Yubico – több mint egyszerű FIDO-megoldás

Nem múlik el nap, hogy ne hallanánk az interneten elkövetett jelszó-visszaélésekről. Sok helyen bevezették már a kétfaktoros azonosítást (2FA), de ezek sem nyújtanak teljes védelmet. A megoldást a FIDO-szabványt követő megoldások jelentik.

Mi a baj a 2FA-val?

Miért is nem biztonságos a kétfaktoros azonosítás? A válaszhoz nézzük egy átverés menetét! A bűnözők phishing (adathalász) levéllel az általuk kreált hamis oldalra csalják az áldozatot, aki ott gyanútlanul megadja a belépési adatait. A támadók ezeket beírják az eredeti oldalra, ami ezután kiküldi a második faktort is az ügyfélnek. Ő ezt is nyugodtan megadja, mivel azt hiszi, hogy az eredeti oldallal kommunikál. Így a bűnözők már beléphetnek az eredeti oldalra, és ott minden további nélkül módosíthatják az adatokat (például azt az email-címet és telefonszámot, amelyre a push üzenetek mennek), átvéve ezzel az irányítást a fiók felett.

Megoldás: a passkey

A fent leírt módszereket és az ebből adódó veszélyeket az iparági szakértők is felismerték, és a FIDO-szabvány kidolgozásával létrehoztak egy modern, biztonságos hitelesítési protokollt, a WebAuthn-t. Ez jelszómentes vagy többfaktoros bejelentkezéseket tesz lehetővé a szabványt alkalmazó online szolgáltatásokba. A kulcs tanúsítványalapú, és csak a valódi oldalakra reagál, így megvédi a felhasználókat a jelszólopást célzó adathalász támadásoktól. A FIDO Alliance-nek már több mint 250 iparági tagja van (köztük olyan nagyágyúk, mint az Apple, a Facebook, a GitHub, a Microsoft vagy a Salesforce) és 600 feletti a FIDO-tanúsítvánnyal rendelkező megoldások száma.

Foki Tamás, senior system engineer, Clico

FIDO-megoldás a Yubicotól

A FIDO tanúsítvánnyal rendelkező megoldások közé tartoznak a Yubico termékei is. A 2007-ben alakult svéd-amerikai IT-biztonsági cég saját fejlesztéssel és gyártással rendelkezik mindkét országban. Természetesen tagja a FIDO Alliance-nek és a kezdetektől fogva részt vesz a szabvány fejlesztésében – ők gyártják az egyik legelterjedtebb FIDO-kulcscsaládot, a Yubikey-t.

A Yubikey család több, különböző interfésszel rendelkező modellt tartalmaz: vannak például USB-A, USB-C, Lightning és NFC változatok is. Az egyszerűbb biztonsági kulcsok mellett elérhető a YubiKey 5-ös sorozat is, amelynek tagjai többet tudnak, mint egy egyszerű FIDO-token. Nem csupán támogatják a WebAuthn-tet, hanem PiV-kompatibilis smart kártyaként is használhatók, illetve rendelkeznek OpenPGP és OATH (TOTP/HOTP) one time password támogatással. Ennek köszönhetően használhatók például Windows, Linux vagy MacOS gépekre történő bejelentkezéshez, digitális aláírásokhoz, titkosításhoz és SSH-kulcsok tárolására is.

A tokenen túl

Yubico egyik érdekes terméke a YubiHSM: ez az iparág legkisebb méretű, USB-formátumú hardveres biztonsági modulja (HSM-je). Teljesítménye nem hasonlítható össze egy hálózati HSM-ével, de ha nem az a fontos, akkor megfizethető alternatíva lehet kód aláírásához, privát kulcsok biztonságos tárolásához vagy tanúsítványkezelési funkciókhoz.

A gyártónál természetesen elérhető a vállalatok számára készített szolgáltatás is, a YubiEnterprise. Ennek keretében előfizetéses alapon lehet kulcsokat rendelni, és ehhez logisztikai szolgáltatások, kiemelt támogatás és egyedi programozás is elérhető.

A Yubico alapvetően csak a hardvert biztosítja, saját nagyvállalati szoftverrel nem rendelkezik. Tokenjei ugyanakkor integrálhatók a legtöbb elterjedt kulcskezelési (PointSharp, Verasec), IAM (CyberArk, Thales, PointSharp), valamint iDP (Okta, Duo, Ping Identity) megoldással.

Összegzés

A kétfaktoros azonosítás (2FA) önmagában nem nyújt teljes védelmet az adathalász támadások ellen. A megoldást a FIDO-szabvány biztosítja, amely jelszómentes, tanúsítványalapú hitelesítést tesz lehetővé. A Yubico, a FIDO egyik kulcsszereplője, fejlett hardveres kulcsokat (pl. YubiKey) kínál, amelyek biztonságos belépést, aláírást és titkosítást is támogatnak.

Gyakran Ismételt Kérdések