Как добавить запасной ключ безопасности YubiKey и зачем это делать

Аппаратный ключ безопасности YubiKey очень надежен – он устойчив к износу и не теряет свойств при попадании в воду. Но он имеет небольшой размер, так что может случайно потеряться. Также его могут пытаться украсть злоумышленники, если вы часто работаете в людных местах.

Конечно, после потери ключа безопасности почти все доступы к аккаунтам можно будет возобновить, но переписка с администрациями сервисов может занять у вас много времени. Чтобы его не терять, мы как официальные дистрибьюторы компании-производителя YubiKey в Украине всегда советуем покупать пару ключей безопасности, один из которых будет храниться в надежном месте, например в сейфе.

Второй аппаратный ключ YubiKey, не обязательно должен иметь такой же формфактор или быть той же серии, что и основной. Но важно, чтобы ключи поддерживали одинаковые протоколы. Это могут быть OTP-пароли, FIDO2, FIDO U2F или протокол OATH-TOTP.

Важно. Наличие запасного ключа выручит в чрезвычайных обстоятельствах и сохранит драгоценное время.

Регистрация ключа безопасности YubiKey с протоколами OTP или FIDO

Чтобы узнать, какие сервисы поддерживают протоколы выбранных вами ключей безопасности, перейдите на страницу «Сервисы, совместимые с ключами безопасности YubiKey».

Если ваш ключ безопасности поддерживает протоколыOTP¹или FIDO², то второй ключ нужно будет зарегистрировать³ так же, как первый. Но имейте в виду, что ключи никак не связаны друг с другом, потому что они созданы таким образом, чтобы информацию, содержащуюся на них, нельзя было передать или скопировать. Каждый ключ нужно регистрировать отдельно, чтобы в будущем любой из них можно было использовать для аутентификации.

¹ OTP (One Time Password) — это пароль, действительный только для одного сеанса аутентификации.

² FIDO (Fast Identity Online) — это протокол для беспарольной или двухфакторной аутентификации.

³ Для регистрацииключа безопасности, можно воспользоваться инструкцией, предложенной в каталоге.

Регистрация ключа безопасности YubiKey с протоколом OATH-TOTP

Если выбранный сервис или служба использует протокол OATH-TOTP⁴, тогда регистрировать второй ключ безопасности следует по-другому.

⁴ OATH-TOTP (Time-based One-Time Password Algorithm) — это алгоритм защищенной аутентификации с использованием одноразового пароля.

Когда вы будете регистрировать первый ключ, получите секрет в виде QR-кода. Вам нужно будет просканировать его и сохранить в надежном хранилище. Этот код будет необходим при регистрации второго ключа.

Для этого вам нужно будет сначала с помощью приложения Yubico Authenticator просканировать QR-код, выданный первому ключу безопасности сервисом. Затем получить QR-код для второго ключа безопасности. Просканируйте его тем же приложением и таким образом свяжите их. После этого вы сможете использовать для проверки подлинности любой из этих ключей.

Обратите внимание: если вы не сохранили QR-код, предоставленный вам сервисом или службой в первый раз, вам придется сначала удалить ключ из своей учетной записи и начать регистрацию ключей безопасности заново.

Регистрация ключа безопасности YubiKey с протоколом Challenge-Response

Для служб, использующих протоколы Challenge-Response (или «запрос-ответ») или функцию статического пароля, инструкция регистрации второго ключа будет схожа с предыдущей. Только для протокола Challenge-Response вместо QR-кода вам потребуется резервная копия секрета, зашифрованная в первом ключе YubiKey. С ее помощью вы будете шифровать свои данные в запасном ключе.

Для выполнения этих действий вам понадобится приложение YubiKey-менеджер, которое можно скачать по ссылкам:

• Linux – Ubuntu Скачать
• Linux – загрузка AppImage (может потребоваться установка пакета pcscd)
• Linux – Загрузка исходного кода
• Скачать macOS
• Windows (x64) Скачать
• Windows (x86) Скачать

В приложении зайдите в меню програмы -> OTP и выполните настройки.

Для регистрации запасного ключа с подключенной функцией статического пароля копия учетных данных не потребуется. Но только если ваш пароль не превышает 38 символов. Иначе вам нужно будет использовать копию параметров, сохраненных в учетных данных: публичный идентификатор, частный идентификатор и секретный ключ.

Для настройки вам потребуется инструмент персонализации YubiKey. Он работает со всеми ключами (кроме серий Security Key). Ниже можно загрузить по ссылкам.

Загрузить инструмент персонализации YubiKey v3.1.25:

• Скачать Linux
• Загрузка для Mac (файл .pkg)
• Скачать Microsoft Windows

Загрузить инструмент персонализации YubiKey v1.19.0:

• Скачать Linux
• Скачать Mac
• Скачать 64-разрядную версию Microsoft Windows
• Загрузить 32-разрядную версию Microsoft Windows

В меню приложения найдите разделы Статический пароль > Дополнительно и выполните необходимые настройки. Как и в предыдущих случаях, если вы ранее не хранили публичный идентификатор, приватный идентификатор и секретный ключ, вам придется удалить первый ключ из аккаунта и пройти регистрацию заново.

Если вы еще не приобрели второй ключ, можно выбрать его в нашем интернет-магазине.