Yubico Security Key 5 NFC FIDO U2F

Yubico Security Key 5 NFC FIDO U2F

Malheureusement pour tout le monde, nous sommes coincés avec des mots de passe pour l’avenir prévisible, malgré le fait qu’ils soient mauvais et que les humains soient très mauvais avec eux. Le Security Key NFC de Yubico vise à aller au-delà de la sécurité par mot de passe en ajoutant l’authentification matérielle sous la forme d’un périphérique USB mince, et à une fraction du prix. Il peut même parler à votre téléphone – une caractéristique rare pour un appareil aussi abordable. Malheureusement, un support limité sur l’iPhone et d’autres services réduit l’utilité de ce produit. Cela pourrait changer à l’avenir, et pour l’instant, il fait à peu près tout ce qu’il est censé faire.

Comment fonctionne l’authentification à deux facteurs

La clé de sécurité NFC est un dispositif d’authentification à deux facteurs (2FA). Dans la pratique, il s’agit d’une deuxième étape que vous effectuez pour vous authentifier après avoir entré un mot de passe. Mais techniquement, les deux en 2FA proviennent de l’utilisation de deux méthodes d’authentification à partir d’une liste de trois méthodes possibles :

  1. Quelque chose que vous savez,
  2. Quelque chose que vous avez, et
  3. Quelque chose que tu es.

Un mot de passe, qui devrait être sécurisé dans un gestionnaire de mots de passe et non dans votre tête faillible, est quelque chose que vous connaissez. Une clé de sécurité ou une application d’authentification est quelque chose que vous avez. L’utilisation de la biométrie, comme les empreintes digitales, est quelque chose que vous êtes. Lorsque vous combinez deux de ces authentificateurs, il devient beaucoup plus difficile pour un attaquant d’accéder à votre compte, car il est peu probable qu’un attaquant ait les deux.

En pratique avec la clé de sécurité NFC de Yubico

La clé de sécurité NFC est une clé USB mince, revêtue de plastique texturé bleu. En forme et en couleur, elle est identique à la clé de sécurité Yubico, à l’exception de quelques changements cosmétiques. La clé de sécurité NFC n’a pas le chiffre 2 gravé, vu sur la clé de sécurité originale Yubico, et elle ajoute des glyphes en demi-cercle autour de l’image d’une clé au centre du disque tactile en or. Ceci fait allusion à la communication NFC à l’intérieur.

À 27 $, la clé de sécurité NFC est également légèrement plus chère que la clé de sécurité originale. Il reste cependant très abordable par rapport au reste de la gamme Yubikey.

La clé de sécurité NFC est une svelte de 18 mm par 45 mm par 3,3 mm, et ne pèse que 3,6 grammes. Il est petit et assez fin pour être accroché discrètement avec mes clés sur un anneau. Il utilise un connecteur USB-A plat et exposé à une extrémité et un trou renforcé de métal à l’autre pour un porte-clés.

Je n’ai eu aucun problème pour inscrire Security Key NFC avec les comptes Google et Twitter. Le processus est simple : trouvez la partie des paramètres de compte pour les clés de sécurité, branchez la clé, puis appuyez sur le cercle doré éclairé lorsque vous y êtes invité. C’est ça, c’est ça ! Une fois inscrit, il m’a été tout aussi facile d’utiliser la clé de sécurité NFC pour m’authentifier sur ces comptes. J’ai entré mon mot de passe, puis j’ai inséré et appuyé sur ma clé de sécurité NFC lorsque le site m’a donné des instructions.

La capacité NFC de la clé de sécurité NFC est son principal argument de vente, alors j’ai testé l’appareil avec un téléphone Pixel XL fonctionnant sous Android 9 et un iPhone XR utilisant la dernière version de iOS 12. Malheureusement, mes résultats avec ces appareils mobiles étaient mitigés.

J’ai eu ma meilleure expérience en me connectant à mon compte Google via le menu des paramètres Android. Après avoir entré mon nom d’utilisateur et mon mot de passe, on m’a demandé de tenir ma clé contre le dos de mon téléphone et d’attendre qu’elle vibre. J’ai eu du mal à trouver l’endroit idéal, mais le téléphone a fini par sonner et j’ai été authentifié. Simple !

Malheureusement, d’autres sites et périphériques ne prennent pas encore en charge l’authentification NFC. Essayer de se connecter à l’application Twitter a généré une erreur disant que le navigateur n’était pas compatible avec ma clé. J’ai eu le même problème en essayant de me connecter à Google et Twitter via le navigateur Android Chrome. Sur l’iPhone, j’ai vu le même message d’erreur dans tous les contextes où j’ai essayé d’utiliser la clé de sécurité NFC – là où sur l’iPhone j’ai pu l’utiliser pour me connecter.

Cela semble mauvais, mais ce n’est pas vraiment une faute de la clé de sécurité NFC. Ça marche exactement comme prévu. Le problème est que les fabricants de matériel comme Apple et une quantité surprenante de logiciels ne supportent pas l’authentification FIDO2 via NFC. Yubico m’a confirmé que mon expérience sur iPhone avec la clé de sécurité NFC était à prévoir. Mon contact chez Yubico m’a expliqué que la fonctionnalité NFC de l’iPhone ne supporte pas encore FIDO2/U2F, ce qui explique en partie pourquoi la société développe une clé de sécurité Lightning port.

Certes, cela n’explique pas pourquoi Twitter ou Chrome ont refusé de jouer gentiment avec la clé de sécurité NFC. C’est frustrant, car les deux m’ont permis de me connecter lorsque j’ai connecté la clé de sécurité NFC via USB.

Au cours de ces tests, j’ai beaucoup compté sur les informations d’identification stockées dans LastPass, que je sécurise avec une clé YubiKey série 5. Notamment, j’ai pu me connecter à l’application LastPass en utilisant les capacités NFC de la série 5. Cependant, LastPass utilise des mots de passe à usage unique (OTP) générés par la YubiKey, et non la norme FIDO2/U2F utilisée avec le Security Key NFC.

Comment cette clé se compare-t-elle ?

Le Security Key NFC est la deuxième tentative de Yubico pour créer un dispositif à faible coût qui fonctionne avec le standard FIDO2/U2F. La première, la clé de sécurité, bien nommée, coûte un peu moins cher à 20 $. Le Nitrokey FIDO U2F est un concurrent open-source qui n’est pas aussi élégant, ne supporte pas FIDO2, et coûte 25$. Le pedigree open-source est le vrai défi du Nitrokey.

Le reste de la famille YubiKey est plus compétent et plus cher. La série YubiKey 5 se décline en quatre versions : La YubiKey 5 NFC pour 45 $, la YubiKey 5 Nano pour 50 $, la YubiKey 5C également pour 50 $ et la YubiKey 5C Nano pour 60 $. La principale différence entre ces appareils est la taille, le connecteur et la connectivité sans fil. Au-delà, ils sont pour la plupart identiques. Tous les quatre supportent FIDO2/U2F, comme les deux clés de sécurité bleues, mais la série 5 supporte également OTP, OATH (HOTP et TOTP), Smart Card, et OpenPGP. Un prochain appareil Yubikey sera équipé d’un connecteur Apple Lighting d’un côté et d’un connecteur USB-C de l’autre, ce qui le rendra entièrement compatible avec la plupart des appareils mobiles sans nécessiter de support pour l’authentification NFC.

Google a sa propre offre avec le pack Titan Security Key. Cet ensemble de 50 $ comprend deux clés de sécurité, une clé USB-A plate semblable à la clé de sécurité NFC et un porte-clés alimenté par pile qui utilise le Bluetooth et le micro USB. Bien que capables, les clés Titan ne supportent que FIDO U2F, et sont comparativement assez coûteuses, malgré le doublement du nombre de clés. Yubikey m’a dit que l’entreprise a intentionnellement évité Bluetooth. L’entreprise estimait que les exigences en matière de batterie la rendaient moins durable et que la communication sans fil la rendait moins sûre.

Beaucoup de potentiel

J’étais vraiment excité quand la clé de sécurité NFC a été annoncée. J’ai adoré la simplicité de la clé de sécurité originale et j’ai trouvé que l’inclusion de la NFC valait la peine d’ajouter sept dollars à l’étiquette de prix. Malheureusement, la clé de sécurité NFC est paralysée par le support du matériel et des logiciels qui sont censés fonctionner avec elle. Sur iPhone, il est complètement inutilisable jusqu’à ce qu’Apple étende le support de FIDO2/U2F, et je ne l’ai trouvé que partiellement utilisable sur Android. C’est particulièrement frustrant car il n’y a rien de mal avec le Security Key NFC. Il fonctionne très bien ! Mais ce qui est censé fonctionner n’accepte pas la communication sans fil. En tant que clé de sécurité USB, elle fonctionne parfaitement.

C’est décevant, mais j’espère que ce ne sera pas la fin de l’histoire. Si le support s’améliore sur mobile pour la Clé de Sécurité NFC, il pourrait facilement devenir un élément incontournable. Pour l’instant, nous continuons de recommander la clé de sécurité originale, qui offre la sécurité inégalée d’un authentificateur physique avec prise en charge d’un protocole d’authentification populaire, à un prix d’achat impulsif. C’est un choix des éditeurs de PCMag.

Si vous voulez aller plus loin, le YubiKey 5 NFC est un véritable couteau suisse d’authentification, mais probablement un peu trop pour le consommateur moyen. Et si vous êtes un partisan majeur de la technologie open-source, le Nitrokey FIDO U2F est votre meilleur choix.

Laisser un commentaire