Yubico's YubiKey-linje har varit ett val för enkel, hårdvaru-tvåfaktorautentisering i flera år.
Den sista gränsen för Yubico har varit iPhone, som den äntligen adresserar med YubiKey 5Ci.
Denna lilla dubbla enhet har en USB-C-kontakt i ena änden och en Apple-kompatibel Lightning-kontakt i den andra.
Denna hydra av en hårdvarunyckel fungerar precis som den ska och kommer packad med funktioner som tävlingen inte kan matcha, men hindras av begränsat stöd på iOS och ett jämförelsevis högt pris.
Vad är tvåfaktorautentisering
I praktiken använder tvåfaktorautentisering (2FA) två saker för att logga in på en webbplats eller tjänst, men det är inte där namnet kommer ifrån.
Istället hänvisar det till en autentiseringsteori där du bevisar att du ska ha tillgång till:
Något du vet.
Något du är.
Eller något du har.
Något du vet är som ett lösenord som människor är fruktansvärda på och vi borde verkligen låta lösenordshanterare ta hand om.
Något du är är som biometrisk data, som att använda ditt fingeravtryck för att låsa upp en telefon.
Något du har kan vara en hårdvareautentifierare, till exempel en YubiKey.
2FA är där du använder två autentiserare från listan istället för bara en, eftersom det är osannolikt att en angripare har två av de tre.
Det är ett enormt effektivt sätt att säkra inloggningar.
Så mycket att efter att Google krävde internt användning av 2FA-hårdvarunycklar sjönk lyckade nätfiskeattacker till noll.
[embed]https://www.youtube.com/watch?v=AMOtB7XkTT4[/embed]
Det finns många sätt att göra 2FA.
Att ta emot engångslösenord via SMS är troligen det folk känner mest till, även om detta är på väg ut på grund av säkerhetsproblem.
Yubico har varit ledare för skapandet av FIDO2-protokollet och WebAuthn-standarden, som använder kryptografi med offentlig nyckel för säker autentisering.
Den W3C-certifierade WebAuthn-standarden har tagit den här autentiseringsstilen till fler och fler webbläsare och tjänster de senaste åren och kan vara framtiden för hur vi gör autentisering.
Microsoft har till exempel experimenterat med att använda WebAuthn-enheter som YubiKeys för helt lösenordsfri autentisering.
Gjord för mobil
YubiKey-familjen har vuxit markant med sju olika nycklar i olika storlekar och övervägande av pluggar och protokoll.
USB-A Yubico Security Key stöder endast FIDO2 / WebAuthn och kostar $ 20, medan USB-A Security Key NFC lägger till trådlöst stöd för $ 27.
Bild via Yubico.
YubiKey 5-serien, bilden ovan, täcker flera enheter.
Från vänster kostar USB-A YubiKey 5 NFC 45 USD och är kanske den mest kapabla av alla enheter.
USB-C YubiKey 5C kostar $ 50 och liknar mest 5Ci i sin tunna, stubbiga design.
5 Nano och 5C Nano kostar 50 $ respektive 60 $ och är utformade för att leva inuti dina hamnar semi-permanent.
För $ 70 är YubiKey 5Ci den dyraste nyckeln i familjen.
Jämfört med USB-A YubiKey-designen är 5Ci liten.
Det är 12 mm x 40,3 mm och bara 5 mm tjockt.
Det är drygt hälften av bredden på en USB-A-nyckel och något kortare.
Den är gjuten i slitstark, svart plast med ett metallförstärkt mitthål för att fästa det på din nyckelring.
5Ci är dock tjockare än YubiKey 5 NFC.
Den extra omkretsen i kombination med det centrala hålet gör det lite konstigt för en nyckelring, men det fungerar.
Det är fjäderlätt på bara 3 gram, men känns ändå välbyggt.
Nära mitten av enheten finns två upphöjda metallnoder.
När du ansluter 5Ci, trycker du på dessa noder när du uppmanas att slutföra verifieringen.
Som alla YubiKey-enheter har 5Ci inget internt batteri och drar all sin kraft från den enhet som den är ansluten till.
Speciellt stöder YubiKey 5Ci inte NFC, medan Yubico Security Key NFC och YubiKey 5 NFC gör det.
YubiKey 5Ci har en unik design med dubbla ändar.
Den ena sidan har en USB-C-kontakt och den andra har en Apple Lightning-kontakt som du har sett på iPhone- och iPad-laddare i flera år.
Ironiskt nog är mitt största klagomål om 5Ci dess kontakter.
För det första hade jag svårt att hitta en dator med en USB-C-port för att testa de olika funktionerna i 5Ci.
Det är också mycket lättare att registrera nyckeln från en dator än från en mobil enhet.
Om du använder ny maskinvara är det förmodligen inte ett problem att hitta en USB-C-port, men om du är som jag och använder datorer tills de bokstavligen faller sönder kan du behöva en adapter.
För en annan passade USB-C-änden på enheten inte i Nokia 6.1 eller Asus UX360c ZenBook Flip som jag använde vid testning.
Jag var tvungen att trycka verkligen på för att få in 5Ci, och varje gång jag trodde att jag skulle bryta något.
Det fanns också några fall där det verkade som att enheten inte satt ordentligt, eftersom den inte anslöt.
Det här var ingen affärsbrott på något sätt, och efter några tryckningar och dragningar började kontakten att kännas som en bättre passform.
Kanske behöver det bara bryta in.
Lightning-kontakten, å andra sidan, fungerade anmärkningsvärt bra.
Det gick smidigt in och klippte in kraftigt.
Det var grundligt Apple-liknande, och jag har inga klagomål.
Yubico påpekade att USB-C-kontakten på 5Ci inte fungerar i iPad-modeller som har USB-C-portar.
Bild via Yubico.
Hands On med YubiKey 5Ci
Innan du kan använda 5Ci eller någon annan hårdvareautentifierare måste du registrera den för varje tjänst.
Problemet är att inte alla webbläsare eller applikationer stöder hårdvaruautentiseringsnycklar.
Jag stötte på det här problemet första gången när jag testade Yubicos säkerhetsnyckel NFC.
Då (som nu) utvidgades Apples stöd för NFC inte till säkerhetsnycklar i de flesta sammanhang.
Jag fann att det fanns fler sammanhang där 5Ci fungerade på iOS än när jag testade NFC-tangenter på iPhones, men det relativt lilla stödet är lite frustrerande.
För att testa FIDO2 / WebAuthn-supporten öppnade jag Twitter i Brave-webbläsaren, vilket Yubico föreslog att jag skulle använda eftersom det stöder webbläsarbaserad autentisering.
Jag loggade in som vanligt, navigerade till inställningsfönstret och registrerade YubiKey 5Ci.
Nästa gång jag loggade in uppmanade Twitter mig att ange min nyckel och trycka på den.
Jag följde och tog snabbt upp webbappen.
Tyvärr kunde jag inte logga in på Twitter varken Safari eller Twitter iOS-appen.
Jag kunde inte registrera Yubikey 5Ci med mitt Google-konto i Brave, Safari eller till och med Chrome.
YubiKey 5Ci stöder också engångslösenord (OTP).
I den här konfigurationen kopplar du in nyckeln och trycker på metallnoderna och en lång, unik kod spottas ut.
Här är en: ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb.
Några tjänster, som LastPass, använder den här funktionen istället för FIDO2 / WebAuthn.
Fördelen är att nyckeln läses som ett tangentbord, så det är väldigt enkelt och kräver inget extra stöd från webbläsaren.
För att testa OTP var jag först tvungen att registrera nyckeln med ett LastPass-konto.
Jag kunde inte göra det på en iPad eller iPhone.
När det gäller webbläsare fick jag inte möjlighet att använda alternativa metoder och webbläsarna kunde inte använda NFC för att läsa min YubiKey 5 NFC.
LastPass-appen gjorde läs min NFC-nyckel, men appen innehåller inte alternativ för att redigera dina registrerade hårdvarunycklar.
I slutändan var jag tvungen att hitta en bärbar dator med USB-C-portar för att registrera 5Ci.
När jag gjorde det var det enkelt att logga in på LastPass via appen eller genom LastPass-appen eller Brave-webbläsaren.
Jag angav mitt användarnamn och lösenord som vanligt och uppmanades sedan att infoga min nyckel och sedan knacka på metallnoderna på nyckeln.
En sekund senare var jag inloggad.
Dessa var bara några av de tjänster som YubiKey kan arbeta med, och Yubico har en ganska omfattande lista över webbplatser och tjänster som accepterar antingen FIDO2 / WebAuthn eller YubiKey OTP.
En företagsrepresentant nämnde 1Password, Bitwarden, Idaptive och Okta som specifika iOS-appar som redan stöder användningen av YubiKeys.
YubiKey 5Ci har alla andra knep, men de kräver alla en dator någon gång.
Till exempel kan du anpassa olika aspekter av din nyckel, som att låta den spotta ut ett förinställt lösenord när du trycker länge på metallnoderna.
Det kan också konfigureras att fungera som ett smartkort och kan spotta ut tidsbegränsade lösenord (TOTP) precis som Google Authenticator med hjälp av en desktopautentiseringsapplikation.
En Yubico-representant bekräftade för mig att, förutom NFC-kommunikation, kan YubiKey 5Ci göra vad YubiKey 5 NFC kan göra.
YubiKey 5Ci vs.
tävlingen
Det finns en mängd konkurrenter för hårdvaruautentiserare där ute, inte minst som Google.
För $ 50 skickar företaget en USB-A Google Titan-säkerhetsnyckel som använder FIDO2 / WebAuthn och en uppladdningsbar Bluetooth-dongel.
Det är en bra uppsättning, men jag har alltid varit skeptisk till att använda Bluetooth för säkerhetsenheter.
Om du äger en mobil enhet som kör Android 7.0 eller senare kan du också använda den som maskinvarautentiserare för Google-konton.
Detta har fördelen att det är helt gratis och använder befintlig hårdvara som du redan äger, men det är för närvarande begränsat i omfattning.
Det är också beroende av att batterier och radioapparater fungerar, till skillnad från alla YubiKey-enheter.
Om Googles varumärke inte är din grej kan du gå direkt till Feitian, företaget som Google har vittmärkt för Titan-nycklarna.
Dessa enheter finns i många storlekar, konfigurationer och priser.
Den enda nackdelen är den osannolika potentialen för attacker i försörjningskedjan, eftersom Feitian ligger i Kina.
Yubico är alltid snabb att påpeka att de tillverkar sina nycklar i USA och Sverige.
Vissa kanske föredrar ett alternativ med öppen källkod, till exempel NitroKey FIDO U2F.
Denna tyska enhet kostar € 22,00 och använder hårdvara och programvara med öppen källkod.
Fördelen med öppen källkodsmaskinvara är att dess säkerhet kan verifieras oberoende av tredje part.
Jag tyckte att NitroKey var kapabel, men klumpig.
Medan andra säkerhetsnycklar är tunna som, ja, nycklar, är NitroKey tjock och använder en USB-A-kontakt i full storlek.
Jag frågade en representant för Yubico om att använda open source-komponenter, och de svarade att de bästa säkra elementchipsen som finns tillgängliga helt enkelt inte är öppna källor.
En sak att tänka på är att 2FA inte kräver en hårdvarunyckel.
Google Authenticator, Duo Mobile och andra tjänster erbjuder 2FA gratis via appar.
Google och Apple säkrar konton på sina tjänster med möjlighet att autentisera från en annan pålitlig enhet.
Fördelen med hårdvarunycklar är att de fungerar utan ström eller celltjänst, men om du tycker att det är för mycket besvär med att använda en fysisk nyckel rekommenderar jag att jag bara använder vilken 2FA-metod som helst som är mest vettig för dig.
Yubico's YubiKey-linje har varit ett val för enkel, hårdvaru-tvåfaktorautentisering i flera år.
Den sista gränsen för Yubico har varit iPhone, som den äntligen adresserar med YubiKey 5Ci.
Denna lilla dubbla enhet har en USB-C-kontakt i ena änden och en Apple-kompatibel Lightning-kontakt i den andra.
Denna hydra av en hårdvarunyckel fungerar precis som den ska och kommer packad med funktioner som tävlingen inte kan matcha, men hindras av begränsat stöd på iOS och ett jämförelsevis högt pris.
Vad är tvåfaktorautentisering
I praktiken använder tvåfaktorautentisering (2FA) två saker för att logga in på en webbplats eller tjänst, men det är inte där namnet kommer ifrån.
Istället hänvisar det till en autentiseringsteori där du bevisar att du ska ha tillgång till:
Något du vet.
Något du är.
Eller något du har.
Något du vet är som ett lösenord som människor är fruktansvärda på och vi borde verkligen låta lösenordshanterare ta hand om.
Något du är är som biometrisk data, som att använda ditt fingeravtryck för att låsa upp en telefon.
Något du har kan vara en hårdvareautentifierare, till exempel en YubiKey.
2FA är där du använder två autentiserare från listan istället för bara en, eftersom det är osannolikt att en angripare har två av de tre.
Det är ett enormt effektivt sätt att säkra inloggningar.
Så mycket att efter att Google krävde internt användning av 2FA-hårdvarunycklar sjönk lyckade nätfiskeattacker till noll.
[embed]https://www.youtube.com/watch?v=AMOtB7XkTT4[/embed]
Det finns många sätt att göra 2FA.
Att ta emot engångslösenord via SMS är troligen det folk känner mest till, även om detta är på väg ut på grund av säkerhetsproblem.
Yubico har varit ledare för skapandet av FIDO2-protokollet och WebAuthn-standarden, som använder kryptografi med offentlig nyckel för säker autentisering.
Den W3C-certifierade WebAuthn-standarden har tagit den här autentiseringsstilen till fler och fler webbläsare och tjänster de senaste åren och kan vara framtiden för hur vi gör autentisering.
Microsoft har till exempel experimenterat med att använda WebAuthn-enheter som YubiKeys för helt lösenordsfri autentisering.
Gjord för mobil
YubiKey-familjen har vuxit markant med sju olika nycklar i olika storlekar och övervägande av pluggar och protokoll.
USB-A Yubico Security Key stöder endast FIDO2 / WebAuthn och kostar $ 20, medan USB-A Security Key NFC lägger till trådlöst stöd för $ 27.
Bild via Yubico.
YubiKey 5-serien, bilden ovan, täcker flera enheter.
Från vänster kostar USB-A YubiKey 5 NFC 45 USD och är kanske den mest kapabla av alla enheter.
USB-C YubiKey 5C kostar $ 50 och liknar mest 5Ci i sin tunna, stubbiga design.
5 Nano och 5C Nano kostar 50 $ respektive 60 $ och är utformade för att leva inuti dina hamnar semi-permanent.
För $ 70 är YubiKey 5Ci den dyraste nyckeln i familjen.
Jämfört med USB-A YubiKey-designen är 5Ci liten.
Det är 12 mm x 40,3 mm och bara 5 mm tjockt.
Det är drygt hälften av bredden på en USB-A-nyckel och något kortare.
Den är gjuten i slitstark, svart plast med ett metallförstärkt mitthål för att fästa det på din nyckelring.
5Ci är dock tjockare än YubiKey 5 NFC.
Den extra omkretsen i kombination med det centrala hålet gör det lite konstigt för en nyckelring, men det fungerar.
Det är fjäderlätt på bara 3 gram, men känns ändå välbyggt.
Nära mitten av enheten finns två upphöjda metallnoder.
När du ansluter 5Ci, trycker du på dessa noder när du uppmanas att slutföra verifieringen.
Som alla YubiKey-enheter har 5Ci inget internt batteri och drar all sin kraft från den enhet som den är ansluten till.
Speciellt stöder YubiKey 5Ci inte NFC, medan Yubico Security Key NFC och YubiKey 5 NFC gör det.
YubiKey 5Ci har en unik design med dubbla ändar.
Den ena sidan har en USB-C-kontakt och den andra har en Apple Lightning-kontakt som du har sett på iPhone- och iPad-laddare i flera år.
Ironiskt nog är mitt största klagomål om 5Ci dess kontakter.
För det första hade jag svårt att hitta en dator med en USB-C-port för att testa de olika funktionerna i 5Ci.
Det är också mycket lättare att registrera nyckeln från en dator än från en mobil enhet.
Om du använder ny maskinvara är det förmodligen inte ett problem att hitta en USB-C-port, men om du är som jag och använder datorer tills de bokstavligen faller sönder kan du behöva en adapter.
För en annan passade USB-C-änden på enheten inte i Nokia 6.1 eller Asus UX360c ZenBook Flip som jag använde vid testning.
Jag var tvungen att trycka verkligen på för att få in 5Ci, och varje gång jag trodde att jag skulle bryta något.
Det fanns också några fall där det verkade som att enheten inte satt ordentligt, eftersom den inte anslöt.
Det här var ingen affärsbrott på något sätt, och efter några tryckningar och dragningar började kontakten att kännas som en bättre passform.
Kanske behöver det bara bryta in.
Lightning-kontakten, å andra sidan, fungerade anmärkningsvärt bra.
Det gick smidigt in och klippte in kraftigt.
Det var grundligt Apple-liknande, och jag har inga klagomål.
Yubico påpekade att USB-C-kontakten på 5Ci inte fungerar i iPad-modeller som har USB-C-portar.
Bild via Yubico.
Hands On med YubiKey 5Ci
Innan du kan använda 5Ci eller någon annan hårdvareautentifierare måste du registrera den för varje tjänst.
Problemet är att inte alla webbläsare eller applikationer stöder hårdvaruautentiseringsnycklar.
Jag stötte på det här problemet första gången när jag testade Yubicos säkerhetsnyckel NFC.
Då (som nu) utvidgades Apples stöd för NFC inte till säkerhetsnycklar i de flesta sammanhang.
Jag fann att det fanns fler sammanhang där 5Ci fungerade på iOS än när jag testade NFC-tangenter på iPhones, men det relativt lilla stödet är lite frustrerande.
För att testa FIDO2 / WebAuthn-supporten öppnade jag Twitter i Brave-webbläsaren, vilket Yubico föreslog att jag skulle använda eftersom det stöder webbläsarbaserad autentisering.
Jag loggade in som vanligt, navigerade till inställningsfönstret och registrerade YubiKey 5Ci.
Nästa gång jag loggade in uppmanade Twitter mig att ange min nyckel och trycka på den.
Jag följde och tog snabbt upp webbappen.
Tyvärr kunde jag inte logga in på Twitter varken Safari eller Twitter iOS-appen.
Jag kunde inte registrera Yubikey 5Ci med mitt Google-konto i Brave, Safari eller till och med Chrome.
YubiKey 5Ci stöder också engångslösenord (OTP).
I den här konfigurationen kopplar du in nyckeln och trycker på metallnoderna och en lång, unik kod spottas ut.
Här är en: ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb.
Några tjänster, som LastPass, använder den här funktionen istället för FIDO2 / WebAuthn.
Fördelen är att nyckeln läses som ett tangentbord, så det är väldigt enkelt och kräver inget extra stöd från webbläsaren.
För att testa OTP var jag först tvungen att registrera nyckeln med ett LastPass-konto.
Jag kunde inte göra det på en iPad eller iPhone.
När det gäller webbläsare fick jag inte möjlighet att använda alternativa metoder och webbläsarna kunde inte använda NFC för att läsa min YubiKey 5 NFC.
LastPass-appen gjorde läs min NFC-nyckel, men appen innehåller inte alternativ för att redigera dina registrerade hårdvarunycklar.
I slutändan var jag tvungen att hitta en bärbar dator med USB-C-portar för att registrera 5Ci.
När jag gjorde det var det enkelt att logga in på LastPass via appen eller genom LastPass-appen eller Brave-webbläsaren.
Jag angav mitt användarnamn och lösenord som vanligt och uppmanades sedan att infoga min nyckel och sedan knacka på metallnoderna på nyckeln.
En sekund senare var jag inloggad.
Dessa var bara några av de tjänster som YubiKey kan arbeta med, och Yubico har en ganska omfattande lista över webbplatser och tjänster som accepterar antingen FIDO2 / WebAuthn eller YubiKey OTP.
En företagsrepresentant nämnde 1Password, Bitwarden, Idaptive och Okta som specifika iOS-appar som redan stöder användningen av YubiKeys.
YubiKey 5Ci har alla andra knep, men de kräver alla en dator någon gång.
Till exempel kan du anpassa olika aspekter av din nyckel, som att låta den spotta ut ett förinställt lösenord när du trycker länge på metallnoderna.
Det kan också konfigureras att fungera som ett smartkort och kan spotta ut tidsbegränsade lösenord (TOTP) precis som Google Authenticator med hjälp av en desktopautentiseringsapplikation.
En Yubico-representant bekräftade för mig att, förutom NFC-kommunikation, kan YubiKey 5Ci göra vad YubiKey 5 NFC kan göra.
YubiKey 5Ci vs.
tävlingen
Det finns en mängd konkurrenter för hårdvaruautentiserare där ute, inte minst som Google.
För $ 50 skickar företaget en USB-A Google Titan-säkerhetsnyckel som använder FIDO2 / WebAuthn och en uppladdningsbar Bluetooth-dongel.
Det är en bra uppsättning, men jag har alltid varit skeptisk till att använda Bluetooth för säkerhetsenheter.
Om du äger en mobil enhet som kör Android 7.0 eller senare kan du också använda den som maskinvarautentiserare för Google-konton.
Detta har fördelen att det är helt gratis och använder befintlig hårdvara som du redan äger, men det är för närvarande begränsat i omfattning.
Det är också beroende av att batterier och radioapparater fungerar, till skillnad från alla YubiKey-enheter.
Om Googles varumärke inte är din grej kan du gå direkt till Feitian, företaget som Google har vittmärkt för Titan-nycklarna.
Dessa enheter finns i många storlekar, konfigurationer och priser.
Den enda nackdelen är den osannolika potentialen för attacker i försörjningskedjan, eftersom Feitian ligger i Kina.
Yubico är alltid snabb att påpeka att de tillverkar sina nycklar i USA och Sverige.
Vissa kanske föredrar ett alternativ med öppen källkod, till exempel NitroKey FIDO U2F.
Denna tyska enhet kostar € 22,00 och använder hårdvara och programvara med öppen källkod.
Fördelen med öppen källkodsmaskinvara är att dess säkerhet kan verifieras oberoende av tredje part.
Jag tyckte att NitroKey var kapabel, men klumpig.
Medan andra säkerhetsnycklar är tunna som, ja, nycklar, är NitroKey tjock och använder en USB-A-kontakt i full storlek.
Jag frågade en representant för Yubico om att använda open source-komponenter, och de svarade att de bästa säkra elementchipsen som finns tillgängliga helt enkelt inte är öppna källor.
En sak att tänka på är att 2FA inte kräver en hårdvarunyckel.
Google Authenticator, Duo Mobile och andra tjänster erbjuder 2FA gratis via appar.
Google och Apple säkrar konton på sina tjänster med möjlighet att autentisera från en annan pålitlig enhet.
Fördelen med hårdvarunycklar är att de fungerar utan ström eller celltjänst, men om du tycker att det är för mycket besvär med att använda en fysisk nyckel rekommenderar jag att jag bara använder vilken 2FA-metod som helst som är mest vettig för dig.
