Wszystko, co musisz wiedzieć o kluczach bezpieczeństwa sprzętowego

Od phishingu po wycieki baz danych, ochrona własnego ciała w sieci staje się coraz trudniejsza. Klucze sprzętowe to skuteczne rozwiązanie, które zapewnia dodatkową warstwę ochrony Twoim kontom internetowym. W tym artykule omówiono zasady działania sprzętowych kluczy bezpieczeństwa, ich zalety i wady oraz najczęstsze problemy, aby pomóc Ci podjąć decyzję, czy są to odpowiednie urządzenia dla Ciebie.

Czym jest sprzętowy klucz bezpieczeństwa?

Klucz sprzętowy to niewielkie, wysoce bezpieczne urządzenie, które działa jako dodatkowy „czynnik” w konfiguracji uwierzytelniania wieloskładnikowego (MFA). Podobnie jak tradycyjne hasło jednorazowe, sprzętowy klucz bezpieczeństwa gwarantuje, że osoby niepowołane nie będą mogły uzyskać dostępu do Twoich kont internetowych, nawet jeśli znają Twoje dane logowania.

Klucze bezpieczeństwa sprzętowego mają zazwyczaj formę kart inteligentnych z obsługą NFC lub pamięci USB, które można podłączyć do komputera. Niektóre klucze, takie jak popularny Yubikey 5 NFC, oferują kombinację USB i NFC, co pozwala na korzystanie z urządzenia zarówno na komputerach, jak i urządzeniach mobilnych.

Jak działają klucze bezpieczeństwa sprzętowego

Zasadniczo klucze bezpieczeństwa sprzętowego wykorzystują kryptografię klucza publicznego w celu uwierzytelnienia danych logowania. Gdy po raz pierwszy skonfigurujesz klucz na zgodnej stronie internetowej lub w aplikacji, zostanie wygenerowana para kluczy kryptograficznych specyficznych dla danej usługi. Klucz przechowuje prywatną część tej pary kluczy w swoim „chipach bezpieczeństwa”, natomiast usługa bierze część publiczną i przechowuje ją na swoich serwerach.

Po pomyślnym zalogowaniu strona internetowa lub aplikacja poprosi Cię o podłączenie klucza do urządzenia lub wykrycie klucza za pomocą technologii NFC. Usługa wyśle ​​dane do Twojego klucza, który należy podpisać kluczem prywatnym. Usługa pobiera następnie te dane i, korzystając z klucza publicznego, weryfikuje, czy dane zostały prawidłowo podpisane kluczem prywatnym.

Czy wszystkie usługi pozwalają na korzystanie ze sprzętowych kluczy bezpieczeństwa?

W przypadku większości dużych usług online wystarczy użyć sprzętowego klucza bezpieczeństwa. Choć nie ma jednoznacznej gwarancji wsparcia, można się spodziewać, że popularne platformy, takie jak Google, Amazon i X, będą obsługiwać sprzętowe klucze bezpieczeństwa. Na przykład możesz dodać obsługę Yubikey w środowisku X, przechodząc do sekcji Bezpieczeństwo i dostęp do konta na stronie Ustawienia konta .

Dodatkowo, wsparcie często zależy od indywidualnych przypadków. Dzieje się tak, ponieważ to sama platforma odpowiada za dodawanie i zapewnianie obsługi sprzętowych kluczy bezpieczeństwa. Dlatego przed podjęciem decyzji o zakupie należy zastanowić się, jakie strony internetowe się odwiedza i czy obsługują one metodę MFA.

Porównanie kluczy bezpieczeństwa sprzętowego z innymi metodami uwierzytelniania wieloskładnikowego (MFA)

Klucze bezpieczeństwa sprzętowego kontra SMS i e-mail MFA

Jedną z zalet stosowania sprzętowych kluczy bezpieczeństwa zamiast tradycyjnego uwierzytelniania wieloskładnikowego za pomocą wiadomości SMS i poczty e-mail jest bezproblemowa weryfikacja tożsamości. Nie wymaga użycia kodu OTP, co oznacza, że ​​do zalogowania się na konto nie jest wymagana żadna interwencja użytkownika. Dzięki temu nie tylko zapobiegniesz atakom phishingowym, ale także przyspieszysz proces logowania.

Jednak takie bezproblemowe podejście ma też dość wysoką cenę. Większość dzisiejszych sprzętowych kluczy zabezpieczających kosztuje od 30 do 80 dolarów, przy czym tańsze nadają się jedynie do określonych zastosowań. Z drugiej strony uwierzytelnianie wieloskładnikowe SMS i e-mail wykorzystuje urządzenia, które już posiadasz. Dzięki temu koszt uwierzytelniania SMS i e-mail wynosi 0 USD, co czyni tę usługę bardzo ekonomicznym sposobem ochrony kont.

Klucze bezpieczeństwa sprzętowego kontra aplikacje uwierzytelniające

Podobnie jak w przypadku uwierzytelniania wieloskładnikowego za pomocą wiadomości SMS i poczty e-mail, aplikacje uwierzytelniające również borykają się z tymi samymi podstawowymi problemami, co sprzętowe klucze bezpieczeństwa. Opiera się na OTP, przez co jest podatny na ataki phishingowe.

Większość aplikacji uwierzytelniających korzysta jednak ze standardu RFC 6238 (TOTP), co sprawia, że ​​są one jedną z najbardziej dostępnych metod uwierzytelniania wieloskładnikowego (MFA) dostępnych obecnie na rynku. Oznacza to, że istnieje duże prawdopodobieństwo, że odwiedzana przez Ciebie strona internetowa umożliwia włączenie funkcji TOTP. Stanowi to również zaletę w porównaniu ze sprzętowymi kluczami bezpieczeństwa, ponieważ nie wszystkie strony internetowe obsługują standard FIDO2.

Klucze bezpieczeństwa sprzętowego kontra biometria

Chociaż zamki sprzętowe i zamki biometryczne zapewniają podobny poziom bezpieczeństwa i wygody, różnią się pod kilkoma istotnymi względami. Po pierwsze, klucze biometryczne można wykorzystywać wyłącznie na urządzeniu, na którym są przechowywane. Na przykład Touch ID pozwala jedynie na logowanie się na Twoim iPhonie. To poważnie ogranicza możliwości zamków biometrycznych, zwłaszcza w porównaniu ze sprzętowymi zamkami zabezpieczającymi.

Zamki biometryczne są często wygodniejsze i łatwiejsze w użyciu niż zamki sprzętowe. Blokada biometryczna nie wymaga użycia żadnych urządzeń zewnętrznych i wykorzystuje to, co już posiadasz. Klucz ten nie wymaga użycia OTP, dzięki czemu jest odporny na ataki phishingowe.

Co się stanie, gdy zgubisz klucz bezpieczeństwa sprzętowego?

Jedną z zalet zamków sprzętowych jest jednocześnie ich słabość. Jako że jest to przedmiot fizyczny, klucz można zgubić. Może to być problemem, jeśli używasz klucza sprzętowego do logowania się do ważnych rzeczy, np. do bankowości internetowej.

Kiedy tak się stanie, należy pamiętać, że większość zamków ma pewne zabezpieczenia przed nieautoryzowanym dostępem. Na przykład Yubikey 5 wymaga od użytkownika ustawienia kodu PIN i jest wyposażony w mechanizm automatycznego kasowania po wielokrotnym wprowadzeniu nieprawidłowego kodu PIN.

Ponadto sprzętowe klucze bezpieczeństwa nie przechowują poufnych informacji, takich jak nazwa użytkownika czy hasło. Klucze te przechowują również klucze prywatne na bezpiecznym chipie, co sprawia, że ​​ich wykradzenie przez osoby trzecie jest niemożliwe.