Yubico pisikesel YubiKey turvalisuse tulevik on lukus

Väikeettevõtte krüptimistehnoloogia on omaks võetud tehnoloogiahiiglaste poolt, andes tarbijatele kindla ja ligipääsetava viisi oma kontode kaitsmiseks.

Yubico pisikesel YubiKey turvalisuse tulevik on lukus

Ütle valjusti YubiKey ja võite saada aru selle USB-riistvarapõhise autentimisvõtme taga oleva ettevõtte Yubico kavatsusest, mis tungis internetti, olles väga tark ja töötades avatud standarditega. Kuni viimase ajani lugesin ma vaikselt toote nime ja ei saanud sõnamängu enne, kui ma seda rääkisin - üldlevimus .

222 nurga number



YubiKey on saadaval mitmes mudelis, mis kõik vastavad suhteliselt uuele lähenemisele identiteedi veebis kinnitamisele, mis tugineb unikaalsetele krüpteerimisvõtmetele, mis on seotud kindla saidi või rakendusega. Yubico on nõudnud standardimist, kaasates sinna suuri partnereid ja mitmeid liite. Hiljuti võttis World Wide Web Consortium (W3C) kasutusele standardi, mida Yubico aitas välja töötada ja mis manustab selle krüpteerimismeetodi otse veebibrauseritesse, muutes saitide rakendamise oluliselt lihtsamaks.

Kui Yubico tehnoloogia levib üle võrgu, võivad lihtsurelikud, kes on väsinud volituste varastamisest, andmepüügist ja muudest pettustest, YubiKey külge lihtsuse ja turvalisuse huvides. Turvamehed on sellest juba hästi teadlikud. Mõned, keda tean, on soovitanud seda oma vähem taiplikele sugulastele, isegi kui nad peavad seadistama ja käest kinni hoidma.



Google rakendas juba ammu varajase versiooni, mida nimetatakse veebi autentimiseks (või lühendina WebAuthn), ja Microsoft aktiveeritud tugi novembris 2018 . Firefox integreeris WebAuthni mais 2018. Apple on sageli teatud tüüpi standardite ja koostalitlusvõime hoidja enda kasuks, mida ta peab turvalisemaks ja privaatsusele keskendunumaks. Kuid siiski pani ettevõte WebAuthni toe Safari for Mac avalikult kättesaadavale tehnoloogia eelvaate versioonile 2018. aasta detsembris ja tõenäoliselt jääb see 2019. aasta kolmandas kvartalis macOS-i värskenduse jaoks paika. (Apple keeldus oma lisateavet andmast kavatseb tehnoloogia lisada iOS -i või macOS -i.)



Yubico on selle standardiedukuse sidunud iPhone'i ja iPadiga ühilduva USB-märgi väljaandmisega, mille ühes otsas on Apple'i Lightning-adapter ja teises USB-C-pistik. Välja antud tehnoloogia eelvaate kujul, töötab see brauseri brauseriga iOS -i jaoks ja Safari eelvaatega ning muude macOS -i brauseritega. Sajad teenused töötab praegu WebAuthni ja varasemate standarditega, millele see ehitati; järgima peaks kümneid tuhandeid.

Uusimal YubiKey'l on Lightning-pistik ühes otsas (iPhone'ide jaoks) ja USB-C (iPad Pros, Mac ja paljud teised seadmed) teises otsas. [Foto: Yubico viisakalt]

Yubico turvavõtmed ei ole odavad, alates selle lipulaevamudeli mudelist alates 45 dollarist. Nad konkureerivad teiste ettevõtete riistvaraga, mis müüb vaid 20 dollari eest. Aga hiljutine Verge kokku võtma uuris kaheksat riistvara autentimisseadet ja andis noogutuse neljale YubiKeyle-sealhulgas asetas selle positsioonidele 1, 2 ja 3. Google'i toodetud seade jäi neljandaks. Ettevõte ei pea silmitsi teiste autentimisvõtmete valmistajatega nii palju konkureerima, võib -olla seetõttu, et on raske ehitada midagi, millel oleks piisavalt lisaväärtust, et saada mugav kasumimarginaal.



Isegi Yubico ei tegele ainult turvaseadmete müügiga. Me pole kunagi alustanud ettevõtet YubiKey ehitamiseks, ütleb Yubico lahenduste juht Jerrod Chong. Pigem oli tema sõnul eesmärk pakkuda laiapõhjalist viisi kõigi turvalisuse tagamiseks internetis. See on kõrge, idealistlik eesmärk - ja see õnnestub.

Kõik on ajastuses

Kui teie arvutisse, tahvelarvutisse või telefoni on ühendatud YubiKey, on teie identiteedi tõestamine rakenduse või saidi jaoks esmalt seadme registreerimine unikaalse, krüptitud teabe abil, mis on peidetud võtmesse, ja seejärel tulevaste sisselogimiste puhul nupu puudutamine. (Mõned saidid võivad nõuda regulaarset sisselogimist ja nupuvajutust iga kord; teised saavad valida, kas žetoon taasautentida.) Kogu krüptograafiline jiggery-pokker toimub nähtamatult, kaitstes teid võltssaitide ja teie konto eest paroolivargade ja isegi keerukate rünnakute eest. kahefaktorilise autentimise (2FA) kaaperdamisena.

Seda missiooni täites on YubiKey viimase paari aastaga kasvanud 30 töötajast 200 töötajani ja kogunud investoritelt 30 miljonit dollarit. Crunchbase'i hinnangud et eraettevõte teenib seni tagasihoidlikku 10 miljoni dollari suurust müüki ruumis, mis võib olla miljardeid väärt.

kui vana on gen x



Standardite keskmes, mida Yubico on aidanud välja töötada ja välja anda, on lihtne idee: kasutajad peaksid kontrollima ja omama krüpteerimisvõtmeid, mis võimaldavad neil oma identiteeti rakenduste, saitide ja teenustega kinnitada. Ühelgi vahendajal pole juurdepääsu võtmetele ega neid kasutava side sisule ega vaja keskset infrastruktuuri.

Tehnikahiiglased võivad muidugi hea meelega olla vahendajad tarbijate ning nende kasutatavate rakenduste ja teenuste vahel. Kuid Yubico detsentraliseeritud lähenemisviis pole suuri ettevõtteid hirmutanud. Selle asemel on kiirustanud rohkem, W3C heakskiit kinnitab selle tulevikku.

Yubico lähenemine turvalisusele on sellist edu nautinud osaliselt ajastuse tõttu. Ettevõte töötas välja oma sisselogimisstandardid ja spetsiaalse riistvara vahetult enne seda, kui nutitelefonide ja muude seadmete tootjad hakkasid looma funktsioone, mis keskendusid kohalikule, seadmepõhisele autentimisele, nagu sõrmejälgede ja näo skaneerimine ning sellega seotud tehnoloogia. Kuna Yubico on kasvanud ja levitanud lähenemist, mida see pioneeriks aitas, on need tootjad allunud laiadele standarditele, mitte tootnud varalisi alternatiive, võib -olla tänu üldsuse kasvavale meeleolule digitaalse privaatsuse kasuks ja võimu kindlustamise vastu konkreetsete ettevõtete käes.

Viimaste aastate erinevatel aegadel on Apple, Google ja Microsoft otsustanud kaitsta mobiil- ja lauaarvutiplatvorme, lisades turvalisi kiipe, mis toimivad ühesuunaliste kanalitena ja privaatsete seifidena selliste andmete jaoks nagu krüpteerimisvõtmed ja krediitkaardid. Apple põimib need kiibid oma käiku, nagu ka Google oma Pixeli telefonide puhul; nii Google kui ka Microsoft toetavad neid oma operatsioonisüsteemides ja julgustavad riistvaratootjaid neid omaks võtma. Need enklaavid on kaasaegse biomeetria, mobiilimaksesüsteemide ja palju muu süda.

Seadmetesse sisseehitatud turvalised kiibid kodeerivad teie näo kuju, sõrmeotste keeriseid, praadimist teie hääles ja krediitkaardi koodi. Isegi selle riistvara tootjad ei saa andmeid välja võtta. Sellest sai probleem, kui FBI palus Apple'il ehitada iOS -i kohandatud versioon, mis annaks agentuurile suurema tõenäosusega räni abil turvatud koodide lõhkumise. (Apple nõustus ja pani kohtus vastu; FBI väitis, et leidis teise tee.)

Kuigi need turvakiibid võivad olla seotud teie autentimisega oma rakendustes, veebipõhiste ostude tegemisel ja seadmepõhiste sisselogimiste kaudu (nt Apple'i Touch ID ja Face ID), ei täida need lõhet veebiga, kus- vaatamata rakenduste tegijate pingutustele - inimesed veedavad endiselt suure osa ajast. Näiteks veebipõhine e-posti teenus ei saa teie turvaliseks sisselogimiseks otsest juurdepääsu sellisele kiibile nagu Apple'i turvaline enklaav.

Sinna Yubico sobib - sõna otseses mõttes.

Kaitsekiip kaasaskantavas pakendis

YubiKeys ja sarnased seadmed tuginevad standarditele, mis panevad turvakihi välispaketti ja muudavad selle ettevõtte, platvormi ja seadme agnostilise valideerimise meetodiks. Võtmed võivad töötada mis tahes seadme ja tarkvaraga, mis on USB-tark.

inglite numbrid 111

See on võimalik FIDO (Fast ID Online) alliansi tõttu. See asutati 2012. aastal, et pakkuda paroolidele seadmega lukustatud krüptograafilist alternatiivi. 2013. aastal suurendas see oma portfelli, kui Yubico, Google ja nende pooljuhtpartner NXN liitusid, tuues kaasa riistvarapõhise tehnoloogia, mis võib pakkuda teist autentimistegurit.

See universaalse teise tegurina (U2F) avaldatud arusaam tugineb avaliku võtme krüptograafiale, kus krüptimise saladus jagatakse avalike ja privaatsete võtmete paariks. Saitidel ja teenustes, mis toetavad U2F -i, registreeruvad kasutajad sisse logides ja ennast kinnitades ning seejärel U2F -seadet kasutades kordumatu võtmepaari genereerimiseks. Kaugsait säilitab avaliku võtme osa.

[Foto: Yubico viisakalt]

mis tunne on töötada amazonis
Järgnevatel sisselogimistel peavad kasutajad ikkagi sisestama kasutajanime ja parooli või muud sarnast mandaati. Seejärel saadab sait turvavõtmega käepigistusi, saates väljakutse, mis on kodeeritud avaliku võtmega. U2F -i riistvara annab vastuse, mida saaksid ainult osapooled, kellel on privaatvõti. Unikaalne võtmepaar on seotud kindla domeeninimega, mis takistab andmepüügisaitidel petta kasutajat pahatahtlikul saidil sisse logima; ainult registreeritud saidil on avalik võti.

See muudab tavapärase kahefaktorilise autentimise pea peale. Kui sait kasutab kasutajate autentimiseks ühekordset koodi või jagatud saladust (nagu paljud neist teevad seda), võib kolmas osapool selle teabe kinni püüda ja see võib olla muude haavatavustega. Omandades kasutajale omandiõiguse ja kasutades krüptograafilist andmevahetust, parandab Yubico lähenemine dramaatiliselt kasutajakonto kaitsmise teise teguri terviklikkust.

Kuni viimasteni oli U2F -i kasutuselevõtt suhteliselt piiratud väljaspool konkreetseid rakendusi ja veebisaite, mis nõudsid Google Chrome'i brauseri kasutamist. Kuigi see saitide loend hõlmas üha enam suuri tarbija- ja ettevõtjate mängijaid, nagu Dropbox, Eve Online ja Salesforce, pidid kõik saidid või rakendused kirjutama kohandatud integratsiooni.

Tundus, et suured tehnoloogiaettevõtted on rohkem huvitatud sisselogimisest ühekordse sisselogimise võimalustega, mis võimaldavad kasutajatel mujal sisselogimiseks oma kontodele loota. See hõlmas selliseid operatsioonisüsteemide tegijaid nagu Microsoft ja Google (pluss Apple sel sügisel) ja palju teisi, sealhulgas Amazon, Facebook ja Twitter.

Need ühtsed sisselogimised ei sõltu mitte ainult ökosüsteemist, mis viib lukustumiseni; nad ei paku karvavõrdki rohkem turvalisust. Tegelikult kehtestavad nad veelgi hullemad ebaõnnestumised.

Standard võtme taga

Suured ettevõtted soovivad tavaliselt kasutajaid koondada ja hõivata. See aeg näib olevat erinev, vähemalt operatsioonisüsteemi ja brauseri tegijate jaoks. Yubico kauaaegne soov tuua veebisaitidele turvaline autentimine on teoks saanud.

2016. aastal tõi FIDO veebiosa oma teise põlvkonna standarditele W3C -le, mis avaldas lõpliku versiooni märtsis 2019 . WebAuthn paneb veebisirvijatesse veebis sisselogimise autentimiseks vajalikud osad väljas brauserist. See võimaldab pistikprogrammi riistvara, näiteks YubiKey. Samuti võimaldab see kasutada konkreetse arvuti või mobiilseadmega seotud sisseehitatud turvakiipe.

Suurte ja väikeste saitide veebiarendajatele nihutab see YubiKey või muu sarnase autentimisvahendi kasutamise raskuse brauserisse ja muudab rakenduse kõikides standardit toetavates brauserites samaks. See seab autentimise samale alusele kui lehe objektide animeerimine või andmete salvestamine kohapeal brauseris.

[Foto: Yubico viisakalt]

mis aasta on millennium
Yubico pöördepunkt võib WebAuthni kasutuselevõtuga juba toimuda. Kuid tõenäoliselt saavutab see oma potentsiaali täielikult, kui Apple lisab standardi Safari iOS -i versioonile. Seetõttu lõi Yubico oma Lightning/USB-C eelvaate. Yubico Chong ütleb, et ettevõte soovis midagi turule tuua isegi piiratud varajase väljalasena, mitte lihtsalt prototüübi demo. Kui te ei näita võimalust kogemuse loomiseks, siis ei tehta seda kunagi, ütleb ta. See filosoofia näib olevat suunanud Yubicot selle loomisest kuni praeguseni.

Ettevõtte suurim oht ​​võib tuleneda selle edust. Kuna WebAuthn võimaldab kasutada olemasolevaid turvalisi enklaave, võivad telefonitootjad lõpuks Yubikey-sarnase funktsionaalsuse telefonidesse ja muudesse seadmetesse ehitada, mis võimaldab tõenäolistel YubiKey ostjatel eraldi ostu vältida. Kuid samasugused jõud, mis ajendavad inimesi soovima autentimist väljaspool suurettevõtte vahendust, võivad ka mõned neist eelistada kaasaskantavat isiklikku kolmanda osapoole seadet neutraalsest ettevõttest-turvaettevõttest, mis õitseb, avades oma uksed laialt .