Что такое YubiKey? Внешнее устройство, используемое для аутентификации личности | Gate.io
YubiKey обеспечивает двухфакторную, многофакторную и беспарольную аутентификацию с бесшовным касанием при входе в систему и защищает доступ к различным устройствам, сетям и онлайн-сервисам. Аппаратное устройство аутентификации производства компании Yubico обеспечивает столь необходимую дополнительную защиту компьютерных систем, цифровых устройств и личных счетов и не требует установки программного приложения или батареи на главном устройстве. В этой статье Вы узнаете о компании Yubikey, случаях ее использования и о том, как она работает.
Введение
Что такое YubiKey? Обеспечение надежной защиты от атак кибербезопасности
Как работает YubiKey?
Как настроить Юбикей?
Что такое двухфакторная аутентификация?
Важность Yubikey
Партнерские отношения YubiKey
Заключение
Введение
В киберпространстве наблюдается большая обеспокоенность в связи с растущим числом атак на компьютерные системы, сети и цифровые устройства в области кибербезопасности.
Хакеры становятся все более изощренными и разрабатывают все новые способы проникновения в учетные записи и частную жизнь отдельных лиц и компаний с целью раскрытия и кражи их данных или активов. Эти угрозы, такие как взломы, фишинговые атаки и т.д., привели к потере миллионов долларов и утечке жизненно важных данных.
«YubiKey», созданный на основе популярной фразы «ваш вездесущий ключ» — это изменение в технологической отрасли, которое направлено на решение проблемы нарушения безопасности, с которой сталкиваются компании и пользователи. Проект обеспечивает многопротокольную поддержку FIDO2/Web Authn, U2F, Smart Card, OpenPGP, OTP, USB-A, USB-C, Lightning и NFC.
YubiKey поддерживает биометрическую аутентификацию с помощью распознавания отпечатков пальцев, повышая безопасность, которую желают обеспечить компании и пользователи, благодаря безопасному и беспроблемному беспарольному входу в систему.
Что такое YubiKey? Обеспечение надежной защиты от атак кибербезопасности
YubiKey — это аппаратное устройство двухфакторной аутентификации, которое реализует алгоритм временного пароля на основе HMAC (HOTP) и алгоритм одноразового пароля на основе времени (TOTP), способный генерировать одноразовые пароли (OTP), позволяя пользователям подписывать, шифровать и расшифровывать информацию без раскрытия закрытых ключей третьим лицам, таким образом, предотвращая атаки кибербезопасности и потери в результате этих атак.
Запущен в 2007 году шведской частной фирмой «Юбико». Компания YubiKey — детище Стины Эренсверд (нынешнего генерального директора компании) при поддержке ее мужа, Якоба Эренсверда (технического директора Yubikey). Офисы компании расположены в Пало-Альто, Калифорния, Сиэтле и Стокгольме.
YubiKey — это аппаратное средство, которое обеспечивает множество методов безопасной аутентификации и шифрования и поддерживает множество вариантов использования и интересных приложений. Цель — защитить мобильные устройства, компьютерные системы, сети и, самое главное, каждого пользователя Интернета, сделав безопасный вход в систему доступным и простым для всех.
Кроме того, YubiKey является наиболее широко используемым аппаратным устройством двухфакторной аутентификации (2FA) и сотрудничает с ведущими технологическими компаниями мира, такими как Google, Amazon, Microsoft, Firefox, Facebook, Twitter и др. для обеспечения безопасности своих сотрудников и пользователей от атак кибербезопасности.
Ее можно использовать в большинстве компьютерных систем с помощью встроенных драйверов системы, поскольку она подключается к порту универсальной последовательной шины (USB) и идентифицируется как стандартная клавиатура USB Human Interface Device (HID).
Кроме того, YubiKey состоит из встроенной сенсорной кнопки, которая активирует генерацию одноразового пароля (OTP). Сгенерированные ОТР передаются через путь ввода клавиатуры в виде эмулированных нажатий клавиш, что делает возможным получение ОТР любым полем ввода текста или командной строкой.
Как работает YubiKey?
Yubikey работает аналогично аутентификатору App, но требует, чтобы Вы подключили его к USB-порту Вашего устройства и нажали кнопку на Yubikey. Он генерирует одноразовый пароль и сразу же отправляет уникальный код на хост-устройство, аналогично набору пароля с помощью клавиатуры.
Затем служба может использовать пароль для аутентификации Вашей личности и, таким образом, одобрить запрос или команду. Это более удобный и простой способ использования, поскольку Вам не нужно вручную набирать коды, и более безопасный, поскольку отправляемые коды намного длиннее и надежнее — набор из 44 символов.
Как настроить Yubikey?
Чтобы использовать аппаратное устройство, Вам необходимо зарегистрировать YubiKey и настроить его, аналогично настройке 2FA на основе приложений, например, Google Authenticator.
Вот краткое пошаговое руководство:
- В Вашем устройстве перейдите в Настройки безопасности поддерживаемой услуги и выберите «Добавить ключ безопасности».
- Вставьте YubiKey в USB-порт Вашего устройства — мобильного, настольного или ноутбука — и нажмите на кнопку на YubiKey, чтобы убедиться, что Вы человек, а не робот или хакер. Пароль будет автоматически введен в нужную графу Вашего устройства.
- Нажмите Вход или войдите на своем устройстве, чтобы завершить регистрацию.
- Кроме того, Вы можете выбрать приложение, которое Вы собираетесь защитить, просмотрев список поддерживаемых приложений и следуя простым инструкциям.
NB: После настройки нет необходимости в многократной регистрации.
Что такое двухфакторная аутентификация?
Двухфакторная аутентификация (2FA) — это форма безопасности, которая в основном используется для защиты цифровых активов и личных счетов. По сути, он добавляет дополнительный уровень безопасности к Вашим устройствам и учетным записям при проведении определенной операции или деятельности.
Цель 2FA — предотвратить хакерские, фишинговые атаки и атаки вредоносного ПО, а также обеспечить безопасность Ваших цифровых активов и данных.
При использовании 2FA для входа в систему Вам необходимы две вещи: Ваше имя пользователя/пароль и код, сгенерированный либо с помощью Вашего мобильного устройства (одноразовый код SMS или Email), либо с помощью App Authenticator, либо с помощью аппаратного устройства — Yubikey.
Безопаснее входить в свою учетную запись или устройство с помощью аппаратного устройства. Это связано с тем, что коды SMS или Email не зашифрованы и требуют открытия приложения на Вашем телефоне и копирования кода, что подвергает Вас определенным рискам безопасности.
Но с Yubikey нет необходимости запоминать пароль или копировать и вставлять его в нужное место. Yubikey предлагает беспроблемный, безопасный и очень трудно взламываемый длинный и запутанный пароль, срок действия которого истекает через несколько минут. Обычно пароль для входа отправляется при касании YubiKey для прямого подтверждения Вашей личности.
Категории в двухфакторной аутентификации (2FA)
Существует три основных способа включить двухфакторную аутентификацию:
Коды аутентификации по SMS и электронной почте
Большинство приложений используют эту форму 2FA для проверки личности и требуют, чтобы Вы вручную вводили пароль для входа в систему. Этот метод является наименее безопасным, поскольку служба коротких сообщений (SMS) и электронная почта являются незашифрованными и легко уязвимыми для взлома и атак вредоносных программ.
Использование аутентификатора приложений
Такие приложения-аутентификаторы, как Google authenticator или Authy, обеспечивают более высокую безопасность по сравнению с SMS или Email аутентификаторами, хотя все еще уязвимы для атак кибербезопасности.
Большинство приложений или услуг, в которые Вы хотите войти, попросят Вас ввести код, который Вы можете получить, открыв приложение безопасности на своем телефоне. Вы должны всегда иметь свой телефон рядом, открыть приложение (например, Google Authenticator), затем ввести или, лучше всего, скопировать и вставить код, который был предоставлен в приложении.
Использование аппаратного аутентификатора
Аппаратные аутентификаторы, такие как Yubikey, обеспечивают превосходную защиту, удобны в использовании и более устойчивы к сложным атакам кибербезопасности, чем два вышеперечисленных. С этим устройством Вам не нужно открывать приложение на телефоне или вводить пароль. Пароли могут быть введены в сервис автоматически, нажатием кнопки на аппаратном устройстве. Эта техника установки является наиболее удобной и обеспечивает очень высокую безопасность.
Важность Yubikey
- Информация для входа в систему: Аппаратное устройство может безопасно и независимо хранить информацию для входа в систему с любого компьютера.
- Более длинный пароль: Устройство имеет более длинный пароль, что не позволяет хакерам получить легкий доступ.
- Сильная безопасность: Аппаратное устройство обеспечивает сильную защиту от атак кибербезопасности, таких как фишинговые атаки, взломы и т.д.
- Удобство в использовании: Не требует от пользователей копирования и вставки или ручного ввода пароля, но они могут быть отправлены в приложение для подтверждения своей личности простым прикосновением к устройству.
- Внешнее устройство: Yubikey — это внешнее устройство, для работы которого не требуется подключение к Интернету, что повышает безопасность и надежность пароля для входа.
Партнерские отношения YubiKey
Yubikey сотрудничает с несколькими ведущими технологическими гигантами, такими как Google, Amazon, Microsoft, Twitter, Facebook и т.д., чтобы обеспечить дополнительную защиту своих устройств и данных, защищая их от атак кибербезопасности — в частности, от хакеров и фишинговых атак.
YubiKey на Gate.io
Gate.io — это, пожалуй, самая старая централизованная биржа с огромным запасом криптовалют как в горячих, так и в холодных кошельках, и с все более растущим числом пользователей. Безопасность и сохранность средств пользователей и систем блокчейн на протяжении многих лет являются приоритетными. Интеграция устройств безопасности Yubikey направлена на повышение безопасности и предотвращение атак кибербезопасности.
В настоящее время Gate.io поддерживает вход с Yubikey (Gate UKey), и в этом разделе мы будем изучать, как Вы можете эффективно защитить свой аккаунт на бирже с помощью этого средства защиты.
Итак, чтобы использовать это устройство — Yubikey — Вам необходимо установить его на свое устройство (планшет, ноутбук или смартфон). Вы можете выполнить следующие шаги для регистрации Вашего устройства безопасности.
- Сначала подключите Yubikey к USB-порту Вашего устройства и перейдите в настройки устройства, чтобы установить ключ безопасности USB.
- После подключения Вы заметите мигающий индикатор на Yubikey, нажмите на кнопку, чтобы завершить настройку или аутентификацию.
Это автоматически зарегистрирует Ваш Yubikey на Вашем устройстве, и теперь Вы можете использовать его для входа в Ваш аккаунт Gate для совершения транзакций.
После настройки Вы можете опробовать его:
- Вставка Вашего Yubikey в USB-порт Вашего устройства
- Затем нажмите кнопку на Yubikey
- На Вашем экране появится набор буквенно-цифровых символов, который автоматически удостоверяет Вашу личность и завершает транзакции.
Заключение
Если Вы желаете повысить уровень безопасности Ваших цифровых устройств и сохранность Ваших данных, то покупка одного из продуктов YubiKeys будет лучшим вариантом, поскольку устройство обеспечивает высокий уровень защиты от действий изощренных хакеров.
Это подтверждается ее партнерством с ведущими технологическими компаниями и ее широким признанием тысячами предприятий и миллионами пользователей в более чем 160 странах. В двух словах, YubiKey — это 2FA, который является более безопасным и простым в эксплуатации, чем его конкуренты.
Автор: Paul
Переводчик: cedar
Рецензент(ы): Edward、Ashely
* Информация не предназначена и не является финансовым советом или любой другой рекомендацией любого рода, предложенной или одобренной Gate.io.
* Эта статья не может быть опубликована, передана или скопирована без ссылки на Gate.io. Нарушение является нарушением Закона об авторском праве и может повлечь за собой судебное разбирательство.
Статьи по теме
Руководство по трейдингу для начинающих
Эта статья открывает ворота в криптовалютную торговлю, исследует неизвестные области, объясняет криптопроекты и предупреждает читателей о потенциальных рисках.
Nov 21, 2022
Что такое тройные сигналы вершины и дна?
Модели тройной вершины и дна используются для определения разворотов тренда на графике. При хорошем изучении оба паттерна могут помочь Вам понять, когда нужно выходить из тренда.
Jan 16, 2023
Что такое ЗЭК?
ZEC (Zcash) был запущен 28 октября 2016 года и относится к категории монет конфиденциальности на криптовалютном рынке. ZEC — это первая блокчейн-система, использующая механизм доказательства нулевого знания, который обеспечивает полную конфиденциальность платежей, сохраняя при этом децентрализованную сеть на публичном блокчейне. Как и в случае с BTC, общий объем предложения ZEC составляет 21 миллион. Однако, в отличие от BTC, транзакции на ZEC автоматически скрывают отправителя, получателя и сумму в блокчейне, и только те, у кого есть ключи, могут видеть содержание транзакций. Пользователи имеют полный контроль над своими ключами и могут выбирать, предоставлять ли их другим лицам для просмотра информации. ZEC можно рассматривать как ответвление BTC, поскольку он сохраняет оригинальную модель BTC и основан на модификациях версии кода Биткойна.
Yubikey для дома и офиса
На приобретение Yubikey меня вдохновил Хабр материал из опубликованной ранее статьи. Может быть, и моё творчество способно вдохновить кого-то на подобные действия, и в результате будут появляться все новые и новые информационные блоки не раскрытых ранее областей применения подобных аппаратных ключей шифрования. Такой своего рода прирост человеческих знаний. IT-гикам будет понятнее, что с такой штукой можно сделать, куда её вставить и как применить по назначению. В статье рассмотрена модернизация входа в учётную запись Windows , работа с GPG шифрованием, в том числе использование Yubikey для SSH как на Linux, так и на Windows, подружим с ним LUKS , а также продемонстрируем работу TOTP аутентификации на примере Github. Материал не носит рекламный характер. Создан гиком для гиков, содержит только материалы практики. Минимум воды и научных изысканий.
Буквально пару месяцев назад стоимость такого аппаратного ключа шифрования составляла около 5 тысяч рублей. Это немало, с учётом того факта, что на рынке можно найти более дешёвые аналоги. Однако разбираться в них не хотелось, особенно, что касается интеграции в управляемую экосистему, поэтому было решено довериться мнению автора, ссылку на статью которого я приводил выше. Особенно с учётом того, что для меня было актуально всё, что в ней раскрыто. Токен был очно приобретён у официального поставщика на окраине Москвы, на что пришлось потратиться в плане личного времени. Нашёл нужную дверь в бизнес-центре, за которой вежливые ребята достали из коробки уже мой Yubikey, после чего и начался немного тернистый путь его интеграции в IT-инфраструктуру. Кстати, схема ниже, взятая на сайте производителя, показывает полный спектр применения аппаратного ключа, и кое-что из неё мы рассмотрим в статье.
Дополню немного о современных реалиях. Повторюсь, что до 24 февраля цена Yubikey составляла около 5 тысяч рублей. Теперь налицо реальные проблемы с его фактическим наличием и слегка подросшей ценой.
▍ Вход в учётную запись Windows
Самое лёгкое, что можно настроить, это дополнительную защиту учётной записи Windows при локальном входе. Открываем официальный сайт, скачиваем необходимую программу в разделе «Computer login tools», устанавливаем её в соответствии с инструкцией, там всё просто. После этого вход в операционную систему будет выглядеть, как показано ниже (картинка взята из официальной документации):
Для Windows 7 привожу иллюстрацию собственного изготовления, не такую красивую, зато handmade:
В процессе будет сгенерирован резервный код, которым можно воспользоваться для входа в операционную систему, если Yubikey будет утерян или недоступен. Записать его можно даже в память головного мозга блокнот, выглядит он примерно так:
D7FGL3J3KHTPA4CL34IVFOEIDIIKJ09JDLCKGI3KSAPME8XF 
Применить такой ключ можно сколько угодно раз, однако будьте осторожны. Из личного опыта: были проблемы с повторным использованием резервного кода на некоторых старых версиях операционной системы. Это достаточно забавная ситуация, когда при первой попытке вход в Windows удаётся, а при следующей уже нет. При этом загрузиться с помощью Yubikey возможно. Далее ситуация повторяется. Однако, это исключение из правила, к которому нужно быть готовым.
У кого-то может возникнуть желание полностью отказаться от пароля для учётной записи. Вместо него — есть аппаратный ключ. Однако это не совсем безопасно, ведь сетевой доступ к операционной системе таким образом не защищён, в том числе по протоколу SMB. Другими словами, к общим файлам и папкам подключаемся — как обычно. Yubikey роли не играет.
▍ Работа с GPG шифрованием
Это блок появился благодаря острой необходимости подключения к удалённым серверам по протоколу SSH и желанием иметь секретный ключ, сохранённый в памяти аппаратного девайса. Работать с современным алгоритмом шифрования ed25519-sk , как подробно описано здесь, безболезненно не получится. Всё классно, и нажимать кнопку Yubikey тоже по душе и выглядит очень современно. Однако для работы с ним понадобится программное обеспечение OpenSSH версии 8.2, установленное на удалённом сервере, а это, например, Debian 10. С более старыми версиями операционной системы придётся заурядно поплясать, чего бы я ни рекомендовал делать, чтобы не терять время даром. Дополнительно, в качестве клиента часто выступают Windows-устройства, с установленным Putty, с которым ed25519-sk не умеет работать совсем. Выше озвучен проблемный вопрос. Решением его будет использование GPG шифрования при работе с SSH. Генерируем новые ключи прямо на Yubikey, для этого воспользуемся операционной системой Linux:
gpg --card-edit admin key-attr 1 #RSA sign 2048 1 #RSA crypt 2048 1 #RSA auth 2048 generate n 0 y . O Размер ключа рекомендую использовать 2048 байт, так как с 4096 в дальнейшем будут проблемы совместимости с серверным программным обеспечением. Если всё пройдёт нормально, то выглядеть это будет примерно так (кстати «gpg —card-edit» аналогично работает и в командной строке Windows):
Reader . 0000:0000:000000000000:0 Application ID . 0000000000000000000 Application type .: OpenPGP Version . 3.4 Manufacturer . Yubico Serial number . 0000000000 Name of cardholder: am Language prefs . [not set] Salutation . URL of public key : https://github.com/am.keys Login data . [not set] Signature PIN . not forced Key attributes . rsa2048 rsa2048 rsa2048 Max. PIN lengths .: 127 127 127 PIN retry counter : 3 3 3 Signature counter : 4 KDF setting . off Signature key . 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 created . 2022-03-05 01:25:37 Encryption key. 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 created . 2022-03-05 01:25:37 Authentication key: 0000 0000 0000 0000 0000 0000 0000 0000 0000 0000 created . 2022-03-05 01:25:37 General key info. pub rsa2048/0000000000 2022-03-05 my (yubikey) sec> rsa2048/0000000000 created: 2022-03-05 expires: never card-no: 0000 00000000 ssb> rsa2048/0000000000 created: 2022-03-05 expires: never card-no: 0000 00000000 ssb> rsa2048/0000000000 created: 2022-03-05 expires: never card-no: 0000 00000000 Перечень команд, которые поддерживаются программой GPG, приведу, для ознакомления, под спойлером.
GPG help
gpg —card-edit —expert
admin
factory-reset
key-attr
info
list
passwd
generate
Commands:
-s, —sign make a signature
—clear-sign make a clear text signature
-b, —detach-sign make a detached signature
-e, —encrypt encrypt data
-c, —symmetric encryption only with symmetric cipher
-d, —decrypt decrypt data (default)
—verify verify a signature
-k, —list-keys list keys
—list-signatures list keys and signatures
—check-signatures list and check key signatures
—fingerprint list keys and fingerprints
-K, —list-secret-keys list secret keys
—generate-key generate a new key pair
—quick-generate-key quickly generate a new key pair
—quick-add-uid quickly add a new user-id
—quick-revoke-uid quickly revoke a user-id
—quick-set-expire quickly set a new expiration date
—full-generate-key full featured key pair generation
—generate-revocation generate a revocation certificate
—delete-keys remove keys from the public keyring
—delete-secret-keys remove keys from the secret keyring
—quick-sign-key quickly sign a key
—quick-lsign-key quickly sign a key locally
—quick-revoke-sig quickly revoke a key signature
—sign-key sign a key
—lsign-key sign a key locally
—edit-key sign or edit a key
—change-passphrase change a passphrase
—export export keys
—send-keys export keys to a keyserver
—receive-keys import keys from a keyserver
—search-keys search for keys on a keyserver
—refresh-keys update all keys from a keyserver
—import import/merge keys
—card-status print the card status
—edit-card change data on a card
—change-pin change a card’s PIN
—update-trustdb update the trust database
—print-md print message digests
—server run in server mode
—tofu-policy VALUE set the TOFU policy for a key
-a, —armor create ascii armored output
-r, —recipient USER-ID encrypt for USER-ID
-u, —local-user USER-ID use USER-ID to sign or decrypt
-z N set compress level to N (0 disables)
—textmode use canonical text mode
-o, —output FILE write output to FILE
-v, —verbose verbose
-n, —dry-run do not make any changes
-i, —interactive prompt before overwriting
—openpgp use strict OpenPGP behavior
Тоже самое, но уже в Kleopatra (Windows-клиенте для работы с GPG):
Отлично, RSA ключи имеются. Их можно без проблем использовать для шифрования и подписи файлов или даже текста через дружественный интерфейс Kleopatra. Например, открываем блокнот и пишем нужный текст, предварительно указав получателя:
Пробуем расшифровать. Разумеется, при обращении к private key — программа запросит PIN от Yubikey:
Теперь применим RSA для SSH. Экспортируем нужный ключ в файл, затем добавим его на удалённый сервер:
gpg --export --armor 000000000000000000000 > yubikey_auth_public.asc cat yubikey_auth_public.asc >> .ssh/authorized_keys Осталось настроить агент для GPG службы, чтобы он обращался при необходимости к аппаратному ключу шифрования. Для этого на Windows:
cmd.exe gpg-connect-agent /bye C:\Users\Администратор\AppData\Roaming\gnupg\gpg-agent.conf enable-putty-support enable-ssh-support use-standard-socket default-cache-ttl 600 max-cache-ttl 7200 gpg-connect-agent killagent /bye gpg-connect-agent /bye gpg --card-status Пробуем воспользоваться Putty для подключения к удалённому серверу:
Для автоматизации запуска GPG агента после загрузки Windows подготовим скрипт «gpg-agent.bat, содержащий всего одну строку»:
gpgconf --launch gpg-agent Далее можно воспользоваться планировщиком, создав простую задачу, которая при запуске компьютера будет исполнять соответствующий сценарий:
Того же результата возможно добиться посредством правки реестра:
regedit.exe hklm\software\microsoft\windows\currentversion\run\Yubikey "C:\ gpg-agent.bat" Можно обойтись и без .bat файла, для этого при создании задачи в разделе Действия указываем Действие «Запуск программы», в Программа или сценарий «gpgconf» и Аргументом «—launch-gpg-agent».
Для настройки GPG агента в Linux выполняем следующие команды:
echo 'enable-ssh-support' > ~/.gnupg/gpg-agent.conf systemctl --user enable gpg-agent systemctl --user restart gpg-agent echo 'export SSH_AUTH_SOCK=$(gpgconf --list-dirs agent-ssh-socket)' >> ~/.bashrc ssh root@my.ru После этого GPG агент запросит PIN код от Yubikey (аналогично Putty), после корректного ввода которого произойдёт подключение к удалённому серверу по SSH протоколу:
login as: root Authenticating with public key "cardno:00000000000000" from agent Разберём SSH авторизацию с помощью аппаратного ключа на оборудовании MikroTik и Cisco . Для первого подготавливаем файл, содержащий открытый ключ, по аналогии с Linux сервером, копируем его на устройство и импортируем для нужного пользователя:
cat yubikey_auth_public.asc ssh-rsa AA. VDX openpgp:0xBB. B /user ssh-keys import user=admin public-key-file=flash/yubikey_auth_public.asc Для Cisco немного сложнее. Разбиваем открытый ключ по 100 символов, так как IOS поддерживает не более 254 символов в одной строке. Далее импортируем для нужного пользователя открытый ключ полученными частями:
fold -b -w100 yubikey_auth_public.asc AA. O H. 9 N. M e. b configure terminal ip ssh pubkey-chain username admin key-string AA. O H. 9 N. M e. b exit show run | beg pubkey На этом рассмотрение работы с GPG шифрованием закончим. Для кого тема совсем новая и непонятная, рекомендую к чтению свежие материалы с Хабра. Стоит упомянуть, что возможно сохранить уже имеющиеся RSA ключи на Yubikey, что удобно в определённой ситуации. Кроме этого, после генерации RSA ключей на девайсе, работать с ed25519-sk не выйдет, так как слот будет сконфигурирован под другой алгоритм шифрования.
▍ Yubikey и LUKS
Вход в учётную запись Linux с помощью аппаратного ключа шифрования по аналогии с операционной системой Windows настраивать не будем, а сразу перейдём к интеграции Yubikey в LUKS. Кто не в теме, пару слов, что это такое. Linux Unified Key Setup – это стандарт для создания криптоконтейнеров в Linux. Устанавливаем необходимое программное обеспечение и инициируем использование второго слота YubiKey:
apt install yubikey-luks yubikey-personalization scdaemon ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible Y Смотрим, где у нас создан криптоконтейнер и добавляем Yubikey для зашифрованного раздела жёсткого диска и раздела подкачки:
cat /etc/crypttab yubikey-luks-enroll -d /dev/sda5 yubikey-luks-enroll -d /dev/sda6 Сначала нужно будет ввести короткий пароль для ключа в Yubikey, что-то вроде PIN. Затем его повторить. И в последнюю очередь ввести пароль доступа к криптоконтейнеру LUKS. Если всё нормально, то при перезагрузке будет предложено ввести «PIN код» (повторюсь, что-то вроде PIN) от аппаратного ключа шифрования:
Здесь важно отметить, что возможность входа по паролю доступа к криптоконтейнеру LUKS сохранилась. Это будет удобно, когда остро необходимо воспользоваться операционной системой Windows, защищённой с помощью «Computer login tools» от Yubikey и в условиях, когда аппаратного ключа шифрования нет под рукой. Можно без него загрузиться из-под Linux (разумеется, на ноутбуке должны быть установлены соответствующие операционные системы) и выписать на листочек резервный код для входа в Windows. Далее воспользоваться им по назначению, как описано в первой части статьи. «PIN код» может быть достаточно простым, в отличие от пароля LUKS, а использовать его модно и молодёжно.
▍ Работа TOTP аутентификации
Что такое TOTP аутентификация коротко и хорошо описано в статье, на которую я неоднократно ссылаюсь. Здесь рассмотрим этот вопрос с чисто практической стороны на примере Github. Устанавливаем на смартфон бесплатное приложение «Yubico Authenticator»:
Входим в личный кабинет github.com. Переходим в Settings -> Password and authentication -> Two-factor authentication -> Authenticator app:
Далее выполняем действия, предлагаемые дружественным интерфейсом, и привязываем мобильное приложение «Yubico Authenticator» и Yubikey к личному кабинету (этап сканирования QR кода). В процессе будут созданы одноразовые Recovery codes, которые выглядят примерно так:
11111-111111 22222-222222 33333-222222 44444-222222 … 55555-222222 66666-222222 Теперь при входе в личный кабинет Github после ввода логина и пароля нас приветствует окно 2FA:
Authentication code сгенерирует программа на телефоне. Открываем «Yubico Authenticator», подносим вплотную аппаратный ключ к NFC считывателю смартфона. Для моего Iphone – это обратная сторона рядом с камерой:
Когда произойдёт беспроводное считывание, приложением будет сгенерирован Authentication code для ввода в личный кабинет Github, который имеет ограниченное время жизни, визуально выделенное секторально-уменьшающимся серым кружком, расположенным на экране справа:
Другие интернет-сервисы, имеющие возможность двух факторной авторизации на основе технологии TOTP, в том числе те, о которых нельзя говорить и думать вслух, настраиваются аналогичным образом. И их становится с каждым днём всё больше.
▍ Выводы
Подведём итоги. В статье исключительно с практической точки зрения рассмотрены пути применения аппаратного ключа Yubikey, которые могут быть адаптированы как для дома, так и для офиса. Аутентификация в Windows, GPG, SSH, LUKS и TOTP рассмотрены с позиции настройки. Разумеется, двухфакторная аутентификация задумана, чтобы сделать цифровой мир более безопасным. И одной из наиболее перспективных технологий, применяемых в ней, являются аппаратные ключи шифрования. Но между тем, зная, что без Yubikey в учётную запись не войти, можно использовать не криптостойкие пароли, полагаясь на сохранность ключа. И даже использовать один пароль для разных интернет-сервисов, защищённых посредством осязаемого токена, не переживая за инсайдерские и хакерские сливы. Только об этом никому ни слова.
- Блог компании RUVDS.com
- Информационная безопасность
Yubikey что это
Если вы хотите узнать, как настроить двухфакторную аутентификацию (2FA) с помощью YubiKey, нажмите здесь .
YubiKey – это USB-устройство, которое вставляется в компьютер и генерирует уникальный пароль при каждом касании или нажатии на кнопку.
Пароль можно использовать для входа в аккаунт , ввода и вывода средств или в качестве мастер-ключа . Внимание: для каждого действия с аккаунтом необходимо установить отдельную 2FA.
YubiKey нельзя использовать для 2FA для торговли , пока мы не внедрим поддержку FIDO U2F .
Как работает YubiKey?
Пароли генерируются с помощью секретного кода, который известен только используемому вами сервису (например, Kraken) и вашему YubiKey, а также счетчика, который считает количество сгенерированных YubiKey паролей.
Где купить YubiKey?
Вы можете приобрести YubiKey на веб-сайте Yubico , производителя YubiKey.
Убедитесь, что приобретаемый YubiKey соответствует нашим требованиям совместимости .
Зачем использовать YubiKey вместо другого метода 2FA?
Вот несколько причин, по которым YubiKey предпочтительнее использовать вместо других методов 2FA:
Простота: все, что вам нужно сделать с YubiKey, – вставить его в ваш компьютер и коснуться кнопки или нажать на нее. Не нужно копировать пароль из приложения для аутентификации или бояться, что у вашего устройства закончится заряд.
Сложнее потерять: в службу поддержки Kraken поступает много заявок относительно потерянных телефонов. По нашему опыту можем сказать, что клиент с меньшей вероятностью потеряет устройство для 2FA, чем телефон, который вы всегда носите с собой.
Конфиденциальность: даже если вы потеряете YubiKey, на нем нет личной информации о его владельце или сервисах, где он использовался. В то же время в приложении для аутентификации упоминается название веб-сайта и информация об аккаунте, где используется приложение, так как пароль нужно вводить вручную (это настройку можно изменить/удалить, но большинство людей использует настройки по умолчанию).
Безопасность: одноразовые пароли (OTP), генерируемые YubiKey, значительно длиннее паролей из приложения для аутентификации (32 символов, а не 6 или 8 символов), что делает их более безопасными.
Будущие улучшения: благодаря протоколу U2F (скоро будет добавлен на Kraken), YubiKey позволяет входить только на настоящие веб-сайты. Это значит, что даже если вас заманят на мошеннический веб-сайт , YubiKey защитит ваши учетные данные.
Обзор Yubikey. Максимальная безопасность.
В этой статье расскажу вам про крошечное устройство от Yubiko, которое называется Yubikey Nano 5c. Вставляется оно в USB-C порт и поможет вам сильно повысить уровень вашей безопасности.
Введение
Большое количество людей в интернете теряет доступ к своим аккаунтам. Из-за того что небрежно относятся к безопасности.
* Используют легкие пароли
* Одинаковые пароли для различных сервисов
* Логинятся с чужих компьютеров
* Вбивают логин/пароль в левые формы
* Кликают на различные ссылки
* Скачивают пиратский софт из непроверенных источников
Для того чтобы обезопасить себя была придумана двухфакторная аутентификация.
Некоторые сервисы ее используют принудительно. Например, используя двухфакторную аутентификацию через email. Заходя на сайт вы логинитесь не сразу, а вам сначала приходит некоторый код на ваш email. И сайт просит ввести его в форму.
Но это скорее редкость.
Проблема в том, что люди не думают о безопасности. И совсем небольшое количество людей используют двухфакторную аутентификацию. Даже не задумываяся о том с какими проблемами они смогут столкнуться.
Если вы потеряете доступ к пейпалу, яндекс.деньгам или вашему личному кабинету то банка, то у вас украдут все деньги.
Если потеряете пароль от соц. сети, то потеряете все ваши персональные данные, такие как документы, переписки и прочие вещи, которыми вы делились с друзьями.
А потеряв пароль от iCloud или Google можно потерять вообще все.
Злоумышленник будет знать о вас все. Даже то, по какому маршруту вы гуляли в прошлую пятницу.
Поэтому очень важно использовать двухфакторную аутентификацию везде, где это возможно
Виды двухфакторной аутентификации
Есть различные виды двухфакторной аутентификации
* По Email
* По телефону/СМС
* OTP (One-Time Password)
* TOTP (Time-based One-Time Password)
* Аппаратные токены
Если коротко, то самым небезопасным является телефон/смс. Так как довольно легко перевыпустить вашу сим-карту, в даркнете, например, это стоит в районе $600. Ну либо это может сделать работник салона сотовой связи. Так же вы можете протсо утерять ваш номер телефона если не пользуетесь им 3 месяца.
Самыми безопасными являются TOTP и аппаратные токены, как, например, Yobikey.
Yubikey
Сейчас очень большое количество сервисов поддерживают аппаратные токены.
Например, вот так это работает на сайте github. Сначала вы вводите пароль, а потом вас просят дотронуться до вашего аппаратного ключа.
Если вы попробуете зайти на github с мобильного телефона, то он у вас попросит ввести код TOTP.
TOTP
Некоторые сервисы не поддерживают аппаратные токены и когда вы логинитесь они просят у вас ввести шестизначный номер.
Иногда смартфон не под рукой. И лень ходить за ним.
Yubikey предоставляет возможность генерировать TOTP токены на комьютере.
Выглядит это следующим образом
SSH keys
Это будет полезно если у вас есть свой сервер и вы подключаетесь к нему через SSH.
Yubikey позволяет вам сгенерировать SSH ключ. Который вы можете добавить на свой сервер.
И в этом случае вы будете иметь возможность логиниться на свой сервер с чужого компьютера без добавления ключей с этого компьютера.
GPG Keys
Вы так же можете добавить GPG ключи для подписания, аутентификации и шифрования данных.