YubiKey existe desde hace algunos años, y son quizás los líderes en la autentificación de la autenticación de dos factores basada en hardware.

La autenticación de dos factores ha experimentado un gran auge en los últimos años, ya que tanto las empresas como los consumidores se han dado cuenta de que es hora de tomarse en serio la ciberseguridad. La tendencia se ha inclinado hacia la autenticación de dos factores basada en el teléfono, y empresas como Google y Facebook han adoptado el modelo basado en la escucha. Los mensajes de texto y el correo electrónico siguen siendo populares, pero también tienen graves problemas de seguridad.

En julio de 2018, Google reveló la extrema eficacia de las llaves de seguridad FIDO Universal 2nd Factor (U2F) contra el phishing dentro de la empresa. Esto, por lo tanto, llevó a Google a lanzar su propia llave de seguridad Titan, sólo para recuperarla y reemplazarla debido a una vulnerabilidad de Bluetooth (doh!).

Para los usuarios medios, andar por ahí con medidas de seguridad es un dolor de cabeza, creo que la mayoría de la gente que conozco no se molesta con el 2FA porque son demasiado perezosos. Así que venderles la idea de una solución basada en el hardware no es fácil, al mismo tiempo las soluciones basadas en el teléfono podrían dar una falsa sensación de seguridad.

En las últimas semanas se ha producido un cuento con moraleja que debería hacerte escéptico con respecto a la solución basada en el teléfono. Un desafortunado individuo fue golpeado por un ataque de intercambio de SIM que es cuando un individuo no autorizado porta un número de teléfono objetivo (normalmente ligado a un método de autenticación de dos factores adjunto a otra cuenta, el objetivo del ataque) a otra SIM, redireccionando subrepticiamente ese número a un nuevo dispositivo. Los ataques de intercambio de SIM a menudo se producen a través de la ingeniería social, con agentes de apoyo del operador realizando el cambio en la creencia de que están operando bajo la instrucción del titular de la cuenta. Una vez que un usuario tiene acceso a su número, le abre a todo un mundo de hackeos, cualquier SMS basado en 2FA es totalmente vulnerable. Muy a menudo los restablecimientos de cuentas utilizarán su número para restablecer contraseñas, etc, también la ingeniería social se hace mucho más fácil cuando se llama a la gente desde el número registrado.

Los hackers pudieron acceder a la cuenta de Google del individuo, lo que les dio acceso a todos sus teléfonos de respaldo y a todos los documentos confidenciales de su unidad de Google, incluyendo cosas como declaraciones de impuestos, información de cuentas bancarias y otras contraseñas de cuentas.

Sus cuentas financieras usaban SMS 2FA y gracias a eso el hacker incluso intentó realizar una transferencia ACH de $25.000 de la cuenta bancaria de la persona.

Así que ahora hemos establecido que SMS 2FA es malo, Googles Titan es/fue defectuoso, así que ¿qué pasa con Yubico?

Para esta revisión me han suministrado los dispositivos YubiKey de la serie 5, uno es el modelo NFC y el otro el diminuto USB-C basado en el 5C. No hay mucho que revisar con estos pequeños dispositivos, hacen un trabajo, lo hacen de forma sencilla y lo hacen bien, de ahí el prefacio de la revisión.

La propaganda de los estados de Yubico:

Claves de seguridad multiprotocolo, que proporcionan una fuerte autenticación de dos factores, multifactorial y sin contraseña, y una perfecta comunicación táctil. Soporta FIDO2, FIDO U2F, contraseña de un solo uso (OTP), y tarjeta inteligente, elección de factores de forma para el ordenador de sobremesa o el portátil.

  • Detiene las tomas de cuenta
  • Soporte multiprotocolo; FIDO2, U2F, tarjeta inteligente, OTP
  • USB-A, USB-C, NFC
  • El precio de la llave única comienza en $45
£41formato_numérico_punto_decimal49
£42formato_numérico_punto_decimal00
en el almacén
6 nuevo de £41formato_numérico_punto_decimal49
Yubico YubiKey 5 NFC & 5C Review - Hardware basado en 2FA para el método más seguro de inicio de sesión 1 Amazon.co.uk
Envío gratuito
£45formato_numérico_punto_decimal97
en el almacén
4 nuevo de £45formato_numérico_punto_decimal97
2 usado de £39formato_numérico_punto_decimal00
Yubico YubiKey 5 NFC & 5C Review - Hardware basado en 2FA para el método más seguro de inicio de sesión 1 Amazon.co.uk
Envío gratuito
£58formato_numérico_punto_decimal00
en el almacén
5 nuevo de £58formato_numérico_punto_decimal00
1 usado de £49formato_numérico_punto_decimal02
Yubico YubiKey 5 NFC & 5C Review - Hardware basado en 2FA para el método más seguro de inicio de sesión 1 Amazon.co.uk
Envío gratuito
Última actualización en 20th septiembre 2020 4:53 am

YubiKey 5C

Con la mayoría portátiles y reciente placas madreel modelo USB-C es la solución perfecta para cualquier ordenador con 2FA. La llave es más pequeña que el modelo NFC, y me siento más seguro de no romperla, su factor de forma general es más agradable y el diseño del USB-C significa que no te frustras cuando intentas conectarlo. Incluso hay un modelo nano que está diseñado para dejarse permanentemente en el ordenador.

La configuración varía según la aplicación. La más obvia es Google, todo lo que tienes que hacer es acceder a myaccount.google.com, ir a seguridad, añadir la clave de seguridad y seguir las instrucciones. Lo hice en el escritorio, así que sólo introduje la clave cuando se me pidió (para ambos modelos).

Y eso es todo. Cada vez que se produce un nuevo inicio de sesión, sólo tienes que tocar el botón, y eso es todo.

Yubico tiene una útil página de configuración que te indica cómo habilitar su hardware en una variedad de servicios.  

YubiKey 5 NFC

Con nuestra dependencia de los teléfonos móviles, el modelo NFC es quizás más útil. Puedes usarlo igual que el modelo USB-C, pero cuando accedas a las cuentas en tu teléfono, puedes tocar la tecla de la parte posterior del teléfono para iniciar sesión.

Yubico tiene su propia aplicación de autenticación que permite almacenar las credenciales de la OATH y mantenerlas seguras incluso si su teléfono se ve comprometido.

En general

Para los amantes de la seguridad, la gama de productos de Yubico es la solución superior al 2FA. El mayor inconveniente es (para mí) la comodidad. Aunque pulsar la tecla es muy sencillo, rara vez llevo conmigo algo más que mi teléfono, y por eso la autenticación basada en el teléfono es tan buena. Dependiendo de la aplicación, puedes recurrir a otros métodos, pero hay que tener en cuenta la seguridad, no tiene mucho sentido tener hardware 2FA si un hacker puede seleccionar el teléfono.

Sin embargo, en general, Yubico tiene una excelente gama de productos, a múltiples puntos de precio para adaptarse a cualquier necesidad. Por lo que se refiere a esta tecnología, es el líder del mercado, y este método de 2FA es el más seguro del mercado. Así que si te tomas en serio la seguridad, entonces deberías considerar realmente invertir en una de estas claves.

Para uso comercial, también diría que son absolutamente esenciales. Ocasionalmente trabajo desde una oficina haciendo trabajos de marca blanca y mi cuenta de Google con ellos está ligada a mi móvil. Esto sería un desastre para ellos si perdieran el acceso a mi móvil. Con una llave física, podrías hacer que el personal dejara sus llaves en un lugar seguro, y no obligar al personal a usar los teléfonos personales para fines laborales. Una opción podría ser tener dos llaves, una que el personal guarda y otra que el negocio mantiene segura (como puedes tener dos llaves en una cuenta de Google)

Revisión de YubiKey 5 NFC y 5C -
  • En general... 92%
    92%
92%

Resumen

Los productos YubiKey son la forma más segura de usar 2FA, es moderadamente más inconveniente que usar el teléfono, pero la seguridad vale la pena. Para cualquiera que tenga su vida atada a una cuenta de Google, yo diría que es una inversión esencial.

Deje una respuesta

https-mightygadget-co-uk