Security solutions

Що таке YubiKey і як він працює порівняно з іншими ключами безпеки

YubiKey — це апаратний ключ безпеки, що забезпечує надійну автентифікацію, стійку до фішингу, за допомогою захищеного від несанкціонованого втручання обладнання. Він працює шляхом генерації криптографічних ключів, які залишаються захищеними на...

Updated ·7 min read· Denis ZaliznyakWritten by Denis Zaliznyak
<b>YubiKey Explained: How It Works Compared to Other Security Keys</b>
Yubikey

Що таке YubiKey?

YubiKey — це апаратний ключ безпеки, виготовлений компанією Yubico. Цей фізичний пристрій забезпечує багатофакторну автентифікацію, генеруючи криптографічні докази особи користувача. На відміну від програмних автентифікаторів, які вразливі до шкідливого програмного забезпечення, YubiKey зберігає секретні ключі в апаратному середовищі, стійкому до несанкціонованого доступу, яке неможливо скопіювати або витягнути. 

Фізичний дизайн та форм-фактори

YubiKey доступні в декількох фізичних конфігураціях для різних потреб підключення. Стандартна модель з USB-A має розміри приблизно 18 мм x 45 мм і призначена для постійного підключення до порту ноутбука. Варіанти з USB-C підтримують сучасні пристрої, а YubiKey 5Ci має подвійні роз’єми для Lightning та USB-C. Моделі з підтримкою NFC дозволяють бездротову автентифікацію зі сумісними смартфонами. Пристрій не містить батареї — живлення надходить безпосередньо від хост-пристрою. Більшість моделей мають золоту контактну площадку або кнопку, яку потрібно фізично торкнутися для активації, що підтверджує присутність користувача під час автентифікації.

YubiKeys Family

Як працює YubiKey?

YubiKey функціонує як криптографічний токен на основі стандарту FIDO2, використовуючи криптографію з відкритим ключем для безпечної перевірки особи користувача без паролів. Під час реєстрації пристрій генерує унікальну пару ключів — приватний ключ, який безпечно зберігається на пристрої, і відкритий ключ, який передається сервісу. Під час автентифікації сервіс надсилає запит (challenge) на YubiKey. Пристрій підписує цей запит своїм приватним ключем, створюючи відповідь, яку може перевірити лише відповідний відкритий ключ. Цей процес підтверджує як наявність пристрою, так і присутність користувача без передавання паролів або багаторазових облікових даних.

 

Автентифікація вимагає фізичної взаємодії з пристроєм. У більшості випадків ви торкаєтесь золотої контактної площадки, яка замикає ємнісний ланцюг, підтверджуючи присутність людини. Це запобігає прихованій автентифікації зловмисним ПЗ у фоновому режимі. Серія YubiKey Bio додає перевірку відбитків пальців, створюючи справжній багатофакторний підхід, що поєднує те, що ви маєте (пристрій), і те, ким ви є (ваші біометричні дані). Захист за допомогою PIN-коду додає ще один рівень — певні операції вимагають введення числового коду перед тим, як пристрій відповість на запит автентифікації.

Протоколи та стандарти автентифікації YubiKey

YubiKey підтримують низку стандартів автентифікації, розроблених для усунення паролів, протидії фішингу та підвищення безпеки входу. Ось огляд основних підтримуваних протоколів:

  • FIDO2 та WebAuthn (Безпарольна автентифікація). FIDO2 — це провідний стандарт для входу без пароля. У поєднанні з сумісним сервісом FIDO2, YubiKey генерує унікальні облікові дані, пов’язані з певним доменом — роблячи фішинг-атаки неефективними. Паролі не потрібні; лише фізичний ключ і присутність користувача. Підтримується Google, Microsoft, Facebook, GitHub та іншими.

  • FIDO U2F (Універсальний другий фактор). U2F підсилює вхід із паролем додатковим фізичним фактором. Після введення пароля ви торкаєтесь YubiKey для підтвердження. Пристрій перевіряє справжність сайту, блокуючи фішинг. U2F працює нативно в сучасних браузерах без додаткових драйверів і залишається широко підтримуваним.

  • OATH (Одноразові паролі TOTP/HOTP). YubiKey може зберігати до 32 облікових записів OATH, функціонуючи як апаратний автентифікатор. TOTP-коди оновлюються кожні 30 секунд; HOTP-коди генеруються вручну. Доступ здійснюється через застосунок Yubico Authenticator, що забезпечує більш надійне зберігання, ніж мобільні додатки.

  • Функціональність смарт-картки PIV. YubiKey підтримують Personal Identity Verification (PIV) для входу за допомогою смарт-картки корпоративного рівня. Пристрій зберігає сертифікати X.509 для автентифікації в мережі, підпису електронної пошти та шифрування. Сумісний із входом у домен Windows та шифруванням FileVault у macOS.

  • Підтримка OpenPGP. YubiKey виступає як апаратний токен безпеки для операцій OpenPGP — підпису, шифрування та автентифікації. Ключі можна згенерувати або імпортувати безпосередньо на пристрій. Приватний ключ ніколи не залишає пристрій, що забезпечує безпеку електронної пошти та підпису коду.

  • Yubico OTP та статичні паролі. Yubico OTP генерує одноразові паролі довжиною 44 символи, використовуючи вбудований секрет і лічильник, перевіряється серверами Yubico. Режим статичних паролів дозволяє зберігати фіксований пароль для систем без сучасних варіантів автентифікації. Обидва режими імітують введення з клавіатури.

  • Автентифікація за принципом «виклик-відповідь». У цьому режимі хост надсилає запит, а YubiKey відповідає, використовуючи HMAC-SHA1 із збереженим секретом. Це ідеально підходить для автономного використання, такого як шифрування диска або доступ до менеджера паролів (наприклад, KeePassXC), де лише ключ може розблокувати дані.

Порівняння моделей та серій YubiKey

Модель

Тип USB

NFC

FIDO2

PIV

OpenPGP

Біометрія

Ціновий діапазон

YubiKey 5 NFC

USB-A

Так

Так

Так

Так

Ні

$55

YubiKey 5C NFC

USB-C

Так

Так

Так

Так

Ні

$55

YubiKey 5Ci

Lightning/USB-C

Ні

Так

Так

Так

Ні

$70

YubiKey Bio

USB-A/C

Ні

Так

Ні

Ні

Так

$80-85

Security Key NFC

USB-A

Так

Так

Ні

Ні

Ні

$25

YubiKey 5 FIPS

USB-A/C

Залежить

Так

Так

Так

Ні

$70-80

Найкращі альтернативи YubiKey для корпоративного використання

Апаратні ключі безпеки часто порівнюють лише за підтримкою FIDO2. Для корпоративних впроваджень цього недостатньо. Практичні відмінності зазвичай полягають у: (1) тому, наскільки добре ключ інтегрується в робочі процеси, орієнтовані на робочі станції (спільне використання ПК, швидке блокування/розблокування), (2) підтримці гібридного середовища, де безпарольна автентифікація впроваджується поступово, поруч із традиційними системами на основі пароля/OTP, і (3) підтримці постачальником сценаріїв з PKI/смарт-картами на додаток до FIDO2.

1. Hideez Keys — FIDO2, швидке блокування/розблокування та керування паролями

Hideez Key позиціонується не лише як ключ безпеки FIDO, а як частина робочого процесу доступу до робочої станції, що включає розблокування та автоматичне блокування на основі близькості. Для середовищ із загальним доступом до робочих станцій перевага полягає в тому, що безпека не обмежується лише подією входу: сесія може автоматично блокуватися, коли користувач залишає зону робочого місця, зменшуючи ризики від залишених без нагляду сесій. 

Другою важливою перевагою є підтримка гібридних впроваджень: безпарольна автентифікація там, де це можливо, з одночасною підтримкою доступу до застарілих систем, що базуються на паролях та OTP. Hideez просуває це як поєднання безпарольної автентифікації з використанням паролів/OTP для старих систем у межах одного користувацького досвіду (наприклад, функціонал керування паролями та OTP разом із сучасною автентифікацією).

Hideez Key vs Yubikey

2. Thales SafeNet eToken Fusion — комбінований FIDO2 + PKI токен 

Thales позиціонує eToken Fusion як єдиний пристрій, що поєднує автентифікацію FIDO та PKI. Цей клас токенів зазвичай актуальний для компаній, яким потрібні як FIDO2/WebAuthn для захищеного доступу до веб-сервісів, так і сертифікатна автентифікація (часто сумісна з PIV) для входу в Windows, VPN, підпису та інших механізмів PKI.

eToken Fusion часто розглядають як альтернативу, коли організації віддають перевагу екосистемі управління ідентичністю Thales та мають вимоги до закупівель/відповідності, при цьому потребують як FIDO, так і PKI в одному токені.

eToken

3. Token2 — пристрій із пріоритетом FIDO2 і підтримкою OTP 

Token2 продає ключі безпеки FIDO2, а також пропонує моделі, що поєднують FIDO2/U2F із функціоналом TOTP. Це особливо корисно, коли організація хоче масово впровадити автентифікацію з захистом від фішингу, але все ще має додатки, які вимагають OTP. Категорії продуктів та окремі артикули Token2 описують ці поєднані можливості.

Token2 часто розглядають, коли важливими є вартість і наявність, а моделі з підтримкою FIDO2 + TOTP допомагають знизити труднощі в перехідному середовищі. Основна вимога — стандартизація на конкретних артикулах і версіях прошивки, щоб уникнути розбіжностей у підтримці.

Token 2

На практиці “правильний” вибір ключа безпеки визначається не брендом, а тим, наскільки добре він відповідає всьому вашому ландшафту автентифікації: сучасні застосунки з підтримкою FIDO2, застарілі системи з паролями та OTP, а також шаблони доступу до робочих станцій, які створюють реальні операційні ризики. 

Якщо ви хочете оцінити ці можливості як єдину, цілісну систему, система Hideez Workforce Identity розроблена саме для цього: вона забезпечує безпарольну автентифікацію, а також контрольований доступ за паролем і OTP для старих середовищ, інтегрується з сертифікованими FIDO2-ключами (включаючи YubiKey, Thales, Token2 та інші) і підтримує мобільну автентифікацію через додаток Hideez. 

Вона також виходить за межі доступу до вебсайтів та додатків, дозволяючи доступ до комп’ютерів на основі близькості — підтримує швидке розблокування і безпечне автоматичне блокування для спільних робочих станцій. Щоб побачити, як ці робочі процеси виглядають у вашому середовищі, забронюйте демонстрацію і ознайомтеся з повним спектром наших можливостей.