Yubico Security Key 5 FIDO U2F

Yubico Security Key 5 FIDO U2F

Des décennies de produits informatiques grand public ont appris une chose à l’humanité : les mots de passe sont mauvais. Pour que les mots de passe soient de nouveau acceptables, nous nous tournons maintenant vers les gestionnaires de mots de passe et l’authentification à deux facteurs pour mieux sécuriser nos comptes en ligne. Security Key by Yubico est une clé USB-A que vous insérez et touchez lorsque vous y êtes invité pour confirmer votre identité. Associé à un mot de passe traditionnel, c’est un outil puissant pour arrêter les escrocs et les voleurs d’identité dans leur course. La Security Key de Yubico n’a pas tous les atouts de ses cousins et concurrents, mais – à moins de la moitié du prix – c’est une solution facile à un prix avantageux. Pour son faible prix et sa facilité d’utilisation, c’est notre Choix de la rédaction pour les clés de sécurité d’authentification à deux facteurs. Pour un appareil plus riche en fonctionnalités, optez pour la série YubiKey 5, qui est plus chère et probablement plus difficile pour la personne moyenne à en avoir pour son argent.

Comment fonctionne l’authentification à deux facteurs

A ce stade, vous avez probablement rencontré ou au moins entendu parler de l’authentification à deux facteurs, ou 2FA. Dans la mise en œuvre la plus courante, lorsque vous vous connectez à un compte, vous entrez votre mot de passe, puis vous êtes invité à entrer un code à six chiffres envoyé par SMS ou généré par une application. Alors vous êtes authentifié comme d’habitude.

Il est facile de supposer qu’on l’appelle 2FA parce qu’il s’agit d’une deuxième étape de l’authentification, et même si c’est vrai en pratique, ce n’est pas vraiment la théorie. Le nom vient du concept de combiner deux types différents d’authentification à partir d’un possible trois :

  1. Quelque chose que vous savez,
  2. Quelque chose que vous avez, et
  3. Quelque chose que tu es.

Un mot de passe dans votre tête (ou, mieux encore, dans un gestionnaire de mots de passe) est quelque chose que vous connaissez. Une empreinte digitale, ou un autre facteur biométrique, c’est quelque chose que vous êtes. Une pièce de matériel ou une application qui peut vous authentifier est quelque chose que vous avez. Bien que cet examen porte sur les clés de sécurité du matériel, il existe d’autres méthodes pour ajouter un deuxième facteur.

En combinant deux choses de cette liste, vous rendez l’accès à l’un de vos comptes beaucoup plus difficile pour quelqu’un. Quelqu’un a peut-être volé votre mot de passe lors d’une atteinte massive à la protection des données ou l’a simplement acheté sur le Web obscur. Tout attaquant qui utilise ce mot de passe volé sera déjoué lorsqu’on lui demandera d’entrer son deuxième facteur d’authentification.

En fait, nous avons des données pour étayer cette affirmation. En 2017, Google a délivré des clés de sécurité USB à ses 85 000 employés. Une fois qu’ils l’ont fait, les rapports sur les prises de contrôle de comptes à la suite d’attaques d’hameçonnage sont tombés à zéro.

La sécurité dans une clé majeure

La clé de sécurité est en fait l’un des quelque six produits matériels 2FA proposés par Yubico. Certains sont réservés aux entreprises, mais la série phare YubiKey 5 comprend quatre produits différents. Le Yubikey 5 NFC utilise USB-A et peut communiquer sans fil avec votre téléphone Android via NFC. La Yubikey 5C utilise un câble USB-C, mais manque de capacités sans fil. Les Yubikey 5 Nano et 5C Nano n’ont pas non plus de NFC mais sont assez petits pour rester en semi-permanence dans votre port USB.

Les prix de la YubiKey Série 5 varient de 45 $ pour la 5 NFC à 60 $ pour la 5C Nano. Certaines des caractéristiques des clés nécessitent un logiciel client fourni gratuitement par Yubico, ou une configuration manuelle de l’appareil. Les quatre appareils de la série YubiKey 5 ont tous les mêmes capacités sous le capot. Ils étaient tous en faveur de FIDO U2F et FIDO2, les protocoles universels actuels et présumés à deux facteurs. Mais les appareils de la série YubiKey 5 peuvent également servir de cartes à puce grâce à la vérification de l’identité personnelle, générer des mots de passe uniques, prendre en charge OATH-TOTP et OATH-HOTP, et peuvent être utilisés pour l’authentification par challenge-response. Les quatre dispositifs supportent trois algorithmes cryptographiques : RSA 4096, ECC p256 et ECC p384.

Ça fait beaucoup de soupe d’alphabet. Si vous savez déjà ce que cela signifie, alors la YubiKey 5 vous excitera. Si ce n’est pas le cas, sachez qu’il s’agit d’appareils de l’armée suisse et qu’ils peuvent faire à peu près tout ce que vous leur demandez, à condition que vous sachiez quoi demander et ce que vous êtes en train de faire.

La Security Key de Yubico est un appareil radicalement différent. Pour commencer, sa coque en plastique durable est d’un bleu vif, là où tous les autres appareils YubiKey sont noirs, et un petit logo de clé s’illumine d’un bleu-blanc lorsqu’il est inséré dans une fente USB-A. Un chiffre 2 est gravé dans le plastique, au-dessus du disque d’or tactile, ce qui le différencie d’un modèle précédent. Outre les apparences, la clé de sécurité est également beaucoup moins chère, ne coûtant que 20 $.

La différence la plus importante est ce que la clé de sécurité ne fait pas. Il ne supporte que les protocoles FIDO U2F et FIDO2. Il ne peut pas générer de mots de passe uniques et ne fonctionne avec aucun logiciel client de Yubico. Pour la plupart des gens, ce sera parfait. La plupart des principaux sites Web qui prennent en charge les clés de sécurité prennent en charge U2F. Cette liste comprend Google, Facebook et Twitter. La clé de sécurité en fait moins, mais elle en fait juste assez pour le consommateur moyen, et à un prix abordable pour lui.

Si vous regardez la liste des fonctionnalités de YubiKey laissées en dehors de la clé de sécurité et que vous vous trouvez en train de baver ou de chercher votre carte de crédit, ignorez la clé de sécurité et débloquez l’argent supplémentaire. Si vous êtes responsable d’un département informatique, à la recherche d’une solution unique pour vos besoins en 2FA, ignorez la clé de sécurité.

En pratique avec la clé de sécurité de Yubico

Le plastique bleu texturé de la clé de sécurité est bon et adhérent sur les doigts, et l’ensemble est solide malgré un poids de seulement 3 grammes. Son matériau cache les empreintes digitales et l’usure qu’il obtiendra en s’accrochant à un porte-clés, comme prévu. La conception plate de la clé de sécurité permet de l’accrocher facilement avec d’autres clés sur un anneau, contrairement à la YubiKey 5C, plus volumineuse.

Comme ses cousins YubiKey, la clé de sécurité est à l’épreuve de l’écrasement et imperméable, sans pièces mobiles. Il ne sera jamais à court d’énergie, car il n’a pas de piles. Il ne nécessite ni LTE ni Wi-Fi. Ces deux derniers points sont de gros avantages par rapport aux applications d’authentification.

L’utilisation de la clé de sécurité est un jeu d’enfant. Rendez-vous simplement sur un site qui prend en charge les clés de sécurité pour 2FA, et recherchez l’option d’enregistrer une nouvelle clé. Vous serez alors invité à insérer votre clé dans un port USB, puis à toucher le disque d’or. C’est ça, c’est ça ! La clé est maintenant enregistrée. Lors de votre prochaine connexion, le site vous demandera votre mot de passe, puis vous demandera d’insérer votre clé de sécurité et de la taper. Une fois que tu l’auras fait, tu y seras !

J’ai testé la Security Key de Yubico avec des comptes Google, Twitter et Facebook, où elle a fonctionné sans faille. Notez que certains services peuvent vous demander de créer des codes de sauvegarde (vous devriez, même si ce n’est pas nécessaire) ou d’inscrire un numéro de téléphone pour l’authentification de sauvegarde par SMS. J’aime avoir des options et j’ai généralement plusieurs façons différentes de confirmer un compte.

Notez que bien que la plupart des navigateurs modernes supportent U2F, Firefox l’a désactivé par défaut. Yubico a un article pratique sur la façon d’activer le support U2F pour l’excellent navigateur Mozilla.

Alors que l’U2F devient de plus en plus courant, il n’est pas utilisé partout. LastPass, par exemple, utilise la fonction Yubico One-Time Password pour sécuriser les comptes, supportée par la ligne YubiKey 5 mais pas par la clé de sécurité. Yubico a une liste assez solide de sites et de services qui acceptent différents types de YubiKeys, alors regardez là quand vous essayez de déterminer quel modèle vous convient le mieux.

Un petit mot sur FIDO2 : c’est nouveau, et ça pourrait être important. Yubico en dit long sur la façon dont ce protocole remplacera un jour les mots de passe. C’est une excellente idée, mais j’en ai déjà entendu parler. Je suis heureux que tous les produits Yubico soutiennent FIDO2, en tant que mesure de pérennité, mais le jury n’est toujours pas convaincu de son utilité. Microsoft permet maintenant aux utilisateurs de se connecter à leur compte sans mot de passe à l’aide d’une clé FIDO2 et du navigateur Edge, ce qui sera un test majeur de cette nouvelle technologie.

Clé de sécurité par Yubico contre la Clé de sécurité Google Titan
Comparé au reste de la famille Yubico, la clé de sécurité est la solution simple et abordable pour la personne moyenne. La comparer à la clé de sécurité Google Titan (photo ci-dessous) est un peu plus compliquée.

Sous le capot, la clé de sécurité et la clé Titan sont très similaires. Ils supportent tous les deux FIDO U2F, mais la touche Titan ne supporte pas FIDO2. Ni l’un ni l’autre ne prend en charge d’autres protocoles ou schémas de connexion.

L’ensemble Titan Key comprend deux dispositifs : une clé USB-A compatible NFC et une clé Bluetooth rechargeable qui peut être attachée par le biais d’un micro USB. Ça vous coûtera 50 $, contre 20 $ pour la clé de sécurité. La clé de sécurité, cependant, ne prend pas en charge le bluetooth ou le NFC. C’est aussi un seul appareil, comparé aux deux clés Titan. Avoir deux clés est une bonne tranquillité d’esprit, puisque vous en avez une de rechange, et c’est aussi nécessaire pour le programme de protection avancée de Google. Mais l’achat d’une deuxième clé de sécurité coûte quand même moins cher que l’offre groupée Titan, avec une remise de 36 $ de Yubico.

Le meilleur, pour moins cher

La Security Key de Yubico est le meilleur de la gamme YubiKey, à un prix abordable pour beaucoup. Ce qui est perdu en capacité, c’est l’accessibilité, car la plupart des gens n’utiliseront pas toutes les cloches et tous les sifflets inclus dans la gamme YubiKey 5. La clé de sécurité bat également la clé Titan, un excellent produit qui est juste un peu trop cher.

Si vous êtes un être humain possédant un compte Google ou Facebook et que vous êtes de plus en plus préoccupé par les atteintes à la protection des données, la Security Key de Yubico est la meilleure protection au meilleur prix. Il s’agit d’un choix de la rédaction en raison de son prix abordable, même si nous recommandons vivement la série YubiKey 5 et la clé Google Titan en tant qu’options polyvalentes et performantes.

Related Post

Laisser un commentaire