Yubico yubikey 5ci anmeldelse & vurdering

Yubicos YubiKey-linje har været et valg til enkel, to-faktor-autentificering af hardware i årevis. Den sidste grænse for Yubico har været iPhone, som den endelig adresserer med YubiKey 5Ci. Denne lille enhed med dobbelt ende har et USB-C-stik i den ene ende og et Apple-kompatibelt Lightning-stik på den anden. Denne hydra af en hardware-nøgle fungerer nøjagtigt som den skal og leveres fyldt med funktioner, som konkurrencen ikke kan matche, men er hæmmet af begrænset support på iOS og en relativt høj pris.

Hvad er tofaktorautentisering

I praksis bruger tofaktorautentisering (2FA) to ting til at logge ind på et websted eller en tjeneste, men det er ikke her, navnet kommer fra. I stedet henviser det til en teori om godkendelse, hvor du beviser, at du skal have adgang til:

Noget, du ved.

Noget du er.

Eller noget du har.

Noget, du ved, er som et kodeord, som mennesker er forfærdelige med, og vi burde virkelig lade adgangskodeadministratorer tage sig af. Noget, du er, er som biometriske data, såsom at bruge dit fingeraftryk til at låse en telefon op. Noget, du har, kunne være en hardwareautentificator, såsom en YubiKey. 2FA er det sted, hvor du bruger to godkendere fra listen i stedet for kun en, da det er usandsynligt, at en angriber har to af de tre. Det er en enorm effektiv måde at sikre login på. Så meget, at efter Google krævede brug af 2FA hardwaretaster internt, faldt vellykkede phishing-angreb til nul.

Der er mange måder at gøre 2FA på. Modtagelse af en engangskodeord via SMS er sandsynligvis den ene, folk er mest fortrolig med, selvom dette er på vej ud på grund af sikkerhedsmæssige bekymringer. Yubico har sat spidsen for oprettelsen af ​​FIDO2-protokollen og WebAuthn-standarden, der bruger kryptografi af offentlig nøgle til sikker godkendelse. Den W3C-certificerede WebAuthn-standard har bragt denne autentificeringsstil til flere og flere browsere og tjenester i de senere år og kan være fremtiden for, hvordan vi godkender. Microsoft har for eksempel eksperimenteret med at bruge WebAuthn-enheder som YubiKeys til fuldstændig adgangskodegodkendelse.

Lavet til mobil

YubiKey-familien er vokset markant med syv forskellige nøgler i diverse størrelser og en overvægt af stik og protokoller. USB-A Yubico Security Key understøtter kun FIDO2 / WebAuthn og koster $ 20, mens USB-A Security Key NFC tilføjer trådløs support til $ 27.

Billede via Yubico.

YubiKey 5-serien, afbildet ovenfor, dækker flere enheder. Fra venstre koster USB-A YubiKey 5 NFC $ 45 og er måske den mest i stand til alle enheder. USB-C YubiKey 5C koster $ 50 og ligner mest 5Ci i sit tynde, stubbede design. 5 Nano og 5C Nano koster henholdsvis $ 50 og $ 60 og er designet til at bo inde i dine havne semi-permanent. Til $ 70 er YubiKey 5Ci den dyreste nøgle i familien.

Sammenlignet med USB-A YubiKey-designet er 5Ci lille. Det er 12 mm x 40, 3 mm og kun 5 mm tykt. Det er lidt over halvdelen af ​​bredden på en USB-A-nøgle og lidt kortere. Den er støbt i holdbar, sort plast med et metalforstærket centerhul for at fastgøre det til din nøglering. 5Ci er dog tykkere end YubiKey 5 NFC. Den ekstra omkrets sammen med dets centrale hul gør det lidt af en underlig pasform til nøglering, men det fungerer. Det er fjerlys på kun 3 gram, men føles stadig godt bygget.

Nær midten af ​​enheden er to hævede metalknudepunkter. Når du tilslutter 5Ci, skal du trykke på disse noder, når du bliver bedt om at fuldføre verifikationen. Som alle YubiKey-enheder har 5Ci intet internt batteri og trækker al sin strøm fra den enhed, som den er tilsluttet. Især understøtter YubiKey 5Ci ikke NFC, mens Yubico Security Key NFC og YubiKey 5 NFC gør det.

YubiKey 5Ci har et unikt design med dobbelt ende. Den ene side har et USB-C-stik, og den anden sport et Apple Lightning-stik, som du har set på iPhone- og iPad-opladere i årevis. Ironisk nok er min største klage over 5Ci dens stik. For det første havde jeg svært ved at finde en computer med en USB-C-port til at teste de forskellige funktioner i 5Ci. Det er også meget lettere at registrere nøglen fra en computer end den er fra en mobilenhed. Hvis du bruger nyere hardware, er det sandsynligvis ikke et problem at finde en USB-C-port, men hvis du er som mig og bruger computere, indtil de bogstaveligt talt falder fra hinanden, har du muligvis brug for en adapter.

For det andet var USB-C-enden af ​​enheden ikke en god pasform i hverken Nokia 6.1 eller Asus UX360c ZenBook Flip, som jeg brugte ved testning. Jeg var virkelig nødt til at skubbe for at få 5Ci ind, og hver gang tænkte jeg, at jeg ville bryde noget. Der var også et par tilfælde, hvor det så ud til, at enheden ikke sad korrekt, da den ikke sluttede sig. Dette var ikke nogen aftale, og efter et par skub og træk begynd stikket på at føles som en bedre pasform. Måske skal det bare bryde ind.

Lynkontakten fungerede på den anden side bemærkelsesværdigt godt. Den gik glat ind og klippede fast ind. Det var grundigt Apple-lignende, og jeg har ingen klager. Yubico påpegede, at USB-C-stikket på 5Ci ikke fungerer i iPad-modeller, der har USB-C-porte.

Billede via Yubico.

Hænderne på med YubiKey 5Ci

Inden du kan bruge 5Ci eller en hvilken som helst anden hardwareautentificering, skal du tilmelde den til hver tjeneste. Problemet er, at ikke alle browsere eller applikationer understøtter hardwareautentificeringsnøgler. Jeg løb ind i dette problem første gang, da jeg testede Yubicos sikkerhedsnøgle NFC. Dengang (som nu) omfattede Apples support til NFC ikke sikkerhedsnøgler i de fleste sammenhænge. Jeg fandt, at der var flere kontekster, hvor 5Ci arbejdede på iOS, end da jeg testede NFC-nøgler på iPhones, men den relativt lille support er en smule frustrerende.

For at teste FIDO2 / WebAuthn-understøttelsen åbnede jeg Twitter i den Brave browser, som Yubico foreslog, at jeg ville bruge, fordi det understøtter browser-baseret godkendelse. Jeg loggede ind som sædvanligt, navigerede til indstillingsruden og tilmeldte YubiKey 5Ci. Næste gang jeg loggede på, bad Twitter mig om at indtaste min nøgle og trykke på den. Jeg overholdt, og bragt hurtigt op appen.

Desværre kunne jeg ikke logge ind på Twitter med hverken Safari eller Twitter iOS-appen. Jeg var heller ikke i stand til at tilmelde mig Yubikey 5Ci med min Google-konto i Brave, Safari eller endda Chrome.

YubiKey 5Ci understøtter også engangsadgangskoder (OTP). I denne konfiguration tilslutter du nøglen og trykker på metalknudepunkterne, og en lang, unik kode spytes ud. Her er en: ccccccciichjarvekkfjidvvutlhidkgdffrcrrdkfwwheb. Et par tjenester, som LastPass, bruger denne funktion i stedet for FIDO2 / WebAuthn. Fordelen er, at nøglen læses som et tastatur, så den er meget enkel og kræver ingen yderligere support fra browseren.

For at teste OTP'er måtte jeg først tilmelde nøglen med en LastPass-konto. Jeg var ikke i stand til at gøre dette på en iPad eller iPhone. I tilfælde af browsere fik jeg ikke mulighed for at bruge alternative metoder, og browsere kunne ikke bruge NFC til at læse min YubiKey 5 NFC. LastPass-appen læste min NFC-nøgle, men appen inkluderer ikke muligheder for at redigere dine tilmeldte hardwaretaster. I sidste ende måtte jeg finde en bærbar computer med USB-C-porte for at tilmelde mig 5Ci. Når jeg gjorde det, var det hurtigt at logge ind på LastPass via appen eller gennem LastPass-appen eller den Brave browser. Jeg indtastede mit brugernavn og adgangskode som sædvanligt og blev derefter bedt om at indsætte min nøgle og derefter trykke på metalnoder på nøglen. Et sekund senere blev jeg logget ind.

Dette var blot et par af de tjenester, som YubiKey kan arbejde med, og Yubico opretholder en ret omfattende liste over websteder og tjenester, der accepterer enten FIDO2 / WebAuthn eller YubiKey OTP'er. En virksomhedsrepræsentant nævnte 1Password, Bitwarden, Idaptive og Okta som specifikke iOS-apps, der allerede understøtter brugen af ​​YubiKeys.

YubiKey 5Ci har alle andre slags tricks, men de kræver alle en computer på et tidspunkt. For eksempel kan du tilpasse forskellige aspekter af din nøgle, såsom at få den til at spytte et forudindstillet kodeord, når du trykker længe på metalknudene. Det kan også konfigureres til at fungere som et smartkort og kan spytte tidsbegrænsede adgangskoder (TOTP'er) ligesom Google Authenticator ved hjælp af et desktop-autentificeringsprogram. En Yubico-repræsentant bekræftede for mig, at YubiKey 5Ci, bortset fra NFC-kommunikation, kan gøre alt, hvad YubiKey 5 NFC kan gøre.

YubiKey 5Ci vs. konkurrencen

Der er en række hardwareautentificatorkonkurrencer derude, ikke mindst Google. For $ 50 sender virksomheden dig en USB-A Google Titan Security Key, der bruger FIDO2 / WebAuthn og en genopladelig Bluetooth-dongle. Det er et godt sæt, men jeg har altid været skeptisk til at bruge Bluetooth til sikkerhedsenheder.

Hvis du ejer en mobilenhed, der kører Android 7.0 eller nyere, kan du også bruge den som en hardwareautentificering til Google-konti. Dette har fordelen ved at være helt gratis og bruge eksisterende hardware, som du allerede ejer, men det er i øjeblikket begrænset i omfang. Det er også afhængig af, at batterier og radioer fungerer, i modsætning til alle YubiKey-enheder.

Hvis Google-branding ikke er din ting, kan du gå direkte til Feitian, det firma, som Google markerede for Titan-nøglerne. Disse enheder findes i mange størrelser, konfigurationer og priser. Den eneste ulempe er det usandsynlige potentiale for angreb på forsyningskæden, da Feitian er beliggende i Kina. Yubico er altid hurtig til at påpege, at den fremstiller sine nøgler i USA og Sverige.

Nogle foretrækker muligvis et open source-alternativ, såsom NitroKey FIDO U2F. Denne tyske enhed kører € 22, 00 og bruger open source hardware og software. Fordelen ved open source-hardware er, at dens sikkerhed uafhængigt kan verificeres af enhver tredjepart. Jeg fandt, at NitroKey var i stand, men klodset. Mens andre sikkerhedstaster er tynde som, godt, nøgler, er NitroKey chunky og bruger et USB-A-stik i fuld størrelse. Jeg spurgte en repræsentant for Yubico om anvendelse af open source-komponenter, og de svarede, at de bedste sikre elementchips simpelthen ikke er åbne.

Én ting at huske er, at 2FA ikke kræver en hardwarenøgle. Google Authenticator, Duo Mobile og andre tjenester tilbyder 2FA gratis via apps. Google og Apple sikrer konti på deres tjenester med mulighed for at autentificere fra en anden betroet enhed. Fordelen ved hardwaretaster er, at de fungerer uden strøm eller celle service, men hvis du synes, at det er for meget besvær at bruge en fysisk nøgle, anbefaler jeg simpelthen at bruge uanset hvilken 2FA-metode der giver dig mest mening.

For meget, for snart

Mine eneste virkelige klager med selve YubiKey 5Ci er prisen og dets klistrede USB-C-stik (som kan blive bedre med tiden). Den virkelige besvær er support på iOS-enheder, som, selvom de forbedres, stadig er begrænsede. Det er ikke rigtig Yubicos skyld, men det er frustrerende, fordi USB-C YubiKey koster 20 $ mindre. Jeg ville elske det, hvis Apple og andre udviklere begyndte at arbejde alvorligt med at udvide support til alle slags hardwaretaster. Når det sker, vil YubiKey 5Ci virkelig skinne. Indtil da forbliver vores Editors 'Choice-badge Sikkerhedsnøglen fra Yubico, der koster blot $ 20 og vil fungere næsten overalt, hvor du sætter et USB-A-stik.