¿YubiKey hace que la autenticación en dos pasos sea menos molesta?
Dado que la cantidad de incidentes de piratería aumenta día a día, todos deberían usar la autenticación de dos pasos / dos factores (2FA). ¿Qué es la autenticación de dos factores y por qué debería usarla? ¿Qué es la autenticación de dos factores y por qué debería hacerlo? Úselo La autenticación de dos factores (2FA) es un método de seguridad que requiere dos formas diferentes de probar su identidad. Se utiliza comúnmente en la vida cotidiana. Por ejemplo, pagar con una tarjeta de crédito no solo requiere la tarjeta,… Leer más. Agrega una capa a prueba de balas alrededor de su cuenta en línea, lo que lo hace extremadamente difícil, si no imposible, para que un hacker pueda penetrar.
Pero a muchas personas se les quita el uso de 2FA, simplemente por el inconveniente de que la verificación en dos pasos puede ser menos irritante. Cuatro trucos secretos garantizados para mejorar la seguridad ¿Puede ser menos irritante la verificación en dos pasos? Cuatro trucos secretos garantizados para mejorar la seguridad ¿Desea una seguridad de cuenta a prueba de balas? Recomiendo encarecidamente habilitar lo que se llama autenticación de "dos factores". Lea más acerca de tener que obtener un segundo código de su teléfono, cada vez que quieran iniciar sesión. Así que la gente desactiva la función o no se molesta en configurarla en primer lugar. Pero deberías, ya que muchas empresas se están sumando a la idea..
Si te cuentas en la “fácilmente inconveniente” grupo, entonces te alegrará saber que hay otra opción en lugar de 2FA. Esta opción mantiene su cuenta igual de segura, pero todo lo que necesita hacer es presionar un botón y ya está. Se llama YubiKey, y después de unos días de usarlo, ya estoy convertido. Bebe me tuviste en hola.
¿Qué es un YubiKey?
Un YubiKey es un dispositivo similar a un USB, fabricado por la compañía Yubico. Hacen varios productos, todos los cuales hacen trabajos similares. Pero a los efectos de este artículo, me centraré en el Fido U2F, (Universal 2-Factor), que es el que recibí. Es fácil de configurar y usar, y aparentemente es indestructible.
Desde el sitio:
“Todos los YubiKeys son casi indestructibles. El YubiKey de tamaño estándar (como el YubiKey Standard, YubiKey NEO, YubiKey Edge y FIDO U2F Security Key) está hecho de plástico moldeado por inyección que encierra el circuito, mientras que los elementos expuestos consisten en oro endurecido de grado militar. Impermeable y aplastante, el YubiKey de tamaño estándar se adhiere a su llavero junto con las llaves de su casa y automóvil.”.
Es una cosa bastante pequeña y delicada, y se te perdonaría por dudar de la “indestructible” Reclamación. Con un peso de solo 3 gramos, sus medidas son solo 18 mm x 45 mm x 3 mm. Pero esta pequeña llave, junto con el almacenamiento de todas mis contraseñas en KeePass, ha hecho que iniciar sesión en las cuentas sin problemas y sin molestias. Google y Facebook usan la YubiKey para las credenciales de los empleados, por lo que el concepto tiene detrás a algunos de los bateadores muy pesados, respaldándola. Google lo introdujo para sus usuarios en 2014.
Como funciona?
La YubiKey es una pieza de hardware que admite contraseñas de un solo uso, cifrado y autenticación de clave pública y el protocolo Universal 2nd Factor (U2F) desarrollado por la Alianza FIDO. Puede usarlo para iniciar sesión de forma segura en sus cuentas compatibles mediante el uso de una contraseña de un solo uso o un par de claves públicas / privadas basadas en FIDO. ¿Cómo funciona el cifrado y es realmente seguro? ¿Cómo funciona el cifrado, y es realmente seguro? Leer más generado por el dispositivo. Después de ingresar la tecla, presiona el botón dorado y el toque de tu dedo emite una pequeña carga eléctrica que activa el dispositivo.
Cómo lo configuras?
Una YubiKey es muy fácil de configurar, como verás a continuación. Una clave U2F funciona para las cuentas de Google, Dropbox, Github ¿Qué es Git y por qué debería usar el control de versiones? Si es un desarrollador ¿Qué es Git y por qué debería usar el control de versiones si es un desarrollador como desarrollador web? Cuando terminamos de trabajar en sitios de desarrollo local, simplemente cargamos todo cuando hayamos terminado. Esto está bien cuando se trata solo de usted y los cambios son pequeños,… Lea más, y Dashlane Dashlane - Un administrador de contraseñas nuevo, ingenioso, rellenador de formularios y asistente de compras en línea Dashlane - Un administrador de contraseñas nuevo, ingenioso, rellenador de formularios y asistente de compras en línea Si ya probé algunos administradores de contraseñas, es probable que haya aprendido a esperar cierta aspereza en los bordes. Son aplicaciones sólidas y útiles, pero sus interfaces pueden ser demasiado complejas e inconvenientes. Dashlane no solo reduce ... Leer más. Para los fines de este artículo, voy con las cuentas de Google, pero las otras seguirán más o menos el mismo procedimiento. Solo diferentes capturas de pantalla.
Diríjase a su página de autenticación de 2 pasos de Google y haga clic en Llaves de seguridad lengüeta.
Esto te lleva a la página de configuración. Siga las instrucciones que se detallan en la página. Todo es muy básico y directo..
Cuando la clave ha sido registrada con éxito, el “Registro” la tecla de la parte inferior se pondrá verde y se mostrará “Registrado”. Si no es así, comience de nuevo desde el principio hasta que lo haga..
Puede verificar si la clave se ha registrado correctamente volviendo a la Llaves de seguridad lengüeta.
Y eso, damas y caballeros, es eso..
¿Qué sucede si inicia sesión con un teléfono inteligente o una tableta??
Esta fue una de las primeras cosas que me vino a la mente. Me conecto a todas mis cuentas de Google mucho en mis dispositivos iOS Mis iDevices son maravillosos y todo, pero la única debilidad que tienen es que no tienen un puerto USB. Entonces, ¿dónde va la YubiKey cuando me pregunta??
Después de consultar con la compañía, parece que si inicia sesión en su cuenta a través de un teléfono o tableta, YubiKey lo detecta y la pantalla de inicio de sesión se configurará automáticamente como método de autenticación de 2 factores (SMS, Authy o Google Authenticator). -Paso del proceso para proteger su cuenta [Noticias] Google recomienda el proceso de 2 pasos para proteger su cuenta [Noticias] La mayoría de los usuarios de Internet más inteligentes probablemente tengan al menos una cuenta de Google, principalmente porque Google, para bien o para mal, se cruza con tantos otros sitios web que es difícil evitar el no usar el ... Leer más). La YubiKey solo se solicitará si detecta que está usando una computadora de escritorio o portátil, algo que tendrá un puerto USB.
También vale la pena señalar que si enruta su correo electrónico a través de un cliente local como Apple Mail o Outlook, entonces ni la YubiKey ni la 2FA son compatibles. En este caso, necesitaría usar una contraseña de aplicación especial de la aplicación en cuestión.
Sus ventajas
Ahora veamos algunas de las ventajas de usar una clave como esta..
Es extremadamente simple de usar
Realmente no hay manera de desordenar algo como esto. Una vez que se haya configurado correctamente, solo inserte la llave en el puerto USB y presione el botón brillante una vez. Eso es. Ahora, ¿cómo alguien podría equivocarse??
Su cuenta tiene seguridad adicional sin la molestia
Como mencioné anteriormente, 2FA es bueno, pero puede ser molesto. Cuando hablo con alguien que no tiene 2FA, la excusa normal es invariablemente “es demasiado complicado“. Pero mi argumento en contra es siempre “y la cantidad de problemas que implica tratar de recuperar una cuenta pirateada?“. Pero sin embargo todavía lo entiendo. 2FA implica iniciar sesión en su teléfono, obtener el código e ingresarlo. Hacerlo una vez no es un gran problema, pero cuando lo haces de manera regular, comienza a ser tedioso. Incluso he tenido la tentación en varias ocasiones de apagar todo y no me importa que alguien pueda entrar en mis cuentas, y no estoy solo en esto..
Una YubiKey elimina esa molestia y lo hace más inclinado a usar la protección adicional. Sin embargo, aún necesitará la configuración 2FA si accede a sus cuentas en línea a través de un teléfono inteligente o tableta. Así que no puedes escapar 2FA por completo.
Es barato
Los diferentes YubiKeys que se ofrecen son de precio variable ($ 40- $ 50), ya que cada uno realiza un trabajo determinado (consulte el “Desventajas” sección para más sobre esto). Sin embargo, el U2F es realmente barato ($ 18 en Amazon), ya que hace menos que las otras teclas. Para mojarse los pies con el dispositivo, comenzar con el U2F es ideal. Piense en ello como ruedas de aprendiz en la bicicleta de un niño.
Es imposible infectarse con el virus
Una de las cosas que más he notado en línea, al leer sobre YubiKeys, es que la gente grita “¿Y conseguirlo infectado en una terminal pública de internet? NO, GRACIAS!“. Bueno, primero, no debe usar conexiones públicas de Internet. 5 maneras de asegurarse de que las computadoras públicas que usa son seguras. 5 formas de asegurarse de que las computadoras públicas que usa son seguras. La conexión a Internet es peligrosa sin importar en qué computadora se encuentre, pero las máquinas extranjeras Exigir aún mayor cautela. Si está utilizando una computadora pública, siga estas pautas para garantizar su privacidad y seguridad. Lea más por razones de seguridad y, en segundo lugar, las YubiKeys no pueden tener virus, ya que es imposible mover archivos a ella. No es ese tipo de dispositivo USB. Agregue a eso el hecho de que la información contenida en la clave está protegida contra escritura, y la computadora reconoce la clave como un teclado. Así que no hay que preocuparse en ese sentido..
Sus desventajas
Aunque el YubiKey es un gran dispositivo en mi opinión, todavía hay algunas desventajas notables que debe tener en cuenta.
Solo funciona en Chrome
A partir de este escrito, YubiKey solo funciona en Google Chrome, versión 38 o posterior. Tan mala suerte, los usuarios de Firefox, Safari, Opera y Edge 10 razones por las que debería estar usando Microsoft Edge ahora 10 razones por las que debería estar usando Microsoft Edge ahora Microsoft Edge marca una ruptura completa con la marca de Internet Explorer, matando a 20 años -el viejo árbol genealógico en el proceso. He aquí por qué debería usarlo. Lee mas . Es muy posible que suban a bordo en el futuro, pero en este momento no son compatibles con YubiKey. Por mi vida, no puedo entender por qué solo Chrome es compatible. En cierto modo, aliena a un gran número de usuarios de navegadores..
Diferentes cuentas requieren diferentes claves
Yubico hace 7 productos diferentes, y todos hacen cosas diferentes. Por ejemplo, mi clave, el Fido U2F, solo abre cuentas en los administradores de contraseñas de Google, Dropbox, Github y Dashlane (solo cuentas premium).
Pero, y aquí está el realmente grande, pero si quiere asegurar su sistema operativo, Paypal, Evernote o cuentas de WordPress, necesitará diferentes YubiKeys. Si todo lo que necesitas es algo para desbloquear tu cuenta de Gmail, entonces la U2F es suficiente. Cualquier otra cosa es como usar un tanque para aplastar una mosca.
El YubiKey 4 prácticamente lo hace todo, pero a $ 50 puede resultar un poco caro para alguien que solo quiere ingresar su correo electrónico.
Si alguien obtiene su clave y contraseña de cuenta, su cuenta está comprometida
Lo que sucede con 2FA es que cualquier intruso necesitaría acceso físico a su teléfono para obtener el SMS o el código de Google Authenticator. Si tiene un código de acceso en su teléfono (que debería, especialmente a la luz del enfrentamiento entre Apple y el FBI. Las puertas traseras del FBI no ayudarán a nadie, ni siquiera las puertas traseras del FBI no ayudarán a nadie, ni siquiera el FBI El FBI quiere forzar a las compañías de tecnología a permitir que los servicios de seguridad se adentren en la mensajería instantánea. Pero esas puertas traseras de seguridad en realidad no existen, y si lo hicieran, ¿confiaría en su gobierno con ellas? Más información), entonces el acceso a sus códigos 2FA sería imposible para un tercero no autorizado. A menos que su código sea algo extremadamente obvio (como su cumpleaños), y el intruso lo conozca lo suficientemente bien como para adivinarlo..
Pero si alguien obtiene un YubiKey y conoce la contraseña de su cuenta, ingresará a la cuenta más rápido que un cuchillo caliente a través de la mantequilla. No tendrían una contraseña de teléfono inteligente para pasar por alto. Eso es asumiendo que tienes un código de acceso en tu teléfono para empezar. Si no, bueno, entonces no hay diferencia entre usar 2FA y usar una YubiKey.
La mejor manera de solucionar este problema es usar una contraseña muy larga y difícil de adivinar. Guía de administración de contraseñas Guía de administración de contraseñas No se sienta abrumado por las contraseñas, o simplemente use la misma en cada sitio para que recuerde ellos: diseña tu propia estrategia de gestión de contraseñas. Lea más (y manténgalo en un administrador de contraseñas cifradas. Administrador de contraseñas: Battle Royale: ¿Quién terminará en la parte superior? Administrador de contraseñas, Battle Royale: ¿Quién terminará en la parte superior? Lea más). De esa manera, incluso si la clave cayera en las manos equivocadas, descubrir la contraseña de la cuenta sería extremadamente difícil, si no imposible. Sin la contraseña, la clave terminaría siendo una pieza de plástico inútil..
¿Hay alternativas a YubiKey??
Después de mirar alrededor, la única alternativa a YubiKey parece ser Nitrokey. Aproximadamente al mismo precio que el YubiKey, NitroKey se fabrica en Alemania y se enorgullece de ser de código abierto. También parece hacer mucho más que un YubiKey, lo que me hace considerar comprar uno y probarlo para comparar. El producto se llamaba anteriormente Crypto-Key y fue revisado por Danny en 2012 The German Privacy Foundation Crypto Stick - Cómo y por qué es más seguro The German Privacy Foundation Crypto Stick - Cómo y por qué es más seguro Se están creando nuevas tecnologías constantemente para aumentar la seguridad, y muchas de esas tecnologías desaparecen con el tiempo debido a lagunas y otros problemas que finalmente se descubren. Ninguna forma de seguridad está exenta ... Leer más .
Pero es bueno ver que al menos otra compañía está creando un producto rival y, en el proceso, avanza todo el concepto de una clave de seguridad. La rivalidad promueve la investigación, y la investigación termina en mejores productos (generalmente).
Paz mental o conveniencia?
Toda la exploración del concepto de YubiKey ha planteado, para mí de todos modos, toda la cuestión de qué deberíamos estar preparados para soportar en nombre de la seguridad. La autenticación de 2 factores es una excelente manera de asegurarse de que su cuenta esté bloqueada, pero como mencioné, puede ser un verdadero dolor de cabeza. Esto lleva a muchas personas a decir “Maldita sea, estoy apagando esto!”.
Por otro lado, algo como un YubiKey o un NitroKey hace que todo el proceso sea conveniente. Presiona un botón y ya estás dentro. Pero si pierdes la clave y alguien puede adivinar fácilmente tu contraseña, entonces tendrás un día muy malo. Así que tranquilidad (y algunos pasos adicionales de molestia) o presionar el botón de una tecla y ahorrar 60 segundos? ¿En qué campamento caes? Dinos en los comentarios.
Obtenga más información sobre: Seguridad informática, Contraseña, Autenticación de dos factores.