in

Revisión de Nitrokey FIDO2 | PCMag

05JDy1gt9PGjqOyMkZnvCoK 1.1633717877.fit lim.size 1200x630

Para cierto tipo de persona, solo el código abierto es suficiente. Si eso le suena a usted, entonces el Nitrokey FIDO2 de € 29 ($ 33.52, en el momento de escribir este artículo) es una opción preferida en el mundo de las claves de seguridad de autenticación multifactor (MFA). Pequeño, alemán, asequible y compatible con los últimos estándares MFA, ayuda a proteger sus inicios de sesión contra ataques y se basa en tecnología de código abierto probada y comprobada. Sin embargo, el uso de Nitrokey FIDO2 con dispositivos móviles requerirá un dongle y carece de las impresionantes funciones de cifrado que se encuentran en otros dispositivos Nitrokey. Como dispositivo de nivel de entrada, el Nitrokey FIDO2 es una opción sólida, pero el ganador de Editors ‘Choice, Yubikey 5C NFC, incluye comunicación inalámbrica y capacidades MFA adicionales en un paquete elegante.

¿Qué es la autenticación multifactor?

La autenticación multifactor (a veces denominada autenticación de dos factores o 2FA) es un método para verificar su identidad utilizando dos factores de una lista de tres opciones:

  • Algo que tu sabes

  • Algo que tienes, y

  • Algo que eres.

Algo que sabe sería una contraseña o un PIN. Algo que sería una lectura biométrica, piense en un escaneo de huellas dactilares o un reconocimiento facial. Algo que tiene sería una llave de seguridad de hardware, como Nitrokey FIDO2, o un código de seguridad generado por una aplicación.

Las contraseñas son lamentablemente inseguras, pero cuando agrega factores adicionales, reduce la probabilidad de una toma de control de la cuenta. Si un delincuente obtiene su contraseña de una de las numerosas violaciones de datos de la última década, aún no podrá acceder a su cuenta porque no tendrá los otros factores necesarios. Google demostró que este enfoque funciona cuando las adquisiciones de cuentas desaparecieron de manera efectiva después de que requiriera que los empleados usaran MFA. Ahora, la empresa está preparada para inscribir a millones en MFA automáticamente.

Las llaves de seguridad tienen la ventaja de no requerir energía ni conexión de red, no dependen de mensajes que puedan ser interceptados y son más difíciles de atacar que los dispositivos móviles o las computadoras. Pero también debe mantener una higiene de seguridad adecuada en otros lugares. Las contraseñas débiles y el malware también se aprovechan para hacerse cargo de las cuentas, por lo que recomendamos encarecidamente a los lectores que utilicen un administrador de contraseñas y un software antivirus independiente.

¿Qué hay de nuevo con Nitrokey FIDO2?

Como la mayoría de las cosas con el número «2» en el nombre, el Nitrokey FIDO2 es una secuela. El Nitrokey FIDO U2F original, y ahora obsoleto, solo admitía el estándar de autenticación FIDO U2F. El Nitrokey FIDO2, por otro lado, es compatible con los últimos estándares FIDO2 y WebAuthn, además de CTAP1 / CTAP2. También es compatible con versiones anteriores de cualquier sitio que aún admita solo el estándar FIDO U2F.

Son muchas letras, pero el resultado práctico es que Nitrokey FIDO2 debería funcionar en cualquier lugar que acepte claves de seguridad de hardware. Incluso puede funcionar para entornos de inicio de sesión sin contraseña, como los servicios de Microsoft.

El Nitrokey FIDO2 en una mano con agua de fondo

(Foto: Max Eddy)

El Nitrokey FIDO2 no tiene sensores biométricos. Varias llaves de seguridad en el mercado pueden usar escaneos de huellas digitales para verificar que usted es el propietario de la llave, como la llave de huellas digitales Kensington VeriMark Guard USB-C de $ 69.99. Sin embargo, la compatibilidad con la autenticación biométrica sigue siendo poco común, por lo que no es una gran pérdida.

Si bien Nitrokey FIDO2 funciona con casi todos los sitios y servicios que admiten claves de seguridad, sigue siendo en gran medida un modelo básico. Los dispositivos de gama alta (y más costosos) como el YubiKey 5 NFC de $ 45 pueden cumplir una variedad de otras funciones, desde almacenar claves PGP hasta funcionar como una tarjeta inteligente (también llamada tarjeta PIV) y más.

Incluso entre otros productos de Nitrokey, el Nitrokey FIDO2 es un poco extraño. Es el único producto Nitrokey que funciona como dispositivo MFA. Nitrokey Start (29 €), Pro 2 (49 €) y Storage 2 (a partir de 109 €) no son compatibles con FIDO2 / U2F, pero pueden almacenar contraseñas, contraseñas de un solo uso (OTP), claves de cifrado e incluso datos cifrados.

Código abierto, mente abierta

El aspecto más atractivo del Nitrokey FIDO2 es que está construido con hardware y firmware de código abierto. Eso significa que los investigadores pueden elegir su código y diseño para detectar posibles vulnerabilidades. El código abierto también es una especie de ética. Algunas personas creen que la tecnología patentada es amoral y hace que el mundo sea menos seguro.

La compañía explica su devoción por la tecnología de código abierto explícitamente como una característica de seguridad:

«Mientras los sistemas de TI sean propietarios, las puertas traseras pueden pasar desapercibidas durante mucho tiempo. Es por eso que en Nitrokey nos enfocamos en el código abierto y ponemos nuestros desarrollos de software y hardware a disposición del público. Esto permite a nuestros usuarios y a terceros independientes para comprobar y auditar la seguridad de los productos Nitrokey «.

Una empresa de la competencia, Solo Keys, también cuenta con hardware y firmware de código abierto. Yubico, mientras tanto, tiene proyectos de código abierto, pero se basa en componentes y firmware patentados. La compañía explicó su posición en una publicación de blog.

El Nitrokey FIDO2 en madera

(Foto: Max Eddy)

Nitrokey tiene su sede en Teltow, Alemania, y también fabrica sus productos en Alemania. La empresa ve esta configuración como un beneficio de seguridad adicional porque puede mantener un mayor control sobre su cadena de suministro. Asimismo, Yubico señala que sus productos se fabrican en Estados Unidos y Suecia. Feitian, otra empresa que produce varias claves de seguridad, tiene su sede en China; Google consideró a Feitan lo suficientemente confiable como para ser su socio a largo plazo en la fabricación de llaves de seguridad Titan.

Más duro de lo que parece

En su diseño físico, el Nitrokey FIDO2 es idéntico a su predecesor y al resto de la línea de productos Nitrokey. Hecho de plástico negro texturizado y afilado a una ranura para llavero, el Nitrokey me recuerda a la primera unidad flash USB que tuve (marca Dell, 16 Mb, alrededor de 2003). Un LED indicador tricolor acecha dentro y solo es visible cuando está iluminado, lo cual es un buen truco.

Con 1,89 por 0,75 por 0,28 pulgadas (HWD) y un peso de solo 0,18 onzas, el Nitrokey FIDO2 se siente preocupantemente ligero y hueco en la mano. Pero es más resistente de lo que parece; Lo retorcí cruelmente hacia adelante y hacia atrás, y aunque gimió, no se movió. La mayoría de las otras llaves de seguridad tienen un sensor de toque visible, a menudo hecho de un material diferente. La zona de toque del Nitrokey está marcada solo con pintura, que es elegante en un sentido, pero a veces me deja preguntándome si estaba acertando.

El Nitrokey FIDO2 en papel cuadriculado

(Foto: Max Eddy)

El Nitrokey FIDO2 es inusual porque tiene un conector USB-A de tamaño completo, completo con protector de metal. Esto asegura una conexión sólida y ayuda a proteger el dispositivo de daños, pero es un valor atípico en lo que respecta a la competencia. La mayoría prefiere un conector USB-A sin blindaje y un diseño más delgado, que yo prefiero. Sin embargo, USB-C es más compatible con computadoras y dispositivos móviles modernos.

Para mayor protección, el Nitrokey FIDO2 viene con una tapa de plástico para cubrir el conector USB. La fricción sujeta la tapa con fuerza, pero debe dejarla a un lado cada vez que use el Nitrokey. Es casi seguro que está condenado a perderse en unos días. Kensington incluye sabiamente un pequeño cable en la caja para conectar la tapa con la llave VeriMark Guard USB-C.

Una fábula de firmware rápido

Mi viaje con el Nitrokey FIDO2 comenzó en el invierno de 2019 cuando la compañía me envió el dispositivo por primera vez. Entonces, sucedió COVID-19. Los laboratorios de PCMag se quedaron en silencio y el Nitrokey se sentó con tristeza en el cajón de mi escritorio junto con mis otras chucherías de oficina hasta hace unas semanas cuando lo recuperé de la revisión de productos Limbo.

Dado cuánto tiempo había estado acumulando polvo, le pregunté a Nitrokey si la clave era la misma que la de los FIDO2 actualmente a la venta. Un representante de la empresa me dijo que era el mismo hardware y que todo lo que tenía que hacer era ir a un sitio web especial donde podría actualizar al firmware más reciente. El proceso tomó solo unos segundos.

La capacidad de actualizar el firmware para computadoras e incluso dispositivos de IoT es generalmente algo bueno. De hecho, el principal beneficio de los productos de código abierto es que sus vulnerabilidades se pueden encontrar y corregir rápidamente. El competidor Yubico, sin embargo, argumenta todo lo contrario. Esa empresa ve las actualizaciones de firmware como una vulnerabilidad potencial. Sus dispositivos están completamente bloqueados.

Nitrokey FIDO2 sobre musgo

(Foto: Max Eddy)

Nitrokey no se queda atrás cuando se trata de mejorar la seguridad. Su firmware está firmado digitalmente, lo que significa que la clave solo acepta actualizaciones firmadas criptográficamente por Nitrokey. Un representante de la empresa también me dice que sus dispositivos no se pueden degradar a versiones de firmware más antiguas y potencialmente menos seguras. Dicho esto, el ataque SolarWinds fue tan devastador precisamente porque los atacantes pudieron firmar su código de actualización falso y malicioso con la clave criptográfica real de esa compañía.

Prefiero el enfoque de Yubico de no proporcionar actualizaciones de firmware. Parte del objetivo de una llave de seguridad, en mi opinión, es que está aislada de ataques externos. Sin embargo, si compra algo por su credibilidad de código abierto, probablemente desee esas actualizaciones de firmware.

Manos a la obra con el Nitrokey FIDO2

Para probar el Nitrokey FIDO2, fui a Twitter y lo inscribí como mi clave de seguridad. Luego me desconecté y volví a iniciar sesión en una variedad de dispositivos y navegadores. Lo hice con éxito con Firefox y Chrome en máquinas con Windows 10 y macOS. A veces, un toque rápido fue suficiente para autenticarme, pero otras veces tuve que tocar y mantener mi dedo en Nitrokey para autenticarme.

En particular, el Nitrokey FIDO2 no es compatible con NFC, lo cual es un problema si desea usarlo con dispositivos móviles, especialmente iPhones. El YubiKey 5Ci de $ 70 prescinde de NFC mediante el uso de un diseño extraño de dos cabezas que es compatible con conectores Lightning y USB-C. Con USB-C y NFC, el ganador de Editors ‘Choice, YubiKey 5C NFC, funciona con casi todos los dispositivos del mercado, pero es un poco más exclusivo a $ 55. Incluso la llave de seguridad NFC de $ 24.50 se comunica de forma inalámbrica. En mis pruebas, inicié sesión con éxito en la aplicación de Twitter en mi Pixel 3a usando Nitrokey FIDO2 y una llave USB-C, lo que podría evitar el problema.

Nitrokey FIDO2 en una placa azul

(Foto: Max Eddy)

Una de las características interesantes de los estándares FIDO2 / WebAuthn es su soporte para inicios de sesión sin contraseña. Para probar esto con Nitrokey FIDO2, lo inscribí con mi cuenta de Microsoft a través del portal web de esa compañía. Después de registrar la clave, Microsoft me pidió que agregara un PIN. Al iniciar sesión de nuevo más tarde, hice clic en la opción de letra pequeña para iniciar sesión sin contraseña con una clave de seguridad. Después de tocar Nitrokey e ingresar mi PIN, estaba dentro. Fácil.

Seguridad mejorada con nitro

Las llaves de seguridad son el método más fuerte para la autenticación multifactor y Nitrokey FIDO2 aporta mucho a la mesa. Es económico y admite los estándares más nuevos, lo que significa que funciona con cualquier sitio o servicio que acepte claves MFA. El Nitrokey FIDO2 también funciona bien en contextos sin contraseña, lo que le brinda una ventaja sobre el futuro de la autenticación. Con su buena fe de código abierto, puede estar seguro de que este dispositivo es seguro contra ataques.

Si planea usar el Nitrokey FIDO2 con un dispositivo móvil, necesitará un dongle ya que carece de NFC. Esto afecta su propuesta de valor porque la clave de seguridad NFC cuesta un poco menos. El Nitrokey FIDO2 tampoco es compatible con la biometría o las funciones avanzadas de otros productos Nitrokey.

Comprar productos de código abierto suele ser un esfuerzo de conciencia …

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

dslr

DSLR de formato completo – javatpoint

cbi11

CBI Full Form – javatpoint