen de las notificaciones push que son (en teoría) más difíciles de interceptar que los mensajes SMS.
Ya sea que elija una solución de hardware o software o una combinación de ambas, agregue 2FA siempre que pueda.
Cuando Google implementó claves 2FA internamente, vio cómo las adquisiciones de cuentas exitosas se redujeron a cero.
Es tan bueno.
[embed]https://www.youtube.com/watch?v=AMOtB7XkTT4[/embed]
Los muchos sabores de YubiKey
Yubico siempre ha ofrecido varios tamaños y variaciones de sus llaves de seguridad para adaptarse a casi todas las necesidades.
Esto es genial, porque los consumidores y los profesionales de TI pueden obtener exactamente lo que necesitan a una variedad de precios.
La desventaja es que navegar por la tienda Yubico es una experiencia frecuentemente abrumadora.
Haré todo lo posible para resumir lo básico.
Hay cuatro tipos de dispositivos YubiKey 5 Series, incluido el NFC YubiKey 5 de $ 45 que se revisa aquí, así como otros tres factores de forma: el YubiKey 5 Nano de $ 50, el YubiKey 5C de $ 50 y el YubiKey 5C Nano de $ 60.
El 5 NFC es el único YubiKey que ofrece comunicación inalámbrica, pero además de eso, la única diferencia entre estos dispositivos es el tamaño, el precio y el conector USB.
Los dos dispositivos Nano son los dispositivos más diminutos del grupo y se encuentran dentro de sus ranuras USB-A o USB-C, fácilmente al alcance si los necesita con frecuencia.
El YubiKey 5C usa un conector USB-C, es un poco más pequeño que el 5 NFC y puede colgarse de su llavero junto con el 5 NFC; carece de comunicación inalámbrica.
Sin embargo, puede conectar el YubiKey 5C o el 5C Nano directamente a su dispositivo Android.
Lo que distingue a la Serie 5 de YubiKey de la competencia no es solo la variedad de factores de forma.
Estos dispositivos son auténticas navajas suizas de seguridad digital.
Cada uno puede funcionar como una tarjeta inteligente (PIV), puede generar contraseñas de un solo uso, es compatible con OATH-TOTP y OATH-HOTP, y se puede utilizar para la autenticación de desafío-respuesta.
Los cuatro dispositivos admiten tres algoritmos criptográficos: RSA 4096, ECC p256 y ECC p384.
Estos dispositivos pueden adaptarse a tantas funciones diferentes, a menudo al mismo tiempo, siempre que sepa lo que está haciendo.
Si bien el YubiKey 5 NFC es el foco de esta revisión, he probado los dispositivos de la serie YubiKey 4 en el pasado, y estos son físicamente idénticos a las variaciones USB-C y Nano de la serie YubiKey 5.
Todos están bien hechos, revestidos de plástico negro que oculta el desgaste y equipados con LED verdes ocultos para que sepa que están conectados y funcionando.
Los dispositivos USB-A tienen una banda dorada o un disco que puede tocar, según el tamaño del dispositivo.
Mientras tanto, los dispositivos USB-C tienen dos pequeñas pestañas de metal que puede tocar para autenticar.
El dispositivo USB-A Nano es más difícil de quitar de una ranura que el dispositivo USB-C Nano, pero el USB-A Nano YubiKey tiene un pequeño orificio, por lo que se puede colgar de una cuerda o cable, mientras que el USB-C Nano no es.
El dispositivo YubiKey que compre dependerá en gran medida del contexto en el que planea usarlo.
Los dispositivos Nano son útiles si planeas usarlos con una computadora confiable y sabes que necesitarás acceder a YubiKey con frecuencia.
Las llaves de tamaño completo son mejores para colgarlas en un llavero y tenerlas a mano.
Manos a la obra con YubiKey 5 NFC
Para ayudarlo a comenzar, Yubico ha creado una guía útil para nuevos usuarios.
Simplemente elija el dispositivo YubiKey que tiene y el sitio mostrará una lista de todos los lugares y contextos en los que puede usar su YubiKey.
Algunos de estos enlazan directamente a la página de incorporación de un sitio o servicio, mientras que otros brindan instrucciones que debe seguir usted mismo.
Configurar YubiKey como segundo factor U2F es muy simple.
Siga las instrucciones del sitio o del servicio y luego inserte la YubiKey en la ranura correspondiente cuando se le solicite.
Simplemente toque el disco dorado (o las pestañas de metal, según el modelo) y el servicio registrará su llave.
La próxima vez que inicie sesión, ingrese su contraseña y se le solicitará que inserte su clave y toque.
¡Eso es todo!
Dashlane, Google y Twitter son algunos de los muchos sitios que admiten U2F y aceptan dispositivos YubiKey Serie 5.
En mi prueba, lo inscribí como segundo factor para una cuenta de Google.
Al iniciar sesión en una computadora de escritorio, ingresé mis credenciales de inicio de sesión y luego Google me pidió que insertara y tocara mi clave de seguridad.
Eso no es un problema, aunque tuve que usar el navegador Chrome para iniciar sesión.
En mi dispositivo Android, el proceso es igual de sencillo.
Al iniciar sesión en la prueba, ingresé mis credenciales y luego mi teléfono me pidió que usara mi clave de seguridad.
Seleccioné NFC de un menú en la parte inferior y luego coloqué el 5 NFC contra la parte posterior de mi teléfono.
Me tomó varios intentos, pero finalmente el teléfono sonó afirmativamente y me conecté.
La serie YubiKey 5 puede autenticarlo de varias maneras, no solo a través de U2F.
Con LastPass, por ejemplo, inscribes YubiKey para generar contraseñas de un solo uso (específicamente contraseñas de un solo uso basadas en HMAC, pero usaré OTP para abreviar) con un toque.
Esto es diferente de U2F pero en la práctica se siente muy similar.
Inicie sesión en LastPass, navegue hasta la parte correspondiente del menú Configuración, haga clic en el campo de texto y toque YubiKey.
Una cadena de letras sale, ¡y eso es todo! Ahora, cuando desee iniciar sesión en LastPass, se le pedirá que conecte su YubiKey para que escupe más OTP.
La mayoría de ustedes probablemente estén familiarizados con Google Authenticator, una aplicación que genera contraseñas de seis dígitos cada 30 segundos.
Esta tecnología, de manera más general, se denomina Contraseñas de un solo uso basadas en el tiempo (TOTP) y es una de las formas más comunes de 2FA que se utilizan en la actualidad.
Junto con una aplicación de escritorio o móvil complementaria, Yubico le da un giro interesante al sistema TOTP.
Conecte su YubiKey, inicie la aplicación Yubico Authenticator y luego navegue a un sitio que admita Google Authenticator o un servicio similar.
Para asegurar una cuenta de Google, por ejemplo, hice clic en la opción para inscribir un nuevo teléfono con la aplicación de autenticación.
Por lo general, aparece un código QR en este punto y el sitio le solicita que lo escanee con la aplicación de autenticación adecuada.
En su lugar, seleccioné una opción de menú en la aplicación de escritorio Yubico Authenticator y capturó el código QR de mi pantalla.
Después de algunos clics más, la aplicación comenzó a proporcionar códigos únicos de seis dígitos cada 30 segundos.
El truco es que la aplicación Yubico no puede generar TOTP sin YubiKey.
En lugar de almacenar las credenciales necesarias para crear esos códigos en su computadora, el Autenticador de Yubico almacena esos datos directamente en su YubiKey.
Sáquelo y la aplicación Authenticator no podrá crear nuevos TOTP.
Eso es útil si le preocupa que alguien robe el dispositivo que usa para generar sus TOTP.
También puede bloquear su YubiKey con una contraseña, por lo que incluso si se lo robaron, no podría usarse para generar TOTP.
Yubico también ofrece una aplicación de Android generadora de TOTP que funciona con YubiKey 5 NFC, para llevar sus TOTP a la carretera.
Cuando abres la aplicación, está vacía, pero golpea tu 5 NFC contra la espalda y comienza a generar códigos.
Salga de la aplicación y los códigos desaparecerán; tendrás que tocar el 5 NFC nuevamente.
Eso es menos conveniente que almacenar la información en la propia aplicación, pero mucho más seguro.
Estos fueron los escenarios que miré, pero la serie YubiKey 5 puede hacer mucho más.
Puede usarlo como una tarjeta inteligente para iniciar sesión en mi computadora de escritorio.
Puede usarlo para iniciar sesión en servidores SSH.
Incluso puede generar una clave PGP y luego usar YubiKey para firmar o autenticarse.
Francamente, sin embargo, simplemente conseguir que mi cabeza se concentrara en las teclas TOTP fue lo suficientemente difícil.
Aunque Yubico tiene mucha documentación y tres aplicaciones de escritorio separadas (y tres aplicaciones móviles más), es muy difícil usar todas las facetas de YubiKey sin una buena dosis de conocimiento existente.
Yubico ha implementado un sitio web para ayudar a informar a los clientes sobre para qué pueden usar su clave y para guiarlos hacia la información necesaria.
Esa guía es excelente, pero es solo una guía, no el agarre de la mano que generalmente brindan los productos tecnológicos.
Usar su YubiKey para U2F también es muy simple, pero aprovechar al máximo su YubiKey no es fácil para un novato, o incluso para un periodista de seguridad.
YubiKeys frente a la llave de seguridad Titan de Google
Yubico tiene una solución para casi todas las situaciones con la serie YubiKey 5, pero el costo es un problema.
Cada dispositivo individual tiene un precio de entre $ 40 y $ 60 por solo una YubiKey.
El paquete de llaves de seguridad Titan de Google, por otro lado, ofrece dos dispositivos por $ 50: una llave USB-A y una llave Bluetooth / Micro USB.
Eso te da un repuesto desde el principio.
Sobre el...
