A minúscula YubiKey de Yubico tem o futuro da segurança todo trancado

A tecnologia de criptografia da pequena empresa está sendo adotada por gigantes da tecnologia, oferecendo aos consumidores uma maneira sólida e acessível de proteger suas contas.

A minúscula YubiKey de Yubico tem o futuro da segurança todo trancado

Diga YubiKey em voz alta e você poderá ter uma ideia da intenção da Yubico, a empresa por trás desta chave de autenticação baseada em hardware USB que invadiu a Internet por ser muito inteligente e trabalhar com padrões abertos. Até recentemente, eu só li silenciosamente o nome do produto e não entendi o trocadilho até que falei - onipresença .

significado espiritual de 6

A YubiKey vem em vários modelos, todos em conformidade com uma abordagem relativamente nova de validação de identidade online que depende de chaves de criptografia exclusivas vinculadas a um site ou aplicativo específico. Yubico pressionou por padronização, alistando grandes parceiros e várias alianças ao longo do caminho. Mais recentemente, o World Wide Web Consortium (W3C) adotou um padrão que Yubico ajudou a desenvolver que incorpora diretamente essa abordagem de criptografia aos navegadores da web, tornando muito mais simples para os sites implementá-la.

Conforme a tecnologia de Yubico se espalha pela rede, mortais comuns, cansados ​​de roubo de credenciais, phishing e outras fraudes, podem finalmente se agarrar a uma YubiKey para simplicidade e segurança. Os geeks de segurança já estão bem cientes disso. Alguns que conheço recomendaram um para seus parentes menos experientes, mesmo quando eles têm que providenciar preparativos e cuidados.



O Google implementou há muito tempo uma versão inicial do que é chamado de Autenticação da Web (ou WebAuthn para abreviar), e a Microsoft suporte ativado em novembro de 2018 . O Firefox incorporou o WebAuthn em maio de 2018. A Apple costuma ser um obstáculo em certos tipos de padrões e interoperabilidade em favor dos seus próprios, que considera soluções mais seguras e mais focadas na privacidade. E ainda assim a empresa colocou o suporte WebAuthn na versão de amostra da tecnologia disponível publicamente do Safari para Mac em dezembro de 2018, e provavelmente permanecerá no local para a atualização do macOS no terceiro trimestre de 2019. (A Apple se recusou a fornecer mais informações sobre seu planeja incorporar a tecnologia ao iOS ou macOS.)

Yubico combinou esse sucesso de padrões com o lançamento de um token USB compatível com iPhone e iPad que tem o adaptador Lightning da Apple em uma extremidade e um plugue USB-C na outra. Lançado como uma prévia da tecnologia, funciona com o navegador Brave para iOS e com a visualização do Safari e outros navegadores no macOS. Centenas de serviços atualmente trabalha com WebAuthn e padrões anteriores nos quais foi construído; dezenas de milhares devem seguir.

O mais recente YubiKey tem um conector Lightning em uma extremidade (para iPhones) e USB-C (iPad Pros, Macs e uma profusão de outros dispositivos) na outra. [Foto: cortesia de Yubico]

As chaves de segurança da Yubico não são baratas, a partir de US $ 45 para seu modelo de chave principal. Eles competem com hardware de outras empresas que são vendidos por apenas $ 20. Mas um recente Beira arredondar para cima examinou oito dispositivos de autenticação de hardware e deu aprovação a quatro YubiKeys - incluindo classificá-los nas posições 1, 2 e 3 empatadas. Um dispositivo feito pelo Google ficou em quarto lugar. A empresa não enfrenta tanta concorrência de outros fabricantes de chaves de autenticação, talvez porque seja difícil construir algo com valor agregado suficiente para comandar uma margem de lucro confortável.

Mesmo a Yubico não está no mercado exclusivamente para vender hardware de segurança. Nunca começamos a empresa para construir o YubiKey, diz Jerrod Chong, diretor de soluções da Yubico. Em vez disso, diz ele, o objetivo era fornecer uma maneira ampla de manter todos seguros na Internet. É uma meta elevada e idealista - e está tendo sucesso.

Está tudo no tempo

Com uma YubiKey conectada em seu computador, tablet ou telefone, provar sua identidade para um aplicativo ou site é uma questão de primeiro registrar seu dispositivo usando informações criptografadas exclusivas enterradas na chave e, em seguida, em logins futuros, tocando em um botão. (Alguns sites podem exigir um login regular mais o toque no botão a cada vez; outros podem optar pelo token para reautenticar.) Todo o truque criptográfico acontece de forma invisível, protegendo você de sites falsos e sua conta de ladrões de senha e até mesmo de ataques sofisticados como como sequestro de autenticação de dois fatores (2FA).

Enquanto cumpria essa missão, a YubiKey cresceu de 30 para 200 funcionários nos últimos anos e levantou $ 30 milhões de investidores. Estimativas de crunchbase que a empresa privada até agora fatura modestos US $ 10 milhões em vendas em um espaço que pode valer bilhões.

como tornar uma conversa interessante

No centro dos padrões que Yubico ajudou a desenvolver e distribuir está uma ideia simples: os usuários devem controlar e possuir as chaves de criptografia que os permitem validar sua identidade com aplicativos, sites e serviços. Nenhum intermediário tem acesso às chaves nem ao conteúdo das comunicações que as utilizam, e nenhuma infraestrutura central é necessária.

Os gigantes da tecnologia, é claro, podem ficar felizes em servir como intermediários entre os consumidores e os aplicativos e serviços que eles usam. Mas a abordagem descentralizada de Yubico não assustou as grandes empresas. Em vez disso, mais pessoas correram, com a aprovação do W3C cimentando seu futuro.

A abordagem de segurança de Yubico teve tanto sucesso em parte por causa de uma peculiaridade de tempo. A empresa desenvolveu seus padrões de login e hardware especializado pouco antes de os fabricantes de smartphones e outros dispositivos começarem a incorporar recursos focados na autenticação local baseada em dispositivo, como impressão digital e leitura facial e tecnologia relacionada. À medida que a Yubico cresceu e espalhou a abordagem que ajudou a ser pioneira, esses fabricantes aderiram a padrões amplos em vez de produzir alternativas proprietárias, talvez devido ao crescente sentimento público em favor da privacidade digital e contra a consolidação do poder nas mãos de empresas específicas.

o significado de 111

Em vários momentos nos últimos anos, Apple, Google e Microsoft decidiram proteger plataformas móveis e de desktop adicionando chips seguros que atuam como canais unilaterais e cofres privados para dados como chaves de criptografia e cartões de crédito. A Apple incorpora esses chips em seu próprio equipamento, assim como o Google para seus telefones Pixel; tanto o Google quanto a Microsoft oferecem suporte a eles em seus sistemas operacionais e incentivam os fabricantes de hardware a adotá-los. Esses enclaves são o coração da biometria moderna, dos sistemas de pagamento móvel e muito mais.

Os chips seguros embutidos nos dispositivos codificam o formato do seu rosto, as espirais nas pontas dos dedos, a batata frita na sua voz e o código no seu cartão de crédito. Mesmo os fabricantes desse hardware não conseguem extrair os dados. Isso se tornou um problema quando o FBI pediu à Apple para construir uma versão personalizada do iOS que daria à agência maiores chances de quebrar códigos protegidos por silício. (A Apple objetou e resistiu no tribunal; o FBI alegou que encontrou outra maneira.)

No entanto, embora esses chips de segurança possam estar envolvidos na autenticação de você em aplicativos nativos, para compras online e por meio de logins baseados em dispositivos (como Touch ID e Face ID da Apple), eles não preenchem a lacuna para a web, onde— apesar dos melhores esforços dos fabricantes de aplicativos - as pessoas ainda gastam muito do seu tempo. Um serviço de e-mail baseado na web, por exemplo, não pode obter acesso direto a um chip como o Secure Enclave da Apple para fazer seu login com segurança.

É aí que Yubico se encaixa - literalmente.

Um chip de segurança em um pacote portátil

YubiKeys e dispositivos semelhantes dependem de padrões que colocam um chip de segurança em um pacote externo e o tornam um método de validação independente de empresa, plataforma e dispositivo. As chaves podem funcionar com qualquer dispositivo e software compatível com USB.

Isso é possível por causa da Aliança FIDO (Fast ID Online). Fundada em 2012 para fornecer uma alternativa criptográfica bloqueada por dispositivo para senhas, ela aumentou seu portfólio em 2013, quando Yubico, Google e seu parceiro de semicondutor NXN se juntaram, trazendo uma tecnologia baseada em hardware que poderia fornecer um segundo fator de autenticação.

Essa noção, lançada como Universal 2nd Factor (U2F), depende da criptografia de chave pública, onde o segredo de criptografia é dividido em um par de chaves públicas e privadas. Em sites e serviços que suportam U2F, os usuários se inscrevem fazendo login e verificando-se e, em seguida, usando o dispositivo U2F para gerar um par de chaves exclusivo. O site remoto retém a parte da chave pública.

[Foto: cortesia de Yubico]

Em logins subsequentes, os usuários ainda podem ter que inserir um nome de usuário e uma senha ou quaisquer credenciais semelhantes necessárias. Em seguida, o site dá um aperto de mão com a chave de segurança, enviando um desafio codificado com a chave pública. O hardware U2F fornece uma resposta que somente uma parte que possui a chave privada poderia. O par de chaves exclusivo está associado a um nome de domínio específico, evitando que sites de phishing enganem um usuário para que ele faça login em um site nefasto; apenas o site inscrito possui a chave pública.

Isso vira a autenticação convencional de dois fatores de ponta-cabeça. Se um site usa um código único ou um segredo compartilhado para autenticar usuários - como muitos fazem - as informações podem ser interceptadas por terceiros e estão sujeitas a outras vulnerabilidades. Ao conferir propriedade ao usuário e usar uma troca criptográfica, a abordagem de Yubico melhora drasticamente a integridade de um segundo fator na proteção da conta de um usuário.

Até anos recentes, o U2F tinha uma adoção relativamente limitada, fora de aplicativos e sites específicos que exigiam o uso do navegador Google Chrome. Embora essa lista de sites inclua cada vez mais grandes consumidores e empresas - como Dropbox, Eve Online e Salesforce - cada site ou aplicativo teve que escrever o que era efetivamente uma integração personalizada.

quantos anos tem gen z

As grandes empresas de tecnologia pareciam estar mais interessadas em empurrar opções de Login com login único que permitem aos usuários confiar em suas contas para efetuar login em outro lugar. Isso incluiu os fabricantes de sistemas operacionais como Microsoft e Google (mais a Apple neste outono), e uma série de outros, incluindo Amazon, Facebook e Twitter.

Essas entradas unificadas não são apenas dependentes do ecossistema, levando ao aprisionamento; eles não oferecem nem um pouco mais de segurança. Na verdade, eles estabelecem pontos únicos de falha ainda piores.

trabalho duro não compensa

O padrão por trás da chave

Normalmente, as grandes empresas desejam consolidar e capturar usuários. Desta vez parece ser diferente, pelo menos para os fabricantes de sistemas operacionais e navegadores. O desejo de longa data de Yubico de trazer autenticação segura para sites tornou-se realidade.

Em 2016, a FIDO trouxe a parte da web de seus padrões de segunda geração para o W3C, que lançou uma versão final em março de 2019 . WebAuthn coloca as peças necessárias em navegadores da web para autenticação de logins na web lado de fora do navegador. Isso permite hardware de plug-in, como o YubiKey. Ele também permite o uso de chips de segurança integrados vinculados a um computador ou dispositivo móvel específico.

Para desenvolvedores da web em sites grandes e pequenos, isso muda o trabalho pesado de usar uma YubiKey ou autenticador semelhante para o navegador e torna a implementação a mesma em todos os navegadores que suportam o padrão. Ele coloca a autenticação no mesmo nível que animar objetos em uma página ou armazenar dados localmente em um navegador.

[Foto: cortesia de Yubico]

O ponto de inflexão da Yubico pode já estar acontecendo com a adoção do WebAuthn. Mas é mais provável que alcance todo o seu potencial se a Apple adicionar o padrão à versão iOS do Safari. É por isso que Yubico criou sua prévia do Lightning / USB-C. Yubico’s Chong diz que a empresa queria colocar algo no mercado, mesmo como um lançamento antecipado limitado, em vez de apenas demonstrar um protótipo. Se você não mostrar uma maneira de criar a experiência, isso nunca será feito, diz ele. Essa filosofia parece ter guiado a Yubico desde a sua fundação até agora.

A maior ameaça da empresa pode vir de seu sucesso. Como o WebAuthn permite o uso de enclaves seguros existentes, os fabricantes de telefones podem eventualmente incorporar funcionalidades semelhantes ao Yubikey em telefones e outros dispositivos, permitindo que os prováveis ​​compradores do YubiKey evitem uma compra separada. E, no entanto, as mesmas forças que levariam as pessoas a quererem autenticação fora da intermediação de uma grande empresa também podem levar algumas delas a preferir um dispositivo pessoal portátil de terceiros de uma empresa neutra - uma empresa de segurança que prosperou abrindo suas portas .