Наконец-то мне привезли это замечательное устройство, которое выводит безопасность аккаунтов на новый уровень.

Что же это за устройство такое? Кому оно полезно? И как я до такой жизни докатился? Обдумывал я покупку больше года, но обо всем по-порядку.

Думаю не стоит рассказывать, что такое двухфакторная авторизация. Самая простая реализация, которая уже есть почти у всех сервисов – это одноразовые СМС, которые никому не стоит сообщать. Способ не самый надежный: СМС можно перехватить, номер можно склонировать и т.д.

Возможности

Куда надежнее аппаратный ключ. Одно из самых популярных решений это Yubico с их серией YubiKey. Давайте рассмотрим самые распространённые протоколы авторизации, которые этот ключ поддерживает.

А на этой странице можно узнать, какие сервисы поддерживают все эти протоколы, а значит и YubiKey
Почти вся линейка YubiKey

OTP

OTP с синхронизацией во времени, более безопасная схема, нежели СМС. Требует наличия специального приложения, которое генерирует одноразовые коды. Тут уже безопасность выше, однако секреты все хранятся на вашем устройстве, и при должной сноровки их можно утащить из этого приложения.

У Yubico есть свое приложение для всех систем: Windows, MacOS, iOS, Android. Какой плюс от аппаратного ключа, если в итоге мы пользуемся приложением? Плюс в том, что приложение ничего не хранит, все ключи хранятся на YubiKey, чтобы получить одноразовые коды от приложения, вам нужно использовать YubiKey. Для ПК это вставить его в USB, а для телефонов реализована поддержка NFC, нужно открыть приложение и приложить ключ.

U2F

И следующий уровень безопасности, это U2F. Это аппаратное устройство аутентификации. То есть, вы вводите пароль для своего GitHub, и вместо того, чтобы получать СМС с кодом, или брать его из приложения, вы просто вставлете эту флешку U2F, и входите в свой аккаунт, или систему.

Одни из самых популярных сервисов поддерживают U2F, например: GitHub, GitLab, Twitter, Google.

Помимо перечисленных выше протоколов, YubiKey поддерживает: WebAuthn, FIDO2, смарт-карты (PIV), OpenPGP, OATH-TOTP, OATH-HOTP и Challenge-Response

Прочие вопросы

Собрал ответы на вопросы, которые в процессе изучения этой темы у меня возникали.

Получается, если я потеряю YubiKey, то нашедший его сможет этим воспользоваться?

Нет. YubiKey можно защитить паролем, тогда чтобы воспользоваться им нужно будет ввести пароль. Это касается всех протоколов.

Как быть, если он сломается или потеряется?

Во первых, при регистрации OTP или U2F сервисы выдают вам резервные коды, которые нужно сохранить. Если вы утратите свой YubiKey, то просто воспользуетесь резервным кодом, для входа.

Во вторых, можно купить второй YubiKey, и зарегистрировать его везде как резервный, и положить его в тайник. После потери, просто достаньте второй.

А как мне авторизоваться в Twitter на телефоне?

Про U2F. Все очень просто. Современные браузеры поддерживают его нативно. Вот как выглядит вход на айфоне, когда просят приложить YubiKey. Именно приложить, так как у него есть NFC. Просто прикладываете и все, проверка пройдена.

Но если это устройство у меня всегда подключено к USB, то с него тоже можно утащить секреты?

Насколько я понял, не все так просто. Даже когда вам нужно авторизоваться в сервисе с использованием U2F мало просто того, что у вас устройство вставлено в USB. Необходимо еще нажать палцем на "кружочек", чтобы подтвердить действие.

А что еще можно?

Еще можно сделать вход в MacOS или в Window без пароля, а по ключу, но это сложнее, и требует определенных знаний. Также можно сделать вход на сервер с помощью YubiKey, об этом когда-нибудь напишу отдельную статью.

Дизреспект

К сожалению, не все компании реализуют поддержку нормальных протоколов двухфакторной авторизации. Например Timeweb поддерживает только OTP через SMS, хотя казалось бы, вы хостинг серверов, ало, безопасность.

У Яндекса любовь к "велосипедам", у них и OTP свой, который работает только с их приложением Я.Ключ. То есть добавить Яндекс.

Также большой дизреспект всем банкам. Ни у одного из них нет поддержки этих протоколов, только СМС.

Респект

Респект Google. Недавно они принудительно включили всем пользователям двухфакторную авторизацию.

Но еще больший респект им за то, что у них есть режим "Дополнительной защиты". Вам больше не нужен пароль для входа в Google, вы просто используете YubiKey.

Где купить?

Раньше купить его в РФ было очень сложно, что и останавливало меня от покупки, но времена меняются. Я брал свой на СберМегаМаркет, потому что в тот момент его не было ни на Ozon, не на Яндекс.Маркет. В общем ищите на маркетплейсах, найдете.

Резюме

Отличное устройство, которое повысит безопасность ваших аккаунтов и сервисов в этом жестоком мире полном хаккеров 😱