No voy a mentir, procrastino MUCHO y una de las formas en que lo hago es pasando tiempo en Reddit. Uno de los subreddits en los que paso mucho tiempo es r/YubiKey, y allí veo gente preguntando todo el tiempo si las YubiKeys no son susceptibles de phishing, y la respuesta es: depende de las funciones que estés usando. Entonces, analicemos cada una de las funciones de YubiKey y veamos cuáles no son susceptibles de phishing.
Comencemos con la palabra de moda más popular en los últimos años en el espacio de la seguridad de la identidad: FIDO2. FIDO2 es una autenticación basada en criptografía (básicamente la misma tecnología que PIV o tarjeta inteligente; puede leer más sobre la diferencia entre autenticación FIDO2 y tarjeta inteligente aquí) pero sin necesidad de una PKI. Esto no se puede robar porque la clave nunca sale de YubiKey (por lo que el atacante no puede engañar al usuario para que le dé la credencial, a menos que alguien le pida su clave y PIN pero no se los dé), y para las credenciales FIDO2 registradas (hay Hay dos tipos de credenciales, pero hablaremos de eso en otro blog), el navegador incluso comprueba que la solicitud proviene de un dominio aprobado, lo que hace que sea muy difícil para un atacante engañar al usuario para que inicie sesión.
La autenticación PIV de YubiKey (o autenticación de tarjeta inteligente) solo está disponible en la serie 5 de YubiKey y, de acuerdo con la orden ejecutiva de EE. UU. 14028, es la forma recomendada de autenticarse. Esta ha sido la forma en que los gobiernos y los contratistas gubernamentales han protegido su identidad durante décadas, este método de autenticación utiliza un certificado criptográfico con la clave privada protegida por una clave de hardware (en este caso la YubiKey), y cada vez que el usuario se autentica, firma el Solicite con YubiKey. Dado que la clave nunca sale de YubiKey, esto también se considera un método no phishing.
El último método de autenticación de YubiKey (sin contar su aplicación con códigos, pero supongo que sabes que puede ser objeto de phishing) es OTP (códigos de acceso de un solo uso). Este método se utiliza como segundo factor y supongo que lo has activado por error ( esto es cuando tocas tu YubiKey y escribe galimatías) ya que esto se usa además de una contraseña, un atacante puede crear un sitio falso donde ingresas tu contraseña y tu OTP de YubiKey y lo usas para autenticarte en el servicio en tu nombre. es una credencial phishing. Si bien no es tan seguro como FIDO2 o PIV, sigue siendo una excelente manera de proteger sus cuentas que no admiten la autenticación FIDO2 (mirándolo Bitwarden).
Como ocurre con muchas otras preguntas de seguridad, la respuesta es “Depende”, pero seguro que es mucho más seguro que no tener una YubiKey. Incluso si pierdes tu YubiKey tus cuentas están seguras contra el acceso no autorizado (y además te ves bien conectando una YubiKey a autenticarse, como me dijo una vez un pasante cuando le explicaba cómo usamos YubiKeys para proteger nuestra infraestructura, “la YubiKey es su tarjeta VIP para acceder a los recursos corporativos.”).