YubiKey

dispositivo di autenticazione hardware

La YubiKey è un dispositivo di autenticazione hardware prodotto da Yubico per proteggere l'accesso a computer, reti e servizi online. È compatibile[1] con le One time password (in acronimo OTP, in italiano "password valida una sola volta" o anche "password usa e getta"),[2] la crittografia a chiave pubblica[3] e l'autenticazione SSH,[4] inclusi i protocolli Universal 2nd Factor e FIDO2,[5] sviluppati da FIDO Alliance.

Una chiave YubiKey 4
Una chiave YubiKey 4.

Fondata nel 2007 dal CEO Stina Ehrensvärd, Yubico è un'azienda privata con uffici a Palo Alto, Seattle e Stoccolma.[6] Il CTO di Yubico, Jakob Ehrensvärd, è l'autore principale della specifica originale di autenticazione forte che divenne nota come Universal 2nd Factor (U2F).[7]

CaratteristicheModifica

Consente agli utenti di autenticarsi in modo sicuro nei loro account mediante la generazione di OTP oppure usando una coppia di chiavi pubblica/privata basata su FIDO generata dal dispositivo. La YubiKey permette anche la conservazione di password statiche[8] da usare in siti che non sono compatibili con le OTP. Facebook utilizza la YubiKey per le credenziali degli impiegati.[9] Google ne incoraggia l'uso sia per gli impiegati che per gli utenti.[10][11] Alcuni password manager sono compatibili con la YubiKey.[12][13][14]

Yubico produce anche la Security Key, un dispositivo simile alla YubiKey, ma incentrata sull'autenticazione a chiave pubblica.[15][16]

La YubiKey implementa gli algoritmi HMAC-based One-time Password (HOTP) e Time-based One-time Password (TOTP) e viene identificata come una tastiera che genera le OTP sul protocollo USB HID. La YubiKey NEO e la YubiKey 4 comprendono anche protocolli come OpenPGP card che usano chiavi RSA a 1024, 2048, 3072 e 4096 bit (per dimensioni di chiavi superiori a 2048 bit è necessario GnuPG in versione 2.0 o successiva) e la crittografia a curva ellittica (ECC) p256 e p384, Near Field Communication (NFC) e FIDO U2F. La YubiKey consente agli utenti di firmare, cifrare e decifrare messaggi senza esporre le chiavi private al mondo esterno.

La quarta generazione delle YubiKey è stata lanciata il 16 novembre 2015.[17] È compatibile con OpenPGP con chiavi RSA a 4096 bit e PKCS#11 per le smart card PIV, una caratteristica che permette la firma del codice di immagini Docker.[18]

Yubico ha rilasciato la serie YubiKey 5 nel 2018, che aggiunge la compatibilità con FIDO2.[19]

NoteModifica

  1. ^ (EN) YubiKey authentication standards & types of authentication, su Yubico. URL consultato il 2 maggio 2021.
  2. ^ (EN) What is Yubico OTP?, su Yubico. URL consultato il 2 maggio 2021.
  3. ^ (EN) Using Your YubiKey with OpenPGP, su Yubico. URL consultato il 2 maggio 2021 (archiviato dall'url originale il 2 maggio 2021).
  4. ^ (EN) SSH authentication, su developers.yubico.com. URL consultato il 2 maggio 2021.
  5. ^ (EN) FIDO Alliance Specifications Overview, su FIDO Alliance. URL consultato il 2 maggio 2021.
  6. ^ (EN) The team, su Yubico. URL consultato il 2 maggio 2021.
  7. ^ (EN) History of FIDO Alliance, su FIDO Alliance. URL consultato il 2 maggio 2021.
  8. ^ (EN) What is a Secure Static Password?, su Yubico. URL consultato il 2 maggio 2021.
  9. ^ (EN) Facebook Pushes Passwords One Step Closer to Death, in Wired. URL consultato il 2 maggio 2021.
  10. ^ (EN) Amadou Diallo, Google Wants To Make Your Passwords Obsolete, su Forbes. URL consultato il 2 maggio 2021.
  11. ^ (EN) The Best Way for Companies to Stay Secure Without Passwords - WSJ.com, su web.archive.org, 3 gennaio 2014. URL consultato il 2 maggio 2021 (archiviato dall'url originale il 3 gennaio 2014).
  12. ^ (EN) Yubico, su lastpass.com. URL consultato il 2 maggio 2021.
  13. ^ Utilizzo dell’autenticazione a più fattori YubiKey - Supporto per LastPass, su support.logmeininc.com. URL consultato il 2 maggio 2021.
  14. ^ (EN) Documentation and FAQ - KeePassXC, su keepassxc.org. URL consultato il 2 maggio 2021.
  15. ^ (EN) Yubico Releases FIDO U2F Security Key, su Yubico. URL consultato il 2 maggio 2021.
  16. ^ (EN) New Developer Program and Security Key for FIDO2 and WebAuthn, su Yubico. URL consultato il 2 maggio 2021.
  17. ^ (EN) Launching The 4th Generation YubiKey, su Yubico, 16 novembre 2015. URL consultato il 2 maggio 2021.
  18. ^ (EN) With a Touch, Yubico, Docker Revolutionize Code Signing, su Yubico, 16 novembre 2015. URL consultato il 2 maggio 2021.
  19. ^ (EN) Yubico launches new YubiKey 5 Series 2FA keys, supports passwordless FIDO2 and NFC, su Android Police, 24 settembre 2018. URL consultato il 2 maggio 2021.

Voci correlateModifica

Altri progettiModifica

Collegamenti esterniModifica

  Portale Sicurezza informatica: accedi alle voci di Wikipedia che trattano di sicurezza informatica