YubiKey rend-il l'authentification en deux étapes moins ennuyeuse?
Alors que le nombre d'incidents de piratage augmente jour après jour, tout le monde devrait utiliser une authentification en deux étapes / deux facteurs (2FA) Qu'est-ce qu'une authentification à deux facteurs et pourquoi l'utiliser? Une authentification à deux facteurs et pourquoi vous devriez Use It L'authentification à deux facteurs (2FA) est une méthode de sécurité qui nécessite deux manières différentes de prouver votre identité. Il est couramment utilisé dans la vie quotidienne. Par exemple, payer avec une carte de crédit ne nécessite pas seulement… En savoir plus. Il ajoute une couche pare-balles autour de votre compte en ligne, ce qui rend extrêmement difficile, voire impossible, un pirate informatique à pénétrer..
Mais beaucoup de gens sont réticents à utiliser 2FA, simplement en raison de la gêne occasionnée. La vérification en deux étapes peut-elle être moins irritante? Quatre hackings garantis pour améliorer la sécurité Une vérification en deux étapes peut-elle être moins irritante? Quatre hackings garantis pour améliorer la sécurité Voulez-vous une sécurité de compte à toute épreuve? Je suggère fortement d'activer ce qu'on appelle l'authentification "à deux facteurs". En savoir plus sur la nécessité d'obtenir un deuxième code à partir de leur téléphone, chaque fois qu'ils veulent se connecter. Ainsi, les utilisateurs désactivent la fonctionnalité ou ne se donnent pas la peine de la configurer. Mais vous devriez, car de nombreuses entreprises s’engagent maintenant dans l’idée.
Si vous vous comptez dans le “facilement dérangé” groupe, alors vous serez heureux d’entendre qu’il existe une autre option au lieu de 2FA. Cette option permet de sécuriser votre compte, mais il vous suffit d'appuyer sur un bouton. C'est ce qu'on appelle la clé YubiKey. Après quelques jours d'utilisation, je suis déjà converti. Bébé, tu m'as eu au salut.
Qu'est-ce qu'une YubiKey??
Une YubiKey est une clé USB, fabriquée par la société Yubico. Ils fabriquent divers produits, qui font tous des travaux similaires. Mais pour les besoins de cet article, je vais me concentrer sur le Fido U2F (Universal 2-Factor), qui est celui que j'ai reçu. Il est facile à installer et à utiliser, et est apparemment indestructible.
Du site:
“Tous les YubiKeys sont presque indestructibles. La YubiKey de taille standard (telle que la clé de sécurité YubiKey Standard, la clé de sécurité YubiKey NEO, la clé YubiKey Edge et la clé de sécurité FIDO U2F) est fabriquée en plastique moulé par injection recouvrant le circuit, tandis que les éléments exposés sont en or trempé de qualité militaire. Imperméable et résistant aux chocs, la YubiKey de taille standard se fixe à votre trousseau à côté des clés de votre maison et de votre voiture.”.
C’est assez petit et délicat, et on vous pardonnerait de douter de la “indestructible” prétendre. Ne pesant que 3 grammes, ses dimensions ne sont que de 18 mm x 45 mm x 3 mm. Mais cette petite clé, avec le stockage de tous mes mots de passe dans KeePass, a soudainement rendu la connexion à des comptes sans douleur ni ennui. Google et Facebook utilisent la clé YubiKey pour les identifiants des employés. Le concept est donc doté de très puissants facteurs de frappe qui la sauvegardent. Google l'a introduit pour ses utilisateurs en 2014.
Comment ça marche?
La YubiKey est un composant matériel prenant en charge les mots de passe à usage unique, le chiffrement et l'authentification par clé publique et le protocole U2F (Universal 2nd Factor) développé par FIDO Alliance. Vous pouvez l'utiliser pour vous connecter en toute sécurité à vos comptes pris en charge à l'aide d'un mot de passe à utilisation unique ou d'une paire de clés publique / privée basée sur FIDO. Comment fonctionne le cryptage et est-il vraiment sûr? Comment fonctionne le cryptage et est-il vraiment sûr? Lire plus généré par l'appareil. Après avoir entré la clé, vous appuyez sur le bouton doré et le contact de votre doigt dégage une petite charge électrique qui active le périphérique..
Comment le configurez-vous?
Une YubiKey est très facile à configurer, comme vous le verrez ci-dessous. Une clé U2F fonctionne pour les comptes Google, Dropbox, Github. Qu'est-ce que Git et pourquoi utiliser le contrôle de version si vous êtes développeur? Qu'est-ce que Git et pourquoi utiliser le contrôle de version si vous êtes développeur? En tant que développeurs Web, Lorsque nous avons tendance à travailler sur des sites de développement locaux, il suffit de tout télécharger lorsque nous avons terminé. C’est bien quand il n’ya que vous et que les changements sont minimes,… En savoir plus et Dashlane Dashlane - Un nouveau gestionnaire de mots de passe, Assistant de remplissage et de magasinage en ligne Dashlane - Un gestionnaire de nouveau mot de passe, Assistant de remplissage et de magasinage en ligne Si vous ' Après avoir déjà essayé quelques gestionnaires de mots de passe, vous avez sans doute appris à vous attendre à une certaine rugosité. Ce sont des applications solides et utiles, mais leurs interfaces peuvent être trop complexes et peu pratiques. Dashlane ne fait pas que réduire… Lire la suite. Pour les besoins de cet article, je vais avec des comptes Google, mais les autres suivront plus ou moins la même procédure. Juste différentes captures d'écran.
Dirigez-vous vers votre page d’authentification Google en 2 étapes, puis cliquez sur le bouton Clés de sécurité languette.
Cela vous amène ensuite à la page de configuration. Suivez les instructions comme indiqué sur la page. Tout est très basique et direct.
Lorsque la clé a été enregistrée avec succès, le “registre” la clé en bas deviendra verte et montrera “Inscrit”. Si ce n'est pas le cas, recommencez depuis le début jusqu'à ce qu'il le soit.
Vous pouvez vérifier si la clé a été enregistrée avec succès en retournant à la page Clés de sécurité languette.
Et ça, mesdames et messieurs, est-ce.
Que se passe-t-il si vous vous connectez à l'aide d'un smartphone ou d'une tablette??
Ce fut l'une des premières choses qui me vint à l'esprit. Je me connecte à tous mes comptes Google beaucoup sur mes appareils iOS. Mes iDevices sont merveilleux et tout, mais la seule faiblesse est qu’ils n’ont pas de port USB. Alors, où va la YubiKey quand elle me le demande?
Après vérification auprès de la société, il semble que si vous vous connectez à votre compte via un téléphone ou une tablette, le YubiKey le détecte et l'écran de connexion passe automatiquement par défaut à votre méthode d'authentification à 2 facteurs (SMS, Authy ou Google Authenticator. Google recommande 2 Processus en ligne pour protéger votre compte [News] Google recommande un processus en deux étapes pour protéger votre compte [News] La plupart des internautes avertis ont probablement au moins un compte Google - principalement parce que Google, pour le meilleur ou pour le pire, croise de nombreux chemins d’autres sites Web sur lesquels il est difficile d’éviter de ne pas utiliser le… Lire la suite). La YubiKey elle-même ne sera demandée que si elle détecte que vous utilisez un ordinateur de bureau ou un ordinateur portable, ce qui aura un port USB..
Il est également intéressant de noter que si vous acheminez votre courrier électronique via un client local tel que Apple Mail ou Outlook, ni le YubiKey ni le 2FA ne sont pris en charge. Dans ce cas, vous devrez utiliser un mot de passe spécial de l'application en question..
Ses avantages
Passons maintenant en revue quelques-uns des avantages d'utiliser une clé comme celle-ci..
C'est extrêmement simple à utiliser
Il n'y a vraiment aucun moyen de gâcher quelque chose comme ça. Une fois la configuration effectuée, insérez simplement la clé dans le port USB et appuyez une fois sur le bouton rougeoyant. C'est tout. Maintenant, comment quelqu'un pourrait-il se tromper?
Votre compte bénéficie d'une sécurité supplémentaire sans gêne
Comme je l'ai déjà mentionné, le 2FA est bon - mais cela peut être ennuyeux. Quand je parle à quelqu'un qui n'a pas 2FA, l'excuse normale est invariablement “c'est trop embêtant“. Mais mon contre-argument est toujours “et combien de tracas est impliqué en essayant de récupérer un compte piraté?“. Mais néanmoins je l'obtiens toujours. 2FA consiste à vous connecter à votre téléphone, à obtenir le code et à le saisir. Le faire une fois n'est pas grave, mais lorsque vous le faites régulièrement, cela commence à devenir fastidieux. Même à plusieurs reprises, j'ai été tenté de tout arrêter et de ne pas m'inquiéter que quelqu'un puisse percer mes comptes, et je ne suis pas seul dans cette situation..
Une YubiKey supprime cette gêne et vous incite davantage à utiliser la protection supplémentaire. Cependant, vous aurez toujours besoin de la configuration 2FA si vous accédez à vos comptes en ligne via un smartphone ou une tablette. Donc, vous ne pouvez pas échapper à 2FA entièrement.
Ce n'est pas cher
Les différents YubiKeys proposés ont tous des prix variables (40 $ à 50 $), chacun effectuant un travail particulier (voir le “Désavantages” section pour plus à ce sujet). Cependant, le U2F est vraiment bon marché (18 $ sur Amazon), comme il en fait moins que les autres clés. Pour vous familiariser avec l'appareil, commencer par l'U2F est idéal. Pensez-y comme un élève qui roule sur le vélo d'un enfant.
Il est impossible d'être infecté par un virus
Une des choses que j'ai remarquées le plus en ligne, lors de la lecture à propos de YubiKeys, est que les gens hurlent “et l'infecter dans un terminal Internet public? NON MERCI!“. Tout d’abord, vous ne devriez pas utiliser les connexions Internet publiques. 5 façons de vous assurer que les ordinateurs publics que vous utilisez sont sûrs 5 façons de vous assurer que les ordinateurs publics que vous utilisez sont sûrs Le WiFi est dangereux, peu importe l’ordinateur sur lequel vous êtes, mais des machines étrangères demande encore plus de prudence. Si vous utilisez un ordinateur public, suivez ces instructions pour assurer votre confidentialité et votre sécurité. Lisez plus pour des raisons de sécurité, et deuxièmement, les YubiKeys ne peuvent pas attraper de virus car il est impossible de déplacer des fichiers dessus. Ce n'est pas ce genre de périphérique USB. Ajoutez à cela le fait que toutes les informations contenues sur la clé sont protégées en écriture et l'ordinateur reconnaît la clé comme un clavier. Il n'y a donc pas besoin de s'inquiéter à ce sujet.
Ses inconvénients
Bien que la YubiKey soit un excellent appareil à mon avis, il y a tout de même des inconvénients notables à prendre en compte.
Cela ne fonctionne que dans Chrome
À ce jour, YubiKey ne fonctionne que sur Google Chrome, version 38 ou ultérieure. Tellement de malchanceux utilisateurs de Firefox, Safari, Opera et Edge 10 raisons pour lesquelles vous devriez utiliser Microsoft Edge maintenant 10 raisons pour lesquelles vous devriez utiliser Microsoft Edge maintenant Microsoft Edge marque une rupture complète avec le nom de marque Internet Explorer, tuant 20 années -recherche de l'arbre généalogique. Voici pourquoi vous devriez l'utiliser. Lire la suite . Il est fort possible qu’ils rejoignent l’avenir, mais pour l’instant, ils ne prennent pas en charge la YubiKey. Pendant toute ma vie, je ne comprends pas pourquoi seul Chrome est pris en charge. Cela aliène un grand nombre d’utilisateurs du navigateur.
Différents comptes nécessitent différentes clés
Yubico fabrique 7 produits différents, et ils font tous des choses différentes. Par exemple, ma clé, le Fido U2F, n’ouvre que les comptes sur les gestionnaires de mots de passe Google, Dropbox, Github et Dashlane (comptes premium uniquement)..
Mais - et voici le plus gros mais - si vous souhaitez sécuriser votre système d'exploitation, vos comptes Paypal, Evernote ou WordPress, vous aurez besoin de différents YubiKeys. Si tout ce dont vous avez besoin est de déverrouiller votre compte Gmail, alors U2F suffit. Tout le reste, c'est comme utiliser un tank pour écraser une mouche.
La YubiKey 4 fait à peu près tout, mais à 50 USD, cela peut s'avérer un peu trop cher pour quelqu'un qui veut juste entrer dans son courrier électronique..
Si quelqu'un obtient votre clé et votre mot de passe, votre compte est compromis
Le problème avec 2FA est qu’un intrus aurait besoin d’un accès physique à votre téléphone pour obtenir le code SMS ou Google Authenticator. Si vous avez un code d'authentification sur votre téléphone (ce que vous devriez faire, en particulier à la lumière de la confrontation entre Apple et le FBI), les portes arrière du FBI ne serviront à rien - pas même le FBI Les portes arrière du FBI ne vont aider personne - pas même le FBI Le FBI veut forcer les entreprises technologiques à autoriser les services de sécurité à surveiller la messagerie instantanée, mais il n’existe pas de telles backdoors de sécurité, et si elles existaient, feriez-vous confiance à votre gouvernement? Lire la suite), l'accès à vos codes 2FA serait alors impossible à un tiers non autorisé. À moins que votre code ne soit quelque chose d'extrêmement évident (tel que votre anniversaire) et que l'intrus vous connaisse suffisamment bien pour deviner que.
Mais si une personne met la main sur votre YubiKey et connaît également le mot de passe de votre compte, elle y accédera plus rapidement qu'un couteau chauffant au beurre. Ils n'auraient aucun code secret de smartphone à contourner. Cela suppose que vous avez un code d'authentification sur votre téléphone pour commencer. Si non, alors il n'y a pas de différence entre utiliser 2FA et utiliser une clé YubiKey.
Le meilleur moyen de résoudre ce problème consiste à utiliser un mot de passe très long et difficile à deviner. Guide de gestion des mots de passe Guide de gestion des mots de passe Ne vous sentez pas submergé par les mots de passe, ou utilisez simplement le même mot de passe sur tous les sites pour vous rappeler du contenu. eux: concevez votre propre stratégie de gestion des mots de passe. Lisez plus (et conservez-le dans un gestionnaire de mot de passe chiffré. Gestionnaire de mots de passe Battle Royale: Qui va finir au sommet? Gestionnaire de mots de passe Battle Royale: Qui va finir au dessus? Lisez-en plus). Ainsi, même si la clé tombait entre de mauvaises mains, il serait extrêmement difficile, voire impossible, de déterminer le mot de passe du compte. Sans le mot de passe, la clé finirait par être un morceau de plastique inutile.
Y a-t-il des alternatives à YubiKey??
Après avoir regardé autour de nous, la seule alternative à YubiKey semble être Nitrokey. À peu près au même prix que la YubiKey, NitroKey est fabriqué en Allemagne et se targue d’être open-source. Il semble également faire beaucoup plus qu'une clé YubiKey, ce qui me permet d'envisager d'en acheter une et de la tester pour la comparer. Le produit s'appelait auparavant Crypto-Key et a été examiné par Danny en 2012. Crypto Stick de la Fondation allemande pour la confidentialité - Comment et pourquoi il est plus sécurisé Crypto Stick de la Fondation allemande pour la vie privée - Comment et pourquoi il est plus sécurisé De nouvelles technologies sont constamment créées afin d'accroître la sécurité, et nombre de ces technologies finissent par disparaître à cause de failles et d'autres problèmes éventuellement découverts. Aucune forme de sécurité n'est exemptée… Lire la suite .
Mais il est agréable de voir qu’au moins une autre société fabrique un produit concurrent et, ce faisant, fait progresser le concept de clé de sécurité. La rivalité favorise la recherche, et la recherche aboutit à de meilleurs produits (généralement).
Tranquillité d'esprit ou commodité?
Toute l’exploration du concept YubiKey a soulevé, pour moi en tout cas, toute la question de ce que nous devrions être prêts à accepter au nom de la sécurité. L’authentification à 2 facteurs est un excellent moyen de s’assurer que votre compte est verrouillé, mais comme je l’ai mentionné plus haut, il peut être très pénible. Cela amène beaucoup de gens à dire “fout ça, j'éteins ça!”.
D'autre part, quelque chose comme une YubiKey ou une NitroKey facilite le processus. Appuyez sur un bouton et le tour est joué. Mais si vous perdez la clé et que quelqu'un peut deviner facilement votre mot de passe, vous passerez une très mauvaise journée. Alors tranquillité d'esprit (et quelques étapes supplémentaires) ou appuyer sur le bouton d'une touche pour gagner 60 secondes? Dans quel camp es-tu tombé? Dites le nous dans les commentaires.
Explorer plus sur: la sécurité informatique, mot de passe, authentification à deux facteurs.