Una de las preguntas más importantes que hemos visto en llamadas de ventas, foros de Reddit, conferencias y más es: “ Los YubiKeys son resistentes al phishing?” Honestamente, es una pregunta válida: las YubiKeys han tenido un lugar destacado en el impulso a la autenticación sin contraseña pero, como sabemos, no todas las formas de autenticación sin contraseña son resistentes al phishing. En este blog, veremos rápidamente qué funciones de YubiKey son y qué no son resistentes al phishing.
Comencemos repasando posiblemente el término más comentado en los últimos años dentro del ámbito de la protección de la identidad: FIDO2. Básicamente, FIDO2 emplea autenticación criptográfica, de naturaleza similar a PIV o tarjetas inteligentes; Sin embargo, a diferencia de estos, FIDO2 funciona sin necesidad de una PKI. Este enfoque es resistente al phishing porque la clave FIDO2 permanece segura dentro de YubiKey; lo que esto significa es que un atacante no puede engañar al usuario para que revele sus credenciales, a menos que obtenga físicamente el YubiKey y el PIN del usuario (dos cosas que NUNCA debes hacer).
Además, para las credenciales FIDO2 que están registradas, el navegador mejora aún más la seguridad al verificar que cualquier solicitud se origine en un dominio autorizado. Esta capa adicional hace que sea extremadamente difícil para un atacante engañar a un usuario para que inicie sesión. Entonces, en resumen: sí, YubiKey FIDO2 es resistente al phishing. Consulte este blog sobre cómo FIDO2 previene el phishing para profundizar aún más en el tema.
La autenticación YubiKey PIV (también conocida como autenticación con tarjeta inteligente) se ofrece exclusivamente en la serie YubiKey 5. Según la Orden ejecutiva 14028 de los Estados Unidos , la autenticación YubiKey PIV es el método de autenticación preferible que utilice su organización. Este método ha sido un estándar para asegurar identidades entre entidades gubernamentales y sus contratistas durante muchos años. Implica el uso de un certificado criptográfico, donde la clave privada está salvaguardada por una clave de hardware (en este caso, una YubiKey). Cada vez que un usuario necesita autenticarse, lo hace firmando la solicitud con su YubiKey. El hecho de que la clave permanezca dentro de YubiKey en todo momento es lo que nos permite decir también que sí, la autenticación PIV de YubiKey es resistente al phishing.
El último método de autenticación de YubiKey, excluyendo su aplicación, que genera códigos y es susceptible al phishing, es OTP (códigos de acceso de un solo uso). Este método generalmente se emplea como un factor de autenticación secundario y generalmente se activa por error (todos hemos estado allí donde tocamos nuestra YubiKey e ingresa una serie de tonterías, ¿verdad?). Dado que OTP se utiliza junto con una contraseña, no es resistente al phishing.
Por ejemplo, un atacante podría configurar un sitio web fraudulento en el que ingrese su contraseña y YubiKey OTP, permitiéndole acceder a sus cuentas en su nombre. Si bien OTP no es tan seguro como la autenticación FIDO2 o PIV, aún ofrece una protección significativa para cuentas que no admiten la autenticación FIDO2 como Bitwarden.
¿Las YubiKeys son resistentes al phishing? Sólo hay una respuesta aceptable, y es algo que nunca se escucha en ciberseguridad; depende. Independientemente de si utiliza o no un método de autenticación YubiKey que sea resistente al phishing, seguro que es mejor usar una YubiKey que no hacerlo.
¿Quiere ver cómo EZCMS, el mejor CMS para FIDO2 y Entra puede ayudar a su organización? Programe una consulta GRATUITA con uno de nuestros antiguos expertos en identidad de Microsoft hoy y no dude en ver el vídeo a continuación, que destaca uno de los muchos éxitos de los clientes. historias sobre el uso de EZCMS para incorporar YubiKeys.
