Autenticació en dues passes amb Yubikey

yubikey
Compartir

S’ha parlat molt últimament de com protegir-nos els comptes i com hem d’escollir una contrasenya. Però desgraciadament amb això no n’hi ha prou. Una contrasenya, per bona que sigui, no té cap opció contra els keyloggers o el phishing, per esmentar-ne només un parell. La millor solució és afegir una nova capa de seguretat, i el més fàcil per a obtenir-la és amb l’autenticació en dues passes.

La majoria dels serveis ho ofereixen i consisteix en un segon codi que s’ha de introduir a l’hora d’accedir al servei. Aquest segon pas és “fora de banda”, això vol dir que en altre entorn, ja sigui una trucada, un SMS o un codi en una altra aplicació.

Una altra solució és utilitzar claus intel·ligents. Ofereixen un codi disponible només una vegada i no necessites accés a cap xarxa per fer-lo servir. Cada cop que vols accedir a un servei web, només has de connectar el dispositiu per USB, prémer un botó, i la clau genera credencials segures per iniciar la sessió. Yubikey utilitza el xifrat AES de 128 bits, funciona amb Windows, Mac i Linux, és resistent a l’aigua i no necessita bateries.

Cada clau de seguretat té un xip individualitzat segur, que realitza les funcions criptogràfiques quan prems el botó que hi ha sobre la clau. El que fa és crear un parell únic de claus publiques i privades per cada aplicació que protegeix. El xip emprat és el mateix dels passaports electrònics i de les targes de crèdit.

Els secrets continguts per la clau són de propietat exclusiva de l’usuari final i no poden ser transferits, copiats o allotjats en cap proveïdor de serveis, ni en cap altre proveïdor d’aplicacions.

El protocol utilitzat, FIDO U2F, és un estàndard obert d’autenticació amb gran suport de les companyies, de FIDO Alliance, un grup que treballa per portar l’autenticació forta a les masses. L’U2F treu la complexitat dels drivers, dels clients de programari i del model tradicional de les autoritats de certificació. Amb FIDO U2F, amb només un dispositiu, pots fer servir diversos serveis sense canvis entre proveïdors de cap informació o claus de xifrat.

Com que les claus criptogràfiques es generen dins del Yubikey, pots estar segur que només tu tens accés a les dades privades i no passes per cap altre dispositiu que pugui ser compromès. També, si es perd, en qualsevol moment el dispositiu pot ser revocat. No és perillós per quedar-te sense accés als serveis en aquest cas, perquè tots ofereixen un nivell extra d’autenticació, uns codis que es poden imprimir i guardar segur, com en un banc a Suïssa…

Aquesta és realment una solució per controlar la seguretat de les nostres dades. Però el més important sempre és ser conscients i entendre si podem ser objectiu i quin és el nostre valor, així podem posar un valor a la nostra protecció. També, hem de ser conscients que si un govern vol trobar-te i comprometre les teves dades, l’única manera de protegir-te és desconnectar-te completament de totes les xarxes, tan mòbils com fixes.

Tots els sistemes de seguretat també funcionen en la mesura que hi confiem. I fins que no comprovem tot el codi i l’electrònica que hi ha sobre un dispositiu que utilitzem, no podem ser segurs al 100%. Però, com hem dit, sempre quan parlem de seguretat és important el valor que tenen les nostres dades i l’interès dels nostres perseguidors. Segur que una mica de paranoia no fa mal, perquè així podem prevenir i entendre les conseqüències de la ignorància.

YCOM
Últimes entrades de YCOM (Veure'ls tots)
Etiquetes: