YubiKey BIO tokeny a předobjednávky
Tato dvojice BIO tokenů nabízí FIDO2/WebAuthn a FIDO U2F protokol, proto jsou také označeny jako Fido Edition. Tokeny ocení zejména firmy a korporace s adaptovaným cloudovým prostředím, které chtějí zavést nejbezpečnější bezheslové (tzv. passwordless) přihlašování svých zaměstnanců na stolních počítačích a laptopech a zároveň eliminovat nutnost zadávat PIN.
Rekapitulace bezheslového přihlašování
Možná se ptáte, co je výhoda na bezheslovém příhlašování, když stejně musíte zadávat PIN? Trik je v tom, že onen PIN je uložen v tokenu, nikoliv u poskytovatele služby, do které se přihlašujete a je to takový defacto zámek k vašemu tokenu. Když ho zadáte správně, token se poté rozpovídá se službou, do které chcete přístup. Pokud PIN změníte, službě je to úplně jedno. Heslo naproti tomu je drženo vždy na straně služby, takže když heslo zapomenete, musíte si zažádat o jeho změnu, heslo si musíte nastavovat u každé služby zvlášť a to jsou přesně ty aspekty zranitelnosti přihlašovacích procesů s heslem.
Bezheslové přihlašování s biometrikou
Čili do této doby se bezheslové přihlašování s PINem odehrávalo následovně:
- zadáte/vyberete uživatelské jméno
- vložíte token do USB portu
- zadáte 4 až X místný PIN a potvrdíte na obrazovce tlačítkem OK (token se odemkne)
- stisknete zlaté kolečko (token zakomunikuje se službou)
- zadáte/vyberete uživatelské jméno
- vložíte BIO token do USB portu
- stisknete prstem senzor otisku prstu (token se odemkne a zakomunikuje se službou)
Z výše uvedeného vyplývá výhoda přenositelnosti biometrického přihlašování, např. pokud budete mít 3 různé počítače nebo notebooky, není potřeba na každém z nich biometrické přihlašování konfigurovat a spravovat zvlášť, ale vystačíte si s jedním YubiKey BIO tokenem (plus ideálně jedním záložním tokenem pro případ ztráty primárního tokenu - jako záložní token lze zvolit i Security Key NFC). To je rozdíl oproti Windows Hello, které je spjaté vždy s konkrétním PC/laptopem.
Kde všude na desktopu a laptopu využít BIO tokeny?
- služby podporující FIDO2, tj. bezheslové přihlašování obecně (Windows Azure AD, Microsoft 365, Okta, Google account, ...)
- služby podporující U2F (například GMail)
- prostředí, kde jsou zakázané mobilní telefony (například call centra)
- sdílené pracovní stanice a kiosky (například nemocnice)
Podporované platformy
- Windows 10 1809+
- macOS Catalina, macOS Big Sur
- Ubuntu Linux 1804+
- Chrome OS 90+
- Chrome 90+
- Edge 90+
Management otisků v tokenu
- Do tokenu si můžete uložit až 5 otisků (hashů).
- Pokud budete chtít přidávat nové otisky, musíte zadat PIN
- Pokud se 1-10x nepodaří autentizace pomocí otisku, budete muset zadat PIN (počet pokusů lze konfigurovat)
- Správa otisků ve Windows
- Správa otisků v MacOS
- Správa otisků v Yubico Authenticatoru
Bezpečnost
Korporace a instituce vyžadující maximální bezpečnost jistě potěší fakt, že tokeny jsou vyráběny v USA a Švédsku a výrobce Yubico má pod kontrolou celý výrobní řetězec produktu. Není tak sestaven z neprověřených komponent z Číny, jako některé jiné produkty na trhu disponující navíc pouze dílčí funkcionalitou.
V tokenu nejsou uloženy přímo vaše otisky, nýbrž jejich hashe, které na porovnání stačí, ale ze kterých se původní otisk odvodit nedá.
Jak objednat?
Než budou BIO tokeny skladem v našem eshopu, můžete si mezitím založit předobjednávku a vyhnout se tak situaci, kdy budete muset čekat na další dodávku. Kontaktujte nás v případě zájmu. Děkujeme.