t_itanium (t_itanium) wrote,
t_itanium
t_itanium

Categories:

Покупка аппаратных ключей (токенов) Yubico в американском Амазоне

Предлагаю читателям блога рассказ suzukovod о покупке аппаратных ключей (токенов) Yubico в американском Амазоне. Возможно, что большинство читателей блога (даже ИТ-шников) никогда в жизни не слышали, что это такое и для чего нужно. Вкратце - для того, чтобы максимально защитить свои аккаунты. Аккаунт, защищенный токеном Yubico взломать в принципе невозможно



Благодаря серии статей в одном известном блоге я стал обладателем USB ключей Yubico. Ключи приехали напрямую из официального раздела Yubico американского Амазона.

$45 за ключ, плюс $22 прямая доставка в Россию (UPS). Доставку обещают 10 дней. Перед покупкой уточнил что на ключи есть таможенная нотификация (RU0000040973) и разместил заказ.

На третий день после заказа на телефон пришла SMS с паролем от кабинета таможенного брокера UPS с просьбой заполнить декларацию и загрузить инвойс на товар. Все сделал в тот же день, сами ключи быстро прошли таможню и прибыли ко мне курьером



Первое знакомство

Кнопка на ключе сенсорная - давить не надо. С обратной стороны код (серийный номер) его показывать посторонним людям не надо. Заводим устройства в сервисы парами, если ключ один (сервис не позволяет зарегистрировать больше одного ключа) -  печатаем одноразовые пароли либо один компьютер/смартфон запоминаем в режиме «не спрашивать». Сразу после анбоксинга рекомендую пометить ключи (первый и второй) чтобы в случае утери ключа знать какой удалять из учетной записи.

Для параноиков - через упаковку NFC не пробивает и для совсем параноиков у Yubico есть приложение которое умеет стирать коды авторизации из б/у ключей. Для настройки смотрим сайт Yubico в разделы Software, Support, Get Starting. Для наглядности гуглим ролики на Youtube.

Ключ Yubikey NFC 5 в компании своего прадедушки RSA SecureID




RSA SecureID - это продукт корпоративного мира. Eго выдает работодатель вместе с инструкциями и контактом техподдержки которая будет решать ваши проблемы. С Yubico приходится разбираться самим, причем информация местами противоречивая и устаревшая. Попробуем?

Как

1. Yubico Authentificator (FIDO), ещё информация - приложение для двухфакторной авторизации генерирующее 6 значные одноразовые пароли 2FA (U2F). Приложений U2F много. Но в случае Yubico секрет на основе которого генерируются пароли находится внутри аппаратного ключа Yubikey. Приложение можно поставить на любое устройство, поднести ключ Yubico и получить рабочий пароль. Ещё раз - даже если вы разобьете телефон на котором стоит приложение - доступ U2F не пропадет потому что секрет внутри ключа.

Приложение - это самый распространенный способ U2F. С большинством сервисов вы будете использовать именно его. Это в первую очередь соцсети и сервисы электронной почты.

Обычно сервисы поддерживают не более одного авторизованного 2FA приложения (ключа) для генерации U2F паролей. Скажем, Google Account при прописывании второго приложения удаляет первое, то же самое делает Контактик, Mail.ru, а Yandex работает только со своим фирменным приложением. Но бывают исключения Facebook - поддерживает прописывание двух и более U2F приложений (можно прописать два ключа Yubico на случай если один потеряется);

2. Режим USB/NFC ключа (FIDO), ещё информация. Запускаете сервис в поддерживаемом браузере, вводите пароль, вставляете в USB порт Yubikey, либо прикасаетесь к антенне NFC (в случае телефона) и обмен ключами происходит автоматически без U2F приложения. Полноценно данный режим поддерживается в Chrome, Firefox (владельцы iPhone тяжко вздыхают) и очень ограниченным кругом сервисов.

Однозначный Must Have - Google Accounts и менеджеры паролей. А также Office365 если вы им пользуетесь. Для представителей мира IT (DevOps/SRE), а так же вкладчиков в криптовалюты список интересных сервисов гораздо шире. Но простому человеку достаточно Гугла. Почему см. в конце;

3. Режим смарткарты (SmartCard/PIV), ещё информация в ролике



Вход в свой компьютер без пароля либо использование ключа в качестве второго фактора (и пароль/пин и Yubikey).

Смысл смарткарты - войти в учетную запись можно только если у вас есть физический ключ, вы вставили его в USB порт и нажали на кнопку на ключе. То есть на ваш компьютер под одним пользователем возможна только одна рабочая сессия от обладателя физического ключа.

Обращаю внимание - у Yubico есть режим Static Password (пароль от аккаунта запоминается на USB ключе и по нажатию на кнопку на ключе вставляется в форму ввода) и есть режим смарт-карты когда пароля как такового нет. Выглядит одинаково, но настраивается и работает по разному. Static Password крайне ненадежный метод защиты!

Режим смарткарты работает в основных операционных системах. Поддерживается и локальными и облачными аккаунтами. Перед настройкой рекомендую разобраться что почему зачем. Особенно если включено шифрование жесткого диска. Всего на одном ключе можно настроить до 2х смарткарт (одна карта длинное нажатие на кнопку, вторая - короткое);

4. Другие интересные возможности в зависимости от версии ключа Yubico (FIDO2, PGP.…) – раз, два, три, четыре

Зачем

Предположим у вас только Google Account, Facebook и там «нет ничего важного»? Премиум подписка на ютубчике и фотки в публичном доступе - действительно, кому это интересно. А нужен U2F потому что эти сервисы повсеместно используются для доступа к другим интернет ресурсам вместо ввода пароля.

Получив доступ к вашему Google Account особенно если у вас включена синхронизация учетной записи в Chrome и вы любите нажимать на кнопку «сохранить пароль» - злоумышленник получает доступ ко всем сайтам и сервисам для которых вы сохраняли пароли в Chrome. Дальше, надеюсь объяснять не надо.

Special thanks to suzukovod.

Update: о том, как защитить
Google Account с помощью токенов Yubico (нужно 2 шт.) читайте здесь.


Tags: amazon, yubico, сша, тестирование магазина, цифровая безопасность
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 39 comments