Yubico Security Key 5 NFC FIDO U2F

Yubico Security Key 5 NFC FIDO U2F

Les mots de passe ont été le point faible de la sécurité depuis leur introduction. Heureusement, le Yubico YubiKey 5 NFC est là pour protéger nos comptes les plus importants et bien plus encore. La cinquième génération de la YubiKey prend en charge FIDO U2F pour une authentification sécurisée du second facteur et utilise le NFC pour fonctionner avec votre téléphone. Mais ce n’est que le début de ce que cet appareil remarquablement puissant, et remarquablement minuscule, peut faire. Si vous êtes simplement à la recherche d’une simple option matérielle U2F, le YubiKey 5 NFC est probablement trop cher – considérez plutôt la clé de sécurité plus abordable de Yubico ou les clés de sécurité Google Titan. Mais si vous êtes déjà plongé dans la sécurité, vous allez adorer ce que le 5 NFC a à vous offrir.

Comment fonctionne l’authentification à deux facteurs

Bien qu’il y ait beaucoup à faire avec une clé de sécurité matérielle telle que la YubiKey, son rôle principal est de servir de second facteur d’authentification. En pratique, l’authentification à deux facteurs (2FA) signifie que vous devez faire une deuxième chose après avoir entré votre mot de passe pour prouver que c’est vous. Mais la théorie derrière 2FA est de combiner deux systèmes d’authentification différents à partir d’une liste de trois :

  1. Quelque chose que vous savez,
  2. Quelque chose que vous avez, ou
  3. Quelque chose que tu es.

Par exemple : un mot de passe, est quelque chose que vous connaissez, et il ne devrait exister que dans votre tête (ou dans un gestionnaire de mots de passe). La biométrie, les empreintes digitales, la rétine, les signatures cardiaques, et ainsi de suite, comptent pour ce que vous êtes. Yubico YubiKeys et leurs semblables sont quelque chose que vous avez.

L’utilisation de deux facteurs de cette liste de trois donne une plus grande assurance que vous êtes qui vous prétendez être et que vous avez l’autorisation d’accéder à l’objet auquel vous essayez d’accéder. C’est aussi plus dur à briser pour les méchants. Un attaquant peut acheter votre mot de passe sur le Web sombre, mais il est probable qu’il ne pourra pas obtenir votre clé de sécurité non plus. L’authentification fournie par 2FA est également éphémère : elle ne fonctionne qu’une seule fois, et généralement pour une durée limitée, pour plus de sécurité.

Cet examen porte principalement sur le matériel 2FA, mais il existe de nombreuses façons d’ajouter un deuxième facteur. De nombreux sites vous enverront des codes par SMS pour vérifier votre identité. Des applications comme DuoFree sur iTunes Store et Authy reposent sur des notifications push qui sont (en théorie) plus difficiles à intercepter que les messages SMS.

Que vous optiez pour une solution matérielle ou logicielle ou un mélange des deux, ajoutez 2FA partout où vous le pouvez. Lorsque Google a déployé 2FA clés en interne, il a vu les reprises de compte réussies tomber à zéro. C’est si bon que ça.

Yubico - YubiKey 5 NFC - USB-A - Two Factor Authentication Security Key
Yubico YubiKey 5 Nano Two Factor Authentication Security Key - Black - USB-A
Yubico - Security Key NFC - USB-A - Two Factor Authentication Security Key
Produit
Yubico - YubiKey 5 NFC - USB-A - Two Factor Authentication Security Key
Yubico YubiKey 5 Nano Two Factor Authentication Security Key - Black - USB-A
Yubico - Security Key NFC - USB-A - Two Factor Authentication Security Key
Avis
Water proof
RSA 4096
NFC
Ios/Android
Prix
48,19 EUR
60,00 EUR
31,66 EUR
Yubico - YubiKey 5 NFC - USB-A - Two Factor Authentication Security Key
Produit
Yubico - YubiKey 5 NFC - USB-A - Two Factor Authentication Security Key
Avis
Water proof
RSA 4096
NFC
Ios/Android
Prix
48,19 EUR
En savoir plus
Yubico YubiKey 5 Nano Two Factor Authentication Security Key - Black - USB-A
Produit
Yubico YubiKey 5 Nano Two Factor Authentication Security Key - Black - USB-A
Avis
Water proof
RSA 4096
NFC
Ios/Android
Prix
60,00 EUR
En savoir plus
Yubico - Security Key NFC - USB-A - Two Factor Authentication Security Key
Produit
Yubico - Security Key NFC - USB-A - Two Factor Authentication Security Key
Avis
Water proof
RSA 4096
NFC
Ios/Android
Prix
31,66 EUR
En savoir plus

Les nombreuses saveurs de YubiKey

Yubico a toujours proposé plusieurs tailles et variantes de ses clés de sécurité pour répondre à presque tous les besoins. C’est formidable, car les consommateurs et les professionnels de l’informatique peuvent obtenir exactement ce dont ils ont besoin à des prix variés. L’inconvénient, c’est que la visite du magasin Yubico est une expérience souvent écrasante. Je ferai de mon mieux pour résumer les bases.

Il y a quatre types d’appareils de la série YubiKey 5, y compris la YubiKey 5 NFC à 45 $, ainsi que trois autres facteurs de forme : la YubiKey 5 Nano à 50 $, la YubiKey 5C à 50 $ et la YubiKey 5C Nano à 60 $. Le 5 NFC est le seul YubiKey à offrir une communication sans fil, mais à part cela, la seule différence entre ces appareils est la taille, le prix et le connecteur USB.

Les deux appareils Nano sont les plus petits du groupe et se nichent dans vos emplacements USB-A ou USB-C, facilement accessibles si vous en avez souvent besoin. Le YubiKey 5C utilise un connecteur USB-C, est légèrement plus petit que le 5 NFC, et peut être accroché à votre porte-clés à côté du 5 NFC ; il manque de communication sans fil. Vous pouvez cependant connecter le YubiKey 5C ou le 5C Nano directement à votre appareil Android.

Ce qui distingue la YubiKey Série 5 de la concurrence, ce n’est pas seulement la variété des facteurs de forme. Ces appareils sont de véritables couteaux suisses de sécurité numérique. Chacune peut fonctionner comme une carte à puce (PIV), générer des mots de passe uniques, prendre en charge OATH-TOTP et OATH-HOTP, et peut être utilisée pour l’authentification par challenge-response. Les quatre dispositifs supportent trois algorithmes cryptographiques : RSA 4096, ECC p256 et ECC p384. Ces appareils peuvent remplir tant de rôles différents, souvent en même temps, à condition que vous sachiez ce que vous faites.

Bien que le YubiKey 5 NFC soit au centre de cette étude, j’ai testé les appareils de la série YubiKey 4 dans le passé, et ceux-ci sont physiquement identiques aux versions USB-C et Nano de la série YubiKey 5. Tous sont bien faits, revêtus de plastique noir qui masque l’usure, et équipés de LEDs vertes cachées pour vous indiquer qu’ils sont connectés et qu’ils fonctionnent. Les périphériques USB-A sont dotés d’une bande ou d’un disque d’or que vous appuyez sur, en fonction de la taille du périphérique. Les périphériques USB-C, quant à eux, possèdent deux minuscules onglets métalliques que vous tapez pour vous authentifier. Le dispositif USB-A Nano est plus difficile à retirer d’une fente que le dispositif USB-C Nano, mais la clé USB-A Nano YubiKey a un petit trou, il peut donc être accroché à une corde ou un cordon, alors que l’USB-C Nano ne le fait pas.

Yubico - YubiKey 5 NFC - USB-A - Two Factor Authentication Security Key
  • Protect online accounts against unauthorized access by using two factor authentication with this security key.
  • Works with Gmail, Facebook, Dropbox, Twitter, Dashlane, LastPass and hundreds of other services
  • Extremely secure and durable - YubiKeys are tamper proof, water resistant, and crush resistant
  • Fits USB-A computer ports and designed to stay in port | Touch based authentication for NFC supported Android and iOS devices and applications
  • Multi-protocol support: FIDO2, FIDO U2F, Yubico OTP, OATH-TOTP, OATH-HOTP, Smart card (PIV), OpenPGP, Challenge-Response; Made in USA

YubiKey Série 5 NFC

Le choix de l’appareil YubiKey que vous achetez dépendra largement du contexte dans lequel vous comptez l’utiliser. Les appareils Nano sont utiles si vous prévoyez de les utiliser avec un ordinateur de confiance, et vous savez que vous aurez souvent besoin d’accéder à la YubiKey. Les clés pleine grandeur sont préférables pour s’accrocher à un porte-clés et rester à portée de main.

Mains sur la main avec la YubiKey 5 NFC

Pour vous aider à démarrer, Yubico a créé un guide pratique pour les nouveaux utilisateurs. Il vous suffit de choisir l’appareil YubiKey que vous possédez, et le site affiche une liste de tous les endroits et contextes où vous pouvez utiliser votre YubiKey. Certains de ces liens mènent directement à la page d’accueil d’un site ou d’un service, tandis que d’autres fournissent des instructions que vous devez suivre vous-même.

La configuration du YubiKey comme deuxième facteur U2F est très simple. Suivez les instructions du site ou du service, puis insérez la clé YubiKey dans l’emplacement approprié lorsque vous y êtes invité. Il suffit de toucher le disque d’or (ou les onglets métalliques, selon le modèle), et le service enregistre votre clé. La prochaine fois que vous vous connecterez, vous entrerez votre mot de passe et vous serez invité à insérer votre clé et à toucher. C’est ça, c’est ça !

Dashlane, Google et Twitter sont quelques-uns des nombreux sites qui prennent en charge U2F et acceptent les appareils YubiKey 5 Series. Lors de mes tests, je l’ai inscrit comme deuxième facteur pour un compte Google. Lorsque je me connecte sur un ordinateur de bureau, j’entre mes identifiants de connexion, puis Google me demande d’insérer et de toucher ma clé de sécurité. Ce n’est pas un problème, bien que j’aie dû utiliser le navigateur Chrome pour me connecter.

Sur mon appareil Android, le processus est tout aussi simple. Lorsque je me connecte au test, j’entre mes identifiants, puis mon téléphone me demande d’utiliser ma clé de sécurité. J’ai sélectionné NFC à partir d’un menu en bas, puis j’ai tapé le 5 NFC contre le dos de mon téléphone. Il a fallu pas mal d’essais, mais le téléphone a fini par sonner affirmativement et j’ai été connecté.

La série YubiKey 5 peut vous authentifier de plusieurs façons, pas seulement via U2F. Avec LastPass, par exemple, vous inscrivez la YubiKey pour générer des mots de passe uniques (en particulier des mots de passe uniques basés sur HMAC, mais j’utiliserai OTP pour être bref) avec un tap. C’est différent de U2F mais dans la pratique, il semble très similaire. Connectez-vous à LastPass, accédez à la partie appropriée du menu Paramètres, cliquez sur le champ de texte et appuyez sur la YubiKey. Une série de lettres crache, et c’est tout ! Maintenant, lorsque vous voulez vous connecter à LastPass, vous serez invité à brancher votre YubiKey pour qu’il crache plus d’OTPs.

La plupart d’entre vous sont probablement familiers avec Google Authenticator, une application qui génère des mots de passe à six chiffres toutes les 30 secondes. Cette technologie, plus généralement, s’appelle les mots de passe à usage unique basés sur le temps (TOTP) et c’est l’une des formes les plus courantes de 2FA utilisées de nos jours. Avec une application compagnon de bureau ou mobile, Yubico donne un tour intéressant au système TOTP.

Branchez votre YubiKey, lancez l’application YubiKey Authenticator, puis naviguez vers un site qui supporte Google Authenticator ou un service similaire. Pour sécuriser un compte Google, par exemple, j’ai cliqué sur l’option permettant d’enregistrer un nouveau téléphone avec l’application d’authentification. Un code QR apparaît généralement à ce stade et le site vous invite à le scanner avec l’application d’authentification appropriée. Au lieu de cela, j’ai sélectionné une option de menu dans l’application de bureau Yubico Authenticator et elle capture le code QR sur mon écran. Après quelques clics supplémentaires, l’application a commencé à fournir des codes uniques à six chiffres toutes les 30 secondes.

L’astuce est que l’application Yubico ne peut pas générer de TOTP sans la YubiKey. Au lieu de stocker les informations d’identification nécessaires pour créer ces codes sur votre ordinateur, l’authentificateur Yubico enregistre ces données directement sur votre YubiKey. Retirez-le et l’application Authenticator ne peut pas créer de nouveaux TOTP. C’est pratique si vous craignez que quelqu’un ne vole l’appareil que vous utilisez pour générer vos TOTPs. Vous pouvez également verrouiller votre YubiKey avec un mot de passe, de sorte que même s’il vous était volé, il ne pourrait pas être utilisé pour générer des TOTPs.

Yubico propose également une application Android génératrice de TOTP qui fonctionne avec le YubiKey 5 NFC, pour emmener vos TOTP sur la route. Quand vous ouvrez l’application, elle est vide, mais tapez votre 5 NFC contre le dos et elle commence à générer des codes. Quittez l’application, et les codes disparaissent ; vous devrez taper à nouveau sur le 5 NFC. C’est moins pratique que de stocker les informations dans l’application elle-même, mais bien plus sûr.

Ce sont les scénarios que j’ai étudiés, mais la série YubiKey 5 peut faire beaucoup plus. Vous pouvez l’utiliser comme une carte à puce pour vous connecter à mon ordinateur de bureau. Vous pouvez l’utiliser pour vous connecter aux serveurs SSH. Vous pouvez même générer une clé PGP, puis utiliser la clé YubiKey pour signer ou authentifier. Franchement, cependant, il m’a déjà été assez difficile de me faire enrouler la tête autour des touches TOTP.

Bien que Yubico dispose de beaucoup de documentation et de trois applications de bureau distinctes (et trois autres applications mobiles), il est très difficile d’utiliser chaque facette de la YubiKey sans une bonne dose de connaissances existantes. Yubico a mis en place un site Web pour informer les clients sur l’usage qu’ils peuvent faire de leur clé et pour les guider vers les informations nécessaires. Ces conseils sont formidables, mais il ne s’agit que de conseils, et non pas de la prise en main habituellement fournie par les produits technologiques. L’utilisation de votre YubiKey pour U2F est également très simple, mais tirer le meilleur parti de votre YubiKey n’est pas facile pour un novice, ni même pour un journaliste de sécurité.

YubiKeys vs. la clé de sécurité Google Titan

Yubico a une solution pour à peu près toutes les situations avec la série 5 de YubiKey, mais le coût est un problème. Chaque appareil individuel coûte entre 40 $ et 60 $ pour une seule YubiKey.

Google Titan Security Key Bundle, d’autre part, fournit deux appareils pour 50 $ : Une clé USB-A et un porte-clés Bluetooth/Micro USB. Ça vous en donne un de rechange dès le départ. D’un autre côté, YubiKey a juste plus de sécurité pour votre argent (en supposant que vous sachiez comment l’utiliser). Les deux appareils Titan peuvent utiliser le NFC mais, à ce jour, la prise en charge n’a pas été activée sur les appareils Android. Google fournit également un adaptateur USB-C qui vous permet d’utiliser votre clé Titan avec pratiquement n’importe quel appareil. Les touches Titan, cependant, ne supportent que FIDO U2F. Cela fonctionnera pour à peu près tous les sites Web ou services, mais ils ne peuvent pas être utilisés pour les TOTP, les APT, l’accès par carte à puce et les autres protocoles pris en charge par YubiKey 5 Series.

Les lecteurs soucieux du prix qui recherchent principalement un appareil U2F préféreront probablement la clé de sécurité à 20 $ de Yubico. Cette clé USB-A a la même silhouette que la YubiKey 5 NFC, mais peut être identifiée par son joli boîtier en plastique bleu, un glyphe de clé sur le bouton central, et le chiffre deux gravé sur son dessus. Comme son nom l’indique, cet appareil supporte FIDO U2F et FIDO2, mais c’est tout. La clé de sécurité ne prend pas en charge tous les protocoles de la série YubiKey 5, vous ne pouvez donc pas l’utiliser avec LastPass ou comme carte à puce, ni communiquer sans fil. Il coûte également moins de la moitié de l’ensemble de clés Titan ou des 5 NFC.

La clé du succès YubiKey ?

La série YubiKey 5 est une remarquable famille d’appareils qui remplissent un nombre impressionnant de niches. Son utilisation la plus basique est celle d’un authentificateur FIDO U2F ou d’un générateur OTP, mais il peut faire beaucoup plus. Le problème que nous avons toujours eu avec YubiKeys, et Yubico en général, c’est simplement le défi de trouver quel YubiKey choisir, parmi la demi-douzaine que la compagnie offre actuellement. Trouver ce que vous pouvez en faire au-delà de l’U2F est un double défi. Les appareils Yubico sont excellents et leur documentation s’améliore, mais ils sont définitivement conçus pour les professionnels de la sécurité et de l’informatique.

Si vous jetez un coup d’œil à la liste des fonctionnalités de la YubiKey et que vous les comprenez, ou du moins que vous êtes curieux de les connaître, alors cet appareil est fait pour vous. Vous ne serez pas déçu par ce petit appareil robuste. Si vous savez que vous voulez mieux sécuriser vos comptes en ligne, mais que vous ne savez pas comment vous y prendre, vous êtes probablement mieux lotis avec les clés de sécurité Google Titan ou la clé de sécurité beaucoup plus abordable de Yubico.

Les YubiKeys sont une technologie établie et mature, mais nous explorons toujours cet espace. C’est pourquoi nous décernons quatre étoiles à la YubiKey 5 NFC, mais nous retenons le prix du Choix de la rédaction jusqu’à ce que nous ayons examiné d’autres options.

Laisser un commentaire