Cos'è una YubiKey, e potresti averne bisogno?

Come funziona una YubiKey?

In sostanza, la YubiKey è una chiave di sicurezza sviluppata dalla FIDO Alliance e prodotta dall'azienda Yubico. A ciascuna YubiKey è assegnato un codice univoco che, quando il dispositivo viene collegato a un computer, è in grado di autenticare l'identità dell'utente. Oltre alle chiavette USB, esistono anche YubiKey con tecnologia NFC che vengono usate per l'autenticazione sui dispositivi mobili.

Le YubiKey utilizzano chiavi crittografiche per autenticare i tentativi di accesso. Supportano una serie di protocolli MFA, come passkey, password monouso e Universal 2nd Factor (U2F), e aiutano a proteggere gli utenti da attacchi "man in the middle" avanzati, nei quali i criminali informatici tentano di intercettare l'autenticazione a due fattori.

Come configurare una YubiKey

A differenza di quanto avviene con le password tradizionali, i possessori di YubiKey non hanno la necessità di ricordare un codice separato per autorizzare un tentativo di login: la YubiKey, infatti, funziona semplicemente collegandola o appoggiandola a un dispositivo, e all'utente basta premere un pulsante per attivarla. In maniera analoga, per configurare la YubiKey come dispositivo di autenticazione, l'utente deve solo selezionarla come l'opzione preferita nelle impostazioni di sicurezza del proprio account.

Quali servizi e applicazioni sono compatibili con le YubiKey?

Pur non essendo il metodo a due fattori più diffuso, l'autenticazione tramite YubiKey è ampiamente disponibile sia per l'uso privato che nei contesti aziendali; può essere utilizzata per autenticare i tentativi di accesso a siti web, applicazioni e database.

Gli utenti comuni possono affidarsi alle YubiKey per autenticare i tentativi di login ai loro profili social e caselle e-mail, nonché per accedere a dati sensibili come informazioni bancarie o documenti sanitari personali. Servizi come Microsoft e Google non si limitano a supportare l'autenticazione tramite YubiKey: i colossi tecnologici a cui fanno capo hanno infatti contribuito allo sviluppo della chiave a livello generale.

Le YubiKey possono lavorare in sinergia coi gestori di password. La chiave può essere usata per aggiungere un ulteriore livello di sicurezza a un gestore di password, mentre le credenziali generate attraverso quest'ultimo possono rafforzare la prima linea di difesa degli account dell'utente.

La popolarità delle YubiKey è in ascesa e, nel settore, si registra un aumento dei loro casi d'uso; queste chiavi di sicurezza sono già diventate lo strumento d'elezione per molte aziende che cercano pratiche di sicurezza avanzate per i propri dipendenti. Le aziende FAANG (Facebook, Amazon, Apple, Netflix e Google) stanno fornendo YubiKey personali ai dipendenti per le autorizzazioni in ambito lavorativo, per garantire che tutte le informazioni riservate risultino accessibili solo agli utenti verificati.

La YubiKey migliora inoltre la flessibilità del lavoro da remoto o in modalità ibrida: con uno di questi dispositivi, un dipendente può accedere con facilità a database e account di lavoro ovunque nel mondo, senza rischiare l'esposizione non autorizzata dei dati. Dal momento che le YubiKey non hanno bisogno di alcun tipo di connessione per funzionare, gli hacker non possono violarle come invece fanno con le reti Wi-Fi aperte.

Quali sono i vantaggi dell'autenticazione tramite YubiKey?

La YubiKey è considerata uno dei metodi di autenticazione multifattoriale più sicuri; la sua compatibilità con dispositivi mobili e computer la rende inoltre un'opzione flessibile sia per i privati che per gli utenti aziendali. La versione USB è compatibile con le comuni porte di cui sono provvisti i dispositivi, come USB-C o Lightning, e la maggior parte dei moderni computer portatili è dotata di un apposito dock per la chiave di sicurezza.

La YubiKey ha una struttura solida, resistente all'acqua e agli urti, che la rende un investimento per la sicurezza affidabile e di lunga durata. Non richiede alcuna applicazione di terze parti per funzionare, anche se in alcuni casi è possibile usare applicazioni aggiuntive per personalizzare le configurazioni.

Ogni volta che accedi a un account che utilizza l'autenticazione YubiKey, la chiave è in grado di rilevare la legittimità del sito web; convalida il tentativo di accesso solo se il sito corrisponde al link originale. In questo modo, ti impedisce di accedere inavvertitamente a un sito contraffatto e di rivelare così le tue credenziali ai criminali informatici.

Se scegli una YubiKey come strumento di autenticazione, c'è un'importante avvertenza: a causa delle sue dimensioni ridotte, il dispositivo potrebbe essere smarrito con facilità. Di conseguenza, se ti affidi a una YubiKey per autenticarti, conservala sempre in un luogo sicuro. Il produttore Yubico consiglia ufficialmente agli utenti di munirsi di un dispositivo YubiKey di riserva, che può essere attivato in caso di smarrimento o furto della chiave principale.

Anche nel malaugurato caso in cui dovessi perdere il dispositivo YubiKey, non c'è alcun pericolo che le tue informazioni personali possano essere violate: la chiave di sicurezza, infatti, non funge da dispositivo di archiviazione. Se qualcuno ti rubasse la YubiKey, non potrà comunque accedere ai tuoi account se non ne conosce le password.

YubiKey e altri metodi di autenticazione: quali sono le differenze?

La YubiKey è una delle diverse alternative usate da privati e aziende come passaggio successivo dell'autenticazione a più fattori. Vediamo cosa emerge dal confronto tra l'autenticazione YubiKey e altri metodi come passkey, applicazioni di terze parti e codici inviati tramite SMS.

Passkey

Quando si parla di MFA, capita spesso che le passkey vengano citate insieme alle YubiKey. Entrambi i metodi di autenticazione sono stati creati dalla FIDO Alliance e ricadono nell'ambito del sistema FIDO2. Sia le passkey che le YubiKey offrono una soluzione senza password per l'autenticazione e la protezione degli account; inoltre, naturalmente, entrambe sono codificate in modo univoco.

La differenza principale tra le passkey e le YubiKey consiste nell'hardware. Le passkey utilizzano una combinazione di verifica biometrica e chiavi crittografiche; il processo è convalidato con un telefono cellulare, un tablet o un computer. Le passkey possono anche essere memorizzate in gestori di password di terze parti, come NordPass, e sincronizzate su diversi dispositivi per una maggiore comodità di utilizzo.

Anche le YubiKey fungono da sistemi per memorizzare le passkey, sebbene presentino dei limiti in termini di archiviazione: non è possibile replicare o trasferire i codici YubiKey su un altro dispositivo, il che rende questa soluzione meno flessibile rispetto alle passkey.

La scelta di usare le passkey oppure una YubiKey dipende dalle preferenze dell'utente. Entrambi i metodi seguono il protocollo FIDO2, pertanto si tratta di robusti sistemi di autenticazione per privati e aziende.

App di autenticazione

Le app di autenticazione sono un altro metodo diffuso per implementare l'MFA. Applicazioni come Google Authenticator o l'Autenticatore NordPass integrato consentono agli utenti di generare password monouso a tempo (TOTP) sui propri dispositivi ogni volta che accedono a un sito o un'app. I codici generati dalle app di autenticazione sono di solito brevi (contengono in media 6 caratteri) e si resettano dopo un periodo di tempo prestabilito, in genere compreso tra 15 e 60 secondi.

All'inizio le YubiKey vennero realizzate per generare password monouso (OTP) di 44 caratteri, univoche ed estremamente complesse, per l'autenticazione degli account; tuttavia, con la progressiva evoluzione della tecnologia YubiKey, sono diventate strumenti per l'autenticazione senza password. Sebbene sia ancora possibile generare OTP usando un dispositivo YubiKey, attualmente è WebAuthn il metodo di autenticazione preferito.

Le chiavi di autenticazione e i codici OTP di YubiKey offrono all'incirca lo stesso livello di praticità; richiedono un unico dispositivo per generare i codici e garantire l'accesso istantaneo. Tuttavia, trattandosi di un dispositivo hardware, una YubiKey è più resistente ai tentativi di violazione, mentre le app di autenticazione di terze parti possono essere vulnerabili nei confronti di attacchi informatici o tentativi di phishing.

Supponiamo, ad esempio, che un truffatore contatti un utente e cerchi di estorcergli il codice di autenticazione per violare un suo account. Dopo aver appurato che il metodo di autenticazione richiesto è un'applicazione, il criminale sarà più propenso a proseguire nel suo attacco: dopotutto, è più semplice indurre un utente a rivelare un codice con 6 cifre rispetto a uno che ne contiene 44.

La reimpostazione a tempo del codice rende più affidabili le app di autenticazione, dal momento che il timer rappresenta un ostacolo per i criminali informatici. L'autenticatore YubiKey velocizza ulteriormente la procedura inserendo in automatico il codice di autenticazione mentre premi il pulsante sulla chiave, evitandoti così la trafila di digitare tutti e 44 i caratteri.

Autenticazione 2FA basata su SMS

Benché l'autenticazione basata su SMS sia considerata uno dei metodi più deboli, rimane molto diffusa per via della sua facilità d'uso. Per configurare l'autenticazione tramite SMS l'utente inserisce il suo numero di cellulare, sul quale poi riceverà una password monouso ogni volta che effettua un accesso.

Rispetto all'autenticazione tramite YubiKey, l'utilizzo dei messaggi di testo è più rischioso: esistono infatti tattiche molto diffuse di ingegneria sociale, come lo swapping di SMS e lo spoofing del telefono, il cui obiettivo è acquisire il codice di autenticazione inviato al tuo numero. In un caso i criminali informatici telefonano alle loro vittime, fingendo di essere dei rappresentanti di un servizio legittimo e richiedendo il codice SMS per la verifica. Nell'altro tipo di attacco gli hacker chiamano il fornitore di servizi telefonici della loro vittima, impersonandone l'identità per riuscire ad accedere al suo numero.

I malintenzionati non hanno alcun modo di prendere il controllo di una YubiKey da remoto: è infatti un dispositivo offline che non richiede una connessione internet o di rete mobile. La semplicità dell'autenticazione, che non richiede di rivelare o inserire una password monouso, garantisce che gli account dell'utente siano più resistenti agli attacchi di phishing.

La YubiKey è anche in grado di proteggere le tue app di messaggistica dall'interno; può essere collegata al telefono tramite la porta USB o la connessione NFC per autenticare i tentativi di accesso a questi servizi. Se inoltre dovessi cambiare numero di telefono, ti evita la seccatura di dover aggiornare tutti i tuoi account per i quali è attivata l'autenticazione tramite SMS.

Combinare la tua YubiKey con NordPass

Proteggere al meglio i tuoi account è un imperativo, sia in ambito privato che professionale. Combinando NordPass con una YubiKey, potrai rafforzare in modo semplice la sicurezza senza complicarti la vita.

NordPass è un gestore di password sicuro che consente di generare credenziali complesse e univoche, nonché di memorizzare e gestire le passkey per tutti i tuoi account. Utilizza un'architettura a conoscenza zero e la crittografia avanzata XChaCha20 per proteggere i tuoi dati sensibili e conservare tutte le credenziali in una cassaforte sicura, a cui è possibile accedere solo con la tua autorizzazione.

In qualità di membro della FIDO Alliance, NordPass comprende bene il ruolo che l'autenticazione senza password giocherà nel prossimo futuro. Non hai più accesso alla tua YubiKey? Non c'è problema: cambia il tuo metodo di autenticazione preferito scegliendo di usare un'app di autenticazione. Fatto ciò, potrai utilizzare l'Autenticatore NordPass per generare codici monouso insieme alle tue password. Puoi anche usare la YubiKey con il tuo Nord Account, per mettere la sicurezza digitale al primo posto.

FAQ