Як додати запасний ключ безпеки YubiKey та навіщо це робити

Апаратний ключ безпеки YubiKey дуже надійний — він стійкий до зносу та не втрачає властивостей при потраплянні у воду. Але він має невеличкий розмір, тож може випадково загубитися. Також його можуть намагатися викрасти зловмисники, якщо ви часто працюєте в людних місцях. 

Звичайно, після втрати ключа безпеки майже всі доступи до облікових записів можна буде відновити, але листування з адміністраціями сервісів може зайняти у вас багато часу. Щоб його не втрачати, ми, як офіційні дистриб’ютори компанії-виробника YubiKey в Україні, завжди радимо купувати пару ключів безпеки, один з яких буде зберігатися в надійному місці, наприклад в сейфі. 

Другий апаратний ключ YubiKey, не обов’язково повинен мати такий самий формфактор або бути тієї самої серії, що й основний. Але важливо, щоб ключі підтримували однакові протоколи. Це можуть бути OTP-паролі, FIDO2, FIDO U2F або протокол OATH-TOTP.

Важливо. Наявність запасного ключа виручить у надзвичайних обставинах та збереже дорогоцінний час. 

Реєстрація ключа безпеки YubiKey з протоколами OTP або FIDO

Щоб дізнатися, які саме сервіси підтримують протоколи вибраних вами ключів безпеки, перейдіть на сторінку «Сервіси, сумісні з ключами безпеки YubiKey». 

Якщо ваш ключ безпеки підтримує протоколи OTP¹ або FIDO², то другий ключ потрібно буде зареєструвати³ так само як перший. Але майте на увазі, що ключі ніяк не пов’язані один з одним, бо вони створені таким чином, щоб інформацію, яка міститься на них, не можна було передати чи скопіювати. Тож кожен ключ треба реєструвати окремо, щоб в майбутньому будь-який з них можна було використовувати для автентифікації. 

¹ OTP (One Time Password) — це пароль, що дійсний тільки для одного сеансу автентифікації.

²  FIDO (Fast Identity Online) — це протокол для безпарольної або двофакторної автентифікації. 

³ Для реєстрації ключа безпеки, можна скористатися інструкцією, що є в каталозі. 

Реєстрація ключа безпеки YubiKey з протоколом OATH-TOTP

Якщо обраний вами сервіс чи служба використовує протокол OATH-TOTP⁴, тоді реєструвати другий ключ безпеки треба по-іншому. 

⁴ OATH-TOTP (Time-based One-Time Password Algorithm) — це алгоритм захищеної автентифікації з використанням одноразового пароля.

Коли ви будете реєструвати перший ключ, то отримаєте секрет у вигляді QR-коду. Вам потрібно буде просканувати його та зберегти в надійному сховищі. Цей код знадобиться при реєстрації другого ключа. 

Для цього вам потрібно буде спочатку за допомогою застосунку Yubico Authenticator просканувати QR-код, який був виданий першому ключу безпеки сервісом. Потім отримати QR-код для другого ключа безпеки. Проскануйте його тим же застосунком і таким чином зв’яжіть їх. Після цього ви зможете використовувати для автентифікації будь-який з цих ключів. 

Зверніть увагу: якщо ви не зберегли QR-код, що був наданий вам сервісом чи службою перший раз, то вам доведеться спочатку видалити ключ зі свого облікового запису та розпочати реєстрацію ключів безпеки заново. 

Реєстрація ключа безпеки YubiKey з протоколом Challenge-Response

Для служб, які використовують протоколи Challenge-Response (або «запит-відповідь») або функцію статичного пароля, інструкція реєстрації другого ключа буде схожою з попередньою. Тільки для протоколу Challenge-Response замість QR-коду вам потрібна буде резервна копія секрету, що зашифрована у першому ключі YubiKey. За її допомогою ви будете шифрувати свої дані в запасному ключі. 

Для виконання цих дій вам знадобиться додаток YubiKey-менеджер, який можна завантажити за посиланнями:

• Linux – Ubuntu Завантажити
• Linux – завантаження AppImage  (може знадобитися встановлення пакета pcscd)
• Linux – Завантаження вихідного коду
• Завантажити macOS
• Windows (x64) Завантажити
• Windows (x86) Завантажити

У додатку зайдіть в меню програми -> OTP та здійсніть налаштування.

Для реєстрації запасного ключа з підключеною функцією статичного пароля копія облікових даних не знадобиться. Але тільки за умови, що ваш пароль не перевищує 38 символів. Інакше вам треба буде використати копію параметрів, збережених в облікових даних: публічний ідентифікатор, приватний ідентифікатор та секретний ключ. 

Для налаштування вам буде потрібен інструмент персоналізації YubiKey. Він працює з усіма ключами (крім серій Security Key). Нижче їх можна завантажити за посиланнями.

Завантажити інструмент персоналізації YubiKey v3.1.25:

• Завантажити Linux
• Завантаження для Mac (файл .pkg)
• Завантажити Microsoft Windows

Завантажити інструмент персоналізації YubiKey v1.19.0:

• Завантажити Linux
• Завантажити Mac
• Завантажити 64-розрядну версію Microsoft Windows
• Завантажити 32-розрядну версію Microsoft Windows

У меню додатка знайдіть розділи Статичний пароль > Додатково та виконайте потрібні налаштування. Як і в попередніх випадках, якщо ви раніше не зберігали публічний ідентифікатор, приватний ідентифікатор та секретний ключ, вам доведеться видалити перший ключ з облікового запису та пройти реєстрацію заново.

Якщо ви ще не придбали другий ключ, може вибрати його в нашому інтернет-магазині.