Simplifique e Proteja seus Logins On-line com Yubikey

Esses dispositivos simples e sem bateria oferecem uma maneira fácil de verificar com segurança se realmente você está tentando acessar suas contas on-line.

YUBIKEY

A MEDIDA QUE NOS TORNAMOS mais dependentes de plataformas on-line para fins sociais e profissionais, torna-se cada vez mais importante adotar medidas de segurança on-line mais fortes. Um dos passos mais importantes que você pode tomar para proteger seus serviços on-line é configurar a autenticação de dois fatores. Esse protocolo – comumente abreviado como 2FA – exige que você digite uma senha e também forneça outra prova de que você é quem diz ser antes de fazer login em um serviço. Um dos métodos 2FA mais comuns em uso hoje emprega códigos de acesso de seis dígitos que são enviados para o seu telefone via mensagem de texto. Quando uma mistura única de números aparece no seu telefone, você os digita no navegador junto com sua senha na tela de login. Combinado com uma senha forte como as geradas por gerenciadores de senha, como 1Password ou LastPass, um login 2FA é bastante eficaz para verificar sua identidade. Não use verificação de dois passos via SMS, pois esse tipo de verificação está vulnerável ao hack da porta SIM.
Mas não importa o quão forte seja uma senha ou o nível de autenticação baseada em código que um site está usando, qualquer sistema que envie códigos por mensagem de texto pode ser comprometido de longe por um invasor experiente. A melhor maneira de configurar a autenticação de dois fatores é usar um aplicativo seguro no celular para gerar esses códigos de seis dígitos ou transportar uma peça de hardware que possa verificar sua identidade.

Um dispositivo como o YubiKey é exatamente esse tipo de hardware. Estes pequenos fobs em forma de chave conectam-se ao seu computador e, juntamente com a sua senha, completam a segunda metade de um login na web do 2FA. Um hacker pode encontrar uma maneira de espionar suas senhas ou interceptar um código 2FA de seis dígitos enquanto ele está sendo enviado para o seu celular, mas seria difícil pressionar uma chave real de suas chaves.

Devemos observar que, se você já tiver 2FAs configurados por meio de um aplicativo como o Google Authenticator ou o Duo Security, isso é ótimo. Um YubiKey simplesmente fornecerá outro método mais conveniente de autenticação. Se você perder seu YubiKey ou esquecê-lo em casa, poderá usar o gerador de código seguro em seu telefone para concluir seus logins do 2FA.

Do que se trata esse dispositivo?

O YubiKey – como outros dispositivos semelhantes – é uma pequena chave de metal e plástico do tamanho de um pendrive. Eles se conectam ao seu computador e alguns também se conectam ao seu smartfone. Você pode usá-lo em qualquer lugar, junto com sua senha, para autenticar logins na web. Pense nisso como uma chave física que, em vez de destrancar uma porta, desbloqueia sua vida online.

Vários fabricantes fabricam esses tipos de chaves, e todos basicamente funcionam da mesma maneira. Eles aderem a um padrão da indústria chamado Universal 2nd Factor, ou U2F. O padrão alia a autenticação baseada em hardware à criptografia de chave pública – um conjunto de ferramentas extremamente difícil de comprometer. Essas chaves do U2F simplificam o processo de acesso seguro a serviços on-line, como Google, Facebook, Dropbox, Windows e Mac OS. Eles também suportam gerenciadores de senhas como Lastpass, Dashlane e Keepass. As teclas U2F podem até mesmo ser usadas para desbloquear seu Mac ou Windows PC na tela inicial.

Qual destes eu devo pegar?

Existem vários modelos de chave U2F para escolher; todos eles se parecem com variações como um pendrive compacto. Estamos nos concentrando no YubiKey aqui simplesmente porque é a opção mais popular, mas você pode usar as instruções abaixo com qualquer chave que suporte U2F e o padrão FIDO2 similar.

Feitas pela empresa Yubico, que ajudou a elaborar os padrões abertos U2F e FIDO2, as chaves são duráveis, resistentes à água e sem bateria. Existem modelos em forma de chave que se conectam ao seu chaveiro e modelos “nano”, projetados para serem menos complicados quando conectados a um laptop. A YubiKey 4 Series de tamanho completo, a KritpoBR é a pioneira em trazer esses dispositivos ao Brasil e hoje custa R$ 339,00 (Pagamento em criptomoedas) com garantia de 3 meses. Para os usuários do Android, há o YubiKey Neo compatível com NFC, que permite acessar seus serviços on-line em seu telefone. Você também pode conectá-lo a portas USB-A em seu PC ou outros dispositivos. Para algo mais econômico, você pode experimentar a nova chave de segurança para portas USB-A. É compatível com quaisquer serviços que suportem U2F e FIDO2. Finalmente, as instituições reguladas pelo governo podem estar interessadas no FIPS YubiKey , que atende aos requisitos regulamentares comuns. 

Começando

Uma vez que seu YubiKey chega pelos correios/transportadora, você começa ativando indo para o site do Yubico e selecione seu YubiKey. Em seguida, escolha os serviços que você gostaria de usar com seu YubiKey para entrar. Serviços populares que suportam U2F e FIDO2, como Facebook, Google e Dropbox, estão listados no topo. Entre as principais opções estão também as opções de login do computador para Macs e PCs com Windows. Você pode configurar seu YubiKey para uso com soluções de gerenciamento de senhas como Dashlane e LastPass, e plataformas de desenvolvimento como Github e Bitbucket. Cada serviço que você pode acessar com autenticação de dois fatores não baseada em SMS permitem que você adicione uma YubiKey ao seu protocolo de login.

Para dar um exemplo claro, vamos configurar um YubiKey para trabalhar com o Facebook. Observe que, para o Facebook, o YubiKey só pode fazer o login se você estiver usando a versão mais recente do Chrome ou do Opera. As chaves de hardware funcionarão com o Mozilla Firefox e o Microsoft Edge em alguns serviços, mas outros serviços são mais instáveis ​​- verifique os requisitos do navegador para cada um dos seus serviços da Web mais usados. Para aqueles que não suportam sua chave de hardware, você pode usar um aplicativo gerador de código 2FA.

Na página de configuração do YubiKey, clique no Facebook. Yubico lhe redirecionará para uma página do Facebook chamada “O que é uma chave de segurança e como funciona?“. Para configurar seu YubiKey, o Facebook direciona você para as configurações de segurança e login. Como um YubiKey é um dos fatores em um processo de autenticação de dois fatores, se você ainda não tiver o 2FA configurado, o Facebook o guiará para configurá-lo primeiro. Isso geralmente envolve o fornecimento de um número de telefone ao Facebook para enviar uma senha com uma única vez. Depois de configurar, volte para a página Configurações de segurança e login e veja abaixo, onde diz “Configuração de segurança extra”. Ao lado do item de menu “Usar autenticação de dois fatores”, clique em Editar. Em “Chaves de segurança” você encontrará uma opção chamada “adicionar chaves”.

Agora o momento da verdade: a inserção real da chave. Coloque o seu YubiKey na sua porta USB. Uma vez conectado, a chave deve mostrar uma luz piscando. Se não estiver piscando, tente conectá-lo a uma porta USB diferente ou vire-o – você pode tê-lo inserido de cabeça para baixo. Depois de ver a luz piscando, pressione o disco de ouro no meio da chave. (Se o seu modelo tiver um botão, pressione o botão.) Com isso, sua chave de autenticação de dois fatores de hardware é ativada. Na próxima vez que você tentar fazer login no Facebook, em vez de usar uma senha de seis dígitos para verificar sua identidade, você será solicitado a inserir seu YubiKey e dar um toque.

Se você esquecer sua YubiKey em casa, não se preocupe. O Facebook (ou qualquer outro serviço) simplesmente solicitará que você use outra forma de 2FA para fazer login, para que você possa voltar a usar seu aplicativo de geração de código como um substituto. Se você perder seu YubiKey por completo, você pode entrar nas configurações do seu serviço e remover o seu YubiKey antigo da sua lista de chaves de segurança.

Lista de serviços até o momento compatíveis com a Yubikey: https://www.yubico.com/works-with/catalog/

Mais sobre YubiKey

Gostou da YubiKey? Adquira a sua aqui!

Publicado originalmente em: https://www.wired.com/story/how-to-use-a-yubikey/

PRODUTOS EM DESTAQUE!

-63%

Hardware Wallets

Trezor One

R$447,00
-40%

Hardware Wallets

Trezor T

R$1.499,00
-53%
Lançamento

Hardware Wallets

Ledger Nano S Plus

R$799,00
-34%
Exclusivo
-40%

Hardware Wallets

Ledger Nano X

R$1.499,00
-100%
Lançamento
-50%
Exclusivo
-40%

Hardware Wallets

SecuX W20

R$599,00
-56%

Hardware Wallets

SecuX W10

R$397,00
Elementor PROWP RocketCrocoblockCheckout Woocommerce