Zwiększamy bezpieczeństwo naszych kont w internecie dzięki brelokowi YubiKey

Bardzo często na naszym blogu przewija się temat dwuskładnikowego uwierzytelniania, które w dużym skrócie polega na konieczności dodatkowej autoryzacji (poza podaniem loginu i hasła) naszego logowania np. do serwisu internetowego. Najczęściej odbywa się to poprzez wpisanie jednorazowego kodu otrzymanego w wiadomości SMS lub wygenerowanego za pomocą aplikacji na naszym telefonie. Oprócz niewątpliwych zalet takiego rozwiązania minusem  jest to, że wykorzystywany do tego jest nasz telefon, który ma połączenie z internetem i także może paść ofiarą ataku hakera. Dziś przedstawiamy Wam alternatywę - sprzętowy token YubiKey.

Źródło: https://www.yubico.com/press/images/

Posiadanie coraz większej liczby kont w serwisach społecznościowych, portalach rozrywkowych (np. Netfix), poczcie e-mail czy też usługach wymiany plików sprawia, że poziom bezpieczeństwa przechowywanych tam danych powinien być dla nas sprawą kluczową. Dlatego też, serwisy te oferują coraz większe możliwości w zakresie zabezpieczania dostępu. Logowanie wyłącznie za pomocą loginu i hasła powoli odchodzi “do lamusa”, a serwisy zachęcają nas, aby poświęcić chwilę i podnieść poziom bezpieczeństwa poprzez włączenie dwuskładnikowego uwierzytelniania. Do tej pory na bezpiecznym blogu opisywaliśmy, dlaczego jest to istotne oraz jak to zrobić w ramach poniższych artykułów:

• Jak zwiększyć bezpieczeństwo swojego konta w internecie, czyli co to jest dwuskładnikowe uwierzytelnianie?
• Zadanie na weekend #1: Włączamy dwuskładnikowe uwierzytelnienie w Gmail
• Zadanie na weekend #2: Zwiększamy bezpieczeństwo konta na Facebooku

Dziś, chcę przedstawić Wam odmienny sposób, gwarantujący jeszcze wyższy poziom bezpieczeństwa - sprzętowy token YubiKey.

Co to jest token YubiKey?

Jest to małe urządzenie elektroniczne w formie breloka, które może zostać przyczepione do kluczy, tak aby mieć je zawsze przy sobie. Dzięki temu, że jest na nim zapisany materiał kryptograficzny, czyli w uproszczeniu - dane pozwalające na wykorzystanie go jako drugi składnik w procesie logowania (zamiast np. kodu SMS) do popularnych usług internetowych. Korzystając z YubiKey możemy poświadczyć, że to właśnie my siedzimy przed komputerem i logujemy się np. do naszej poczty. Dlaczego akurat to rozwiązanie jest lepsze np. od kodu w wiadomości SMS? Do jego zalet należy to, że: 

• ze względu na kompaktowy i poręczny rozmiar możemy przypiąć go np. do kluczy i mieć zawsze przy sobie,
• nie wymaga zasilania - po podłączeniu do komputera wykorzystuje jego energię, więc nie musimy się obawiać, że rozładuje nam się w najmniej oczekiwanym momencie,
• nie wymaga instalacji na naszym komputerze jakiegokolwiek oprogramowania (np. sterowników),
• nie wymaga wiedzy o szyfrowaniu i kryptografii - urządzenie zostało zaprojektowane w sposób umożliwiający każdemu, bez specjalistycznej wiedzy technicznej, wykorzystanie go jako bezpieczny sposób dodatkowej autoryzacji,
• przestępca nie jest w stanie wykorzystać go bez fizycznego dostępu do urządzenia - oznacza to, że atakujący nie mając dostępu do naszego telefonu, może nakłonić nas stosując różne mechanizmy socjotechiczne (pisaliśmy o tym w artykule BHP korzystania z Internetu, czyli na co uważać klikając w link? oraz Czy dasz się złowić cyberprzestępcom? ), żebyśmy mu go po prostu przekazali. Nawet jeżeli przestępca chciałby, żebyśmy podali mu sekret znajdujący się na naszym breloku, nie jest to możliwe. To bardzo ważne!

Z YubiKey możemy skorzystać na dowolnym komputerze z systemem operacyjnym Windows, macOS oraz Linux, a także urządzeniach mobilnych (o ile mamy odpowiedni model tokena). Niestety nie współpracuje on ze wszystkimi przeglądarkami. Jego obsługa została zaimplementowana w:

• Chrome (od wersji 38),
• Opera (od wersji 40),
• Firefox (od wersji 57 - wsparcie YubiKey wymaga włączenia).

Jak to działa?

Token YubiKey posiada szerokie możliwości w zakresie jego zastosowania. Zaawansowani użytkownicy mogą np. wgrać na niego certyfikaty kryptograficzne, które mogą być później wykorzystywane do podpisywania poczty e-mail, czy też korzystać z innych funkcji pozwalających na wykorzystanie mechanizmów szyfrujących. My jednak na początek skupimy się na najprostszym z punktu widzenia użytkownika modelu, czyli tzw. standardzie FIDO U2F (jak zwykle będzie w prostych słowach :-)). W skrócie, użycie tokena sprowadza się do dwóch czynności:

1. jego rejestracji i powiązania z naszym kontem w serwisie internetowym (np. poczcie Gmail lub Facebooku), które jest wykonywane tylko raz przy pierwszym użyciu,
2. jego użyciu przy logowaniu, polegającym na umieszczeniu go w porcie USB komputera i dotknięciu znajdującego się na nim złotego pola, kiedy zostaniemy o to poproszeni.

To wszystko. Nie było strasznie, prawda?

Korzystanie jest niezwykle proste, a zapewnia wzrost poziomu bezpieczeństwa naszego konta.

Źródło: https://www.yubico.com/press/images/

Czy YubiKey mogę wykorzystać w dowolnym serwisie internetowym?

Niestety, wykorzystanie tokena w sposób opisany powyżej (nazywane fachowo U2F, czyli Universal Second Factor - Uniwersalny Drugi Składnik) możliwe jest wyłącznie w serwisach, które udostępniły taką możliwość. Należą do nich między innymi:

• Facebook (opis jak to zrobić),
• Gmail (opis jak to zrobić),
• Dropbox (opis jak to zrobić),
• GitHub (opis jak to zrobić),
• SalesForce (opis jak to zrobić).

To oczywiście tylko te najbardziej znane. Zapewne wśród tych, które wykorzystujecie na co dzień, znajdziecie inne serwisy, które dają taką możliwość. Być może w przyszłości również banki czy też instytucje rządowe pozwolą na jego wykorzystanie w procesie logowania jako drugi składnik.

YubiKey w praktyce - parowanie klucza z Gmail

Połączenie klucza bezpieczeństwa Yubikey z Twoim kontem Gmail jest czynnością jednorazową. Google w sposób intuicyjny przeprowadzi nas przez kolejne kroki, które opisuję poniżej. 

Zaloguj się na swoje konto, a następnie kliknij w ikonę swojego profilu w prawym, górnym rogu. Następnie kliknij opcję “Zarządzaj kontem Google”.

Z menu po lewej stronie wybierz “Bezpieczeństwo”.

Kliknij w opcję “Weryfikacja dwuetapowa”.

Zostaniesz poproszony o ponowne wpisanie swojego hasła do konta.

Następnie kliknij przycisk “rozpocznij”.

Kliknij “wybierz inną opcję”.

Z rozwijanego menu wybierz “Klucz bezpieczeństwa”.

Włóż swój token YubiKey do komputera, a następnie dotknij złote pole, które się na nim znajduje.

Nadaj dowolną nazwę swojemu nowemu kluczowi bezpieczeństwa i kliknij “gotowe”.

Twój nowy YubiKey jest gotowy do pracy. Od tego momentu każde logowanie do Twojego konta Gmail będzie wymagało podłączenia klucza YubiKey (uwaga: również na urządzeniu mobilnym!).

Jak wygląda logowanie do Gmail z użyciem YubiKey?

Po zakończeniu procesu łączenia naszego tokena z kontem w Gmail, za każdym razem po podaniu loginu i hasła będziesz proszony(a) o podłączenie klucza bezpieczeństwa do swojego urządzenia.

Warto zwrócić uwagę, że po poprawnym zalogowaniu możemy zaznaczyć opcję “Nie pytaj ponownie na tym urządzeniu”. W skrócie oznacza to, że jeżeli będziemy logować się z użyciem swojej przeglądarki internetowej, to nie będziemy musieli za każdym razem podłączać tokena. Jednak w przypadku logowania na innym komputerze (np. w pracy), podłączenie klucza będzie wymagane. 

Minusy i zagrożenia

Decyzja o zastosowaniu klucza bezpieczeństwa YubiKey lub podobnego powinna zostać podjęta po wcześniejszym przemyśleniu i analizie sposobu, w jaki korzystamy z naszych kont. Przede wszystkim należy wziąć pod uwagę to, że jeżeli mamy włączoną inną, alternatywną metodę dwuskładnikowego uwierzytelniania (np. kody SMS), to zakup YubiKey nic nie zmienia i nie wnosi do poziomu bezpieczeństwa naszego konta.Za każdym razem użytkownik może kliknąć “Użyj innej metody” i wybrać kody SMS zamiast klucza bezpieczeństwa.

Z drugiej strony musimy być świadomi tego, że brak posiadania innej metody dwuskładnikowego uwierzytelniania generuje ryzyko, polegające na tym, że w przypadku utraty klucza nie będziemy w stanie zalogować się do swojego konta. Dlatego też, np. Google rekomenduje osobom, które chcą uzyskać najwyższy poziom bezpieczeństwa zakup i sparowanie dwóch fizycznych tokenów. Więcej w tym temacie znajdziesz na stronach Google Advanced Protection Program (https://landing.google.com/advancedprotection/).

Jaki klucz wybrać i skąd go wziąć?

Klucze YubiKey najlepiej kupić na stronie producenta. Znajdziesz tam wiele modeli przystosowanych zarówno do komputera, jak i smartfona. Na pytanie, który jest najlepszy dla Ciebie, musisz odpowiedzieć sobie sam. 

Ja ze swojej strony mogę jedynie zasugerować, że na początek swojej drogi, jeżeli chcesz zabezpieczyć konto z którego korzystasz za pomocą komputera z portem USB, warto wybrać najtańszy i najprostszy model. Osoby chcące korzystać z tego rozwiązania również na urządzeniach mobilnych muszą rozważyć bardziej zaawansowane modele, posiadające odpowiednie złącza lub komunikację bezprzewodową. 

Na koniec krótka informacja - bezpieczny blog nie jest w jakikolwiek sposób powiązany z firmą Yubico i nie otrzymujemy żadnego wynagrodzenia za ten artykuł lub zakup przez Was tokenów. Staramy się dzielić z Wami wiedzą w zakresie dobrych praktyk i możliwości podnoszenia swojego poziomu bezpieczeństwa w sieci, dlatego dzielimy się wiedzą odnośnie rozwiązań, z których sami korzystamy.

Łukasz

Na co dzień zajmujący się bezpieczeństwem IT w jednej z polskich instytucji finansowych. Entuzjasta nowych technologii. Fan nadgryzionego jabłuszka. Wielbiciel alternatywnych metod parzenia kawy.