OTP-паролі на YubiKey — як це працює

На відміну від статичного пароля одноразовий надає більшу безпеку — якщо зловмисник навіть перехопить його, може не встигнути скористатися. OTP-паролі створюються завдяки алгоритму випадкових чисел, тож здогадатися, яка послідовність випаде наступного разу шахрай не зможе. І це теж перевага OTP-паролів. 

Звичайно, чим довший пароль, тим, з одного боку, зловмиснику складніше його підібрати, але й, з іншого боку, звичайному користувачеві складніше запам’ятати та вчасно ввести пароль вручну. Тож в цьому питанні на допомогу людині приходять технології. Ключі YubiKey — одна з найбільш ефективних, тож розглянемо, як вони працюють.

Як працюють OTP-паролі з YubiKey

Серії ключів безпеки YubiKey 5 та YubiKey FIPS підтримують декілька протоколів OTP, це:

Yubico OTP — 128-бітний пароль, що складається з 44 символів; 12 з них є незмінними, вони служать ідентифікатором самого пристрою YubiKey. Такий пароль майже неможливо підробити. Нижче приклад такого пароля, викликаного тричі.

• OATH-HOTP та OATH-TOTP — це 6–8 значні одноразові паролі, які змінюються протягом 30 секунд. У кодах TOTP код генерується за допомогою хешу HMAC(sharedSecret, timestamp), де позначка часу змінюється кожні 30 секунд. Спільний секрет часто надається як QR-код або є попередньо запрограмованим в апаратному маркері. А у кодах HOTP замість позначки часу використовується лічильник автентифікації. Тож при налаштуванні цієї функції важливо простежити, щоб лічильник часу на пристрої був налаштований на точний час. 

• Переваги використання OTP на YubiKey

  • Секрети завжди залишаються на ключах YubiKey. Зчитати з них інформацію неможливо. А з телефону чи комп’ютера, у разі зламу і запуску шпигунського програмного забезпечення, інформацію може бути зчитано. 
  • Ключі не вимагають підзарядки на відміну від телефону, який дуже часто використовують для двофакторної автентифікації. Тож навіть, якщо ви забудете підзарядку, то зможете потрапити до своїх акаунтів будь-де за допомогою апаратних пристроїв.

  ОТР, що викликаються дотиком на комп’ютері

  Якщо налагодити функцію OTP-паролів на YubiKey таким чином, щоб вона викликалася дотиком, то процес авторизації виглядатиме так:

  • на запит сервера треба вставити ключ в USB-роз’єм;
  • поставити курсор миші в текстове поле;
  • торкнутися металевої частини золотого кольору і ключ автоматично передасть OTP-пароль.

  ОТР, що викликаються дотиком на мобільному пристрої

  Оскільки на мобільному пристрої є функція NFC, то процес автентифікації трохи відрізняється — треба піднести ключ до задньої частини телефону, торкнутися екрану там, де має бути введено пароль. Також ключ може підключатися до мобільного пристрою за допомогою відповідного інтерфейсу: USB-C або Lightning.

  Як налаштувати OATH-HOTP та OATH-TOTP

  Налаштувати функцію одноразового пароля на YubiKey можна двома методами:

  • налаштувати на виклик дотиком OTP-паролів за допомогою Менеджера YubiKey (рекомендовано) або інструментів CLI (для цього потрібен відповідний досвід розробника);
  • використовуючи додаток — автентифікатор Yubico (інструкція).

  Завдяки інтуїтивно зрозумілому інтерфейсу, ви можете швидко налаштувати відповідні функції та використовувати апаратні пристрої в повному обсязі, щоб підвищити безпеку ваших облікових записів і захиститися від фішингу. 

  Якщо ви не знаєте, який ключ YubiKey найкраще відповідатиме вашим побажанням, рекомендуємо пройти швидкий тест.

Схожі матеріали в Базі Знань