YubiKeys – Κλειδιά Ασφαλείας – Ρωτάτε / Απαντάμε

Ένα κλειδί ασφάλειας είναι μια φυσική συσκευή που μπορείς να χρησιμοποιείς αντί για το όνομα χρήστη και τον κωδικό πρόσβασής σου για να συνδέεσε στους λογαριασμούς, υπολογιστές, σέρβερ και κινητά. Καθώς χρησιμοποιείται παράλληλα με ένα δακτυλικό αποτύπωμα ή ένα PIN, ακόμη και αν κάποιος έχει το κλειδί ασφαλείας, δεν θα μπορέσει εισέλθει χωρίς το PIN ή το δακτυλικό αποτύπωμα που θα δημιουργήσεις.

Ανάλογα με τον λογαριασμό, αυτό μπορεί να έχει ως αποτέλεσμα κάποιος να κλέψει τα στοιχεία του τραπεζικού σου λογαριασμού, να μάθει προσωπικά στοιχεία για την οικογένειά σου, να μπορεί να ποζάρει όπως εσύ στα κοινωνικά μέσα κλπ.

Επειδή πολλοί από τους διαδικτυακούς λογαριασμούς μας είναι συνδεδεμένοι, ένας κλέφτης που έχει πρόσβαση ακόμη και σε έναν, μπορεί να προκαλέσει πολλά προβλήματα. Αυτό ισχύει ιδιαίτερα για λογαριασμούς email, καθώς οι εισβολείς μπορούν να στείλουν email επαναφοράς κωδικού πρόσβασης για άλλους λογαριασμούς, στα εισερχόμενα email σου.

Ο έλεγχος ταυτότητας δύο παραγόντων (2FA), είναι μια μέθοδος σύνδεσης που απαιτεί από εσένα να ολοκληρώσεις δύο βήματα επαλήθευσης για να συνδεθείς σε έναν λογαριασμό.

Οι κωδικοί πρόσβασης, από μόνοι τους συχνά δεν επαρκούν για την προστασία των λογαριασμών σου. Υπάρχουν δύο λόγοι για αυτό.

Μέρος του προβλήματος είναι ότι οι περισσότεροι άνθρωποι είναι τεμπέληδες με τους κωδικούς πρόσβασης. Κάνοντας κοινά λάθη κωδικών πρόσβασης , όπως η χρήση του ίδιου κωδικού πρόσβασης παντού, κοινά μοτίβα, χρήση κωδικών με μικρή πολυπλοκότητα, διευκολύνεις την παραβίαση των λογαριασμών σου.

Ο έλεγχος ταυτότητας δύο παραγόντων βάσει SMS δεν θεωρείται ιδανικός επειδή κάποιος θα μπορούσε να κλέψει τον αριθμό τηλεφώνου σου ή να υποκλέψει τα μηνύματα κειμένου σου.

Ένας εισβολέας θα μπορούσε να σε πλαστοπροσωπήσει και να μετακινήσει τον αριθμό τηλεφώνου σου σε ένα νέο τηλέφωνο σε μια απάτη μεταφοράς αριθμού τηλεφώνου. Αυτή είναι η πιο πιθανή επίθεση.

Ένας εισβολέας θα μπορούσε να υποκλέψει μηνύματα SMS που προορίζονται για εσένα. Για παράδειγμα, θα μπορούσαν να πλαστογραφήσουν έναν δίκτυο  κυψέλης κοντά σου ή μια κυβέρνηση θα μπορούσε να χρησιμοποιήσει την πρόσβασή της στο δίκτυο κινητής τηλεφωνίας για την προώθηση μηνυμάτων.

Αυτός είναι ο λόγος για τον οποίο οι ειδικοί προτείνουν τη χρήση μιας άλλης μεθόδου δύο παραγόντων, μιας που δεν μπορεί να γίνει κατάχρηση τόσο εύκολα από τις κρατικές υπηρεσίες και δεν είναι ευάλωτη εάν ο πάροχος κινητής τηλεφωνίας σου δώσει τον αριθμό τηλεφώνου σου σε κάποιον άλλο.

Με το YubiKey μπορείς να μετατρέψεις μια μονάδα USB σε κλειδί ασφαλείας. Αυτή η μέθοδος 2FA απαιτεί να εισαγάγεις το κλειδί στον υπολογιστή σου (ή να τη σαρώσεις με το τηλέφωνό σου) και να πατήσεις ένα κουμπί για έλεγχο ταυτότητας.

Το YubiKey συνεργάζεται με εκατοντάδες εφαρμογές, συσκευές και πλατφόρμες στον κόσμο επιτρέποντας έτσι την ασφαλή πρόσβαση σε εκατομμύρια διαδικτυακές υπηρεσίες. Πλήρη κατάλογο μπορείς να δεις εδώ.

Για να χρησιμοποιήσεις το YubiKey πήγαινε στις ρυθμίσεις ασφαλείας της υπηρεσίας και επίλεξε έλεγχο ταυτότητας δύο παραγόντων (2FA).

Το YubiKey λειτουργεί απευθείας out of the box. Δεν χρειάζεται να εγκαταστήσεις λογισμικά ή προγράμματα οδήγησης για να λειτουργήσει το YubiKey, καθώς εναπόκειται στον πάροχο υπηρεσιών να εφαρμόσει υποστήριξη για το YubiKey. Επομένως, οι οδηγίες εγκατάστασης διαφέρουν από υπηρεσία σε υπηρεσία. Στις παρακάτω οδηγίες βήμα προς βήμα, καλύψαμε τα βασικά για την εγγραφή του YubiKey σε μια υπηρεσία που υποστηρίζει τα πρωτόκολλα OTP και WebAuthn/FIDO2 .

Λάβε υπόψη ότι η αρχική ρύθμιση πρέπει συνήθως να γίνει μέσω υπολογιστή. Συνιστούμε επίσης να ρυθμίσεις το κύριο YubiKey καθώς και ένα τουλάχιστον Εφεδρικό κλειδί ταυτόχρονα.

1. Έχε έτοιμο το YubiKey καθώς και το Εφεδρικό κλειδί.
2. Συνδέσου στην υπηρεσία (δηλαδή ιστότοπους και εφαρμογές) στην οποία θέλεις να προσθέσεις το YubiKey. Βεβαιώσου ότι η υπηρεσία υποστηρίζει κλειδιά ασφαλείας.
3. Βρες τις ρυθμίσεις λογαριασμού της υπηρεσίας και, στη συνέχεια, αναζήτησε τις ρυθμίσεις ασφάλειας. Από εκεί θα πρέπει να μπορείς να βρεις μια επιλογή για 2FA/MFA ή προσθήκη κλειδιών ασφαλείας. Όπως αναφέρθηκε παραπάνω, αυτή η διαδικασία μπορεί να διαφέρει μεταξύ των υπηρεσιών.
4. Ακολούθησε τις οδηγίες που δίνονται από τον πάροχο υπηρεσιών.
5. Καταχώρησε το κύριο YubiKey και το Εφεδρικό κλειδί σου.

Μπορείς να βρεις περισσότερους προσαρμοσμένους οδηγούς για το πώς να ρυθμίσεις το YubiKey σου μέσω του καταλόγου Works with YubiKey.

Ναι. Συνιστούμε πάντα να έχετε περισσότερα από ένα YubiKey. Με αυτόν τον τρόπο το ένα κλειδί μπορεί να χρησιμοποιηθεί ως πρωτεύον κλειδί και το άλλο ως εφεδρικό κλειδί . Η σημασία της ύπαρξης ενός εφεδρικού κλειδιού είναι πολύ σημαντική. Η κατοχή ενός εφεδρικού κλειδιού σου παρέχει τη διαβεβαίωση ότι εάν χάσεις το κύριο κλειδί σου, δεν θα έχεις πρόσβαση σε σημαντικούς λογαριασμούς όταν τους χρειάζεσε περισσότερο. Με άλλα λόγια, με ένα εφεδρικό κλειδί δεν χρειάζεται να φοβάσε ότι θα αποκλειστείς από οποιονδήποτε λογαριασμό και δεν χρειάζεται να περάσεις από μια μακρά διαδικασία ανάκτησης και επαλήθευσης ταυτότητας για να αποκτήσεις ξανά πρόσβαση σε κάθε λογαριασμό.

Εάν χαθεί το κλειδί σου θα κλειδωθείς έξω από τον λογαριασμό σου και θα πρέπει να επικοινωνήσεις με την υπηρεσία για βοήθεια σχετικά με την ανάκτηση του λογαριασμού σου. Συνιστούμε πάντα να προστατεύετε τον λογαριασμό σας με ένα επιπλέον YubiKey. Το πρόσθετο YubiKey μπορεί να χρησιμοποιηθεί ως εφεδρικό κλειδί σε περίπτωση που το κύριο YubiKey σου έχει τοποθετηθεί λάθος ή χαθεί. Εάν δεν έχεις προσθέσει ένα εφερδικό YubiKey, συνίσταται να προσθέσεις μια άλλη μορφή 2FA στους λογαριασμούς σου.

Η καταχώρηση ενός εφεδρικού κλειδιού είναι ακριβώς η ίδια διαδικασία με την καταχώρηση του πρωτεύοντος κλειδιού. Επισκέψου τη διεύθυνση https://yubico.com/setup για πληροφορίες σχετικά με τον τρόπο εγγραφής των YubiKeys. Αφού προσδιορίσεις το συγκεκριμένο YubiKey που θέλεις να ρυθμίσεις, επίλεξε τις υπηρεσίες στις οποίες θέλεις να καταχωρήσεις το YubiKey σου και απλώς ακολουθήσε τις οδηγίες.

Συμβουλή: Η καλύτερη στιγμή για να καταχωρήσεις τα εφεδρικά κλειδιά σου είναι ταυτόχρονα με το κύριο κλειδί. Καταχωρώντας όλα τα κλειδιά σου ταυτόχρονα, πρέπει να επισκεφτείς κάθε υπηρεσία μόνο μία φορά, ενώ εξαλείφεις την πιθανότητα να χάσεις το πρωτεύον κλειδί σου πριν έχεις την ευκαιρία να καταχωρήσεις τα εφεδρικά κλειδιά.

Εισάγεις το YubiKey σε μια θύρα USB και απλά το ακουμπάς ώστε να επιβεβαιώσει πως δεν είσαι κάποιος απομακρυσμένος hacker αλλά ο χρήστης.

Σε Android συσκευές που υποστηρίζουν τη λειτουργία NFC απλά ακουμπάς το YubiKey στη συσκευή για να ολοκληρωθεί η αυθεντικοποίηση.

Μπορείς να χρησιμοποιήσεις το YubiKey με iPhone 7 και νεότερα με τα κλειδιά που διαθέτουν υποδοχή Lightning και NFC. Λάβε υπόψη ότι μόνο τα iPhone 7 και νεότερα υποστηρίζουν NFC με τον τρόπο που απαιτείται για χρήση με τα YubiKeys. Το NFC σε παλαιότερα μοντέλα iPhone λειτουργεί μόνο με το Apple Pay. Για να δουλέψει το YubiKey, το NFC πρέπει να έχει δυνατότητες ανάγνωσης και εγγραφής. Επομένως, τα iPhone παλαιότερα από το iPhone 7 είναι συμβατά μόνο με το YubiKey 5Ci (Lightning). Λάβε επίσης υπόψη ότι δεν μπορείς να ασφαλίσεις τη σύνδεση του iPhone σου με ένα YubiKey.

Θύρα Lightning
Για iPad με θύρα lightning, το YubiKey 5Ci θα λειτουργεί όπως και τα iPhone. Το YubiKey 5Ci θα λειτουργεί με την εφαρμογή ελέγχου ταυτότητας Yubico.

Λάβε υπόψη ότι δεν μπορείς να χρησιμοποιήσεις έναν μετατροπέα Lightning, καθώς το Lightning είναι MFI (κατασκευασμένο για iPhone) και επομένως ενδέχεται να μην λειτουργεί. Οι μετατροπείς θα πρέπει να λειτουργούν με OTP και Fido U2F, ωστόσο δεν το συνιστούμε.

Θύρα USB-C
Θα μπορείς να χρησιμοποιήσεις το YubiKey σου με οποιεσδήποτε υπηρεσίες υποστηρίζουν το Yubico OTP σε iPad μέσω USB-C. Εάν διαθέτεις iPad Pro, σημείωσε ότι τα YubiKeys δεν είναι συμβατά με τον Yubico Authenticator επειδή το iPad Pro δεν διαθέτει δυνατότητες Lighning ή NFC. Αυτή τη στιγμή, λόγω του προγράμματος MFi της Apple, μόνο οι θύρες Lightning είναι συμβατές με iPad.

Συνοπτικά: Θα μπορείς να χρησιμοποιήσεις το κλειδί σου με οποιεσδήποτε υπηρεσίες χρησιμοποιούν Yubico OTP σε iPad μέσω USB-C. Για υπηρεσίες που χρησιμοποιούν WebAuthn, FIDO U2F και FIDO2, η δυνατότητα υπάρχει στο iPadOS εάν χρησιμοποιείς το πρόγραμμα περιήγησης Safari (αυτό αξιοποιεί την εγγενή υποστήριξη του iPadOS για WebAuthn), αλλά σημείωσε ότι ορισμένες υπηρεσίες μπορεί απλώς να μην σου δίνουν την επιλογή να χρησιμοποιήσεις το YubiKey αν εντοπίσει ότι συνδέεστε από iPad (αυτό είναι εκτός ελέγχου μας).

Για υπηρεσίες που υποστηρίζουν τα προϊόντα μας μέσω εφαρμογών ελέγχου ταυτότητας, θα μπορείς να χρησιμοποιήσεις τον Yubico Authenticator με ένα YubiKey για να δημιουργήσεις τους κωδικούς πρόσβασης μίας χρήσης, αλλά δεν θα μπορείς να το κάνεις αυτό στο iPad σου. Ωστόσο, θα μπορείς να δημιουργήσεις τα OTP σε άλλη συσκευή και, στη συνέχεια, να τα αντιγράψεις με το χέρι στο iPad σου. Λάβε υπόψη ότι δεν μπορείς να ασφαλίσεις τη σύνδεση του iPad σου με ένα YubiKey.

Η χρήση μη αξιόπιστου υπολογιστή για τη σύνδεση σε ασφαλείς λογαριασμούς ενέχει πάντα ένα στοιχείο κινδύνου, καθώς το περιβάλλον μπορεί να τεθεί σε κίνδυνο. Ωστόσο, το υλικολογισμικό (firmware) στο YubiKey καθώς και τα κλειδιά ασφαλείας της Yubico απαγορεύουν την εξαγωγή των δεδομένων και των κλειδιών που είναι αποθηκευμένα μέσα στη συσκευή. Αυτό σημαίνει ότι το κακόβουλο λογισμικό δεν είναι σε θέση να υποκλέψει τα διαπιστευτήρια που θα χρειαζόταν για την αντιγραφή του YubiKey σου.

Επομένως, εάν συνδεθείς σε έναν ιστότοπο μέσω ενός υπολογιστή με παραβιασμένο λειτουργικό σύστημα, πρόγραμμα περιήγησης ή εφαρμογή, θα μπορούσε ενδεχομένως να χρησιμοποιήσει τη συγκεκριμένη σύνδεση (session) για να εκτελέσει μη εξουσιοδοτημένες ενέργειες για λογαριασμό σου.

Θα πρέπει να αποφεύγεις τη χρήση μη αξιόπιστων υπολογιστών για να συνδεθείς στους λογαριασμούς σου, αλλά εάν πρέπει να χρησιμοποιήσεις έναν, βεβαιώσου ότι έκανες αποσύνδεση αφού τελειώσεις, ώστε η περίοδος σύνδεσης να μην είναι πλέον ενεργή.