Proteja sua vida e seus negócios no universo digital.
Use 2 Yubico Key para aumentar a segurança em suas contas on-line
Conheça a Yubico Key e aumente sua segurança on-line.
Por Marcos Oliveira Junqueira 
Sumário
- 1. Introdução
- 2. Mas como a Yubico Key pode me proteger do phishing aumentando minha segurança on-line?
- 3. Quais os tipos de chave existem?
- 4. Como ficar seguro usando uma Yubikey? Uma não, duas!
- 5. Conclusão
1. Introdução
Nos últimos anos, temos notado um aumento no número de invasões de contas on-line, tais como Instagram, Facebook, Google, YouTube, e diversas outras. Na grande maioria das vezes, o hacker engana o usuário (phishing), induzindo-o a fornecer códigos de duplo fator de autenticação, enviados via SMS, como confirmação para algum sorteio ou prêmio, e o usuário, de olho no prêmio, acaba permitindo o acesso indevido sem se dar conta disso (veja como Hackeamos o Hacker que fez isso com minha esposa).
Além desse tipo de ataque, os criminosos podem obter dados vazados na internet por meio da darkweb, usar engenharia social para tentar descobrir alguma informação que pode ser útil em algum ataque ou mesmo usar alguma brecha comum do sistema.
Como a cada dia estamos mais e mais conectados, devemos cada vez mais nos preocupar com a segurança das nossas informações. E como estamos conectados, nossas informações na internet são uma extensão da nossa vida e da vida de nossas famílias e devemos protegê-las do mesmo modo.
Então, se você pode ter uma arma para se proteger dos hackers e pode obter treinamento para usá-la, por que você não usaria? Essa arma é a YubiKey.
2. Mas como a Yubico Key pode me proteger do phishing aumentando minha segurança on-line?
A YubiKey é uma chave de segurança USB e NFC mais difundida no mundo que funciona com diversos serviços e aplicativos on-line. Nomes de usuário e senhas não são suficientemente seguros para proteger suas contas, para se proteger você deve usar duplo fator de autenticação sempre que possível. Você pode usá-la como forma de autenticação de dois fatores muito facilmente.
Com ela o risco de você sofrer um ataque de phishing é muito reduzido. É uma chave portátil e fácil de configurar, além de não precisar de bateria ou internet. É certificada pela FIDO e funciona com o Google Chrome ou qualquer aplicativo compatível com FIDO no Windows, Mac OS ou Linux. Depois de registrado, cada serviço simplesmente pede que você insira e toque no circulo dourado da chave para obter acesso durante o login.
É recomendável que tenha pelo menos 2 chaves, sendo a segunda um backup caso perca a chave principal. Para isso você deve replicar a configuração da chave em todas as contas que utilizar.
3. Quais os tipos de chave existem?
São diversos tipos de chaves de diversos fabricantes, mas vamos focar nos 2 principais tipos de chaves da Yubico.
3.1. Security Key Series
É a chave mais básica que recomendo para iniciantes, devido ao seu menor valor, cerca de R$ 270,00. Essa gama é composta de 2 modelos com NFC, sendo um com conexão USB-A e outro com conexão USB-C. Se seu celular não tem NFC, mas tem conexão USB-C e seu computador também tem conexão USB-C, use esse modelo. Mas se seu celular tiver NFC, qualquer modelo atenderá.
3.2. YubiKey Série 5 (YubiKey 5 Series)
É um modelo mais completo e com suporte a diversos protocolos de segurança, tais como:
- FIDO2 – Baseia-se em criptografia de chave-pública para uma autenticação mais segura do que senhas e códigos enviados por SMS.
- U2F – Padrão de autenticação aberta criado pelo Google e pela Yubico. Hoje é hospedados pela FIDO Alliance.
- Smart card – Hardware capaz de gerar e armazenar as chaves criptográficas que irão compor os certificados digitais.
- OTP – Senha de uso único. Mais conhecido por aplicativos de geração de códigos de verificação de duas etapas como o Google Authenticator, Microsoft Authenticator e o meu preferido Yubico Authenticator.
- OpenPGP 3 – Padrão aberto para assinatura e criptografia. Permite operações de assinatura/criptografia RSA ou ECC usando chave privada armazenada em um smartcard. Padrão de fato para criptografia de e-mail.
Por ser uma chave de segurança multi-protocolo, permite uma segurança forte para ambientes legados e modernos. Antigamente estava custando R$ 500,00, mas agora está por menos de R$ 400,00 e vale muito a pena.
Essa é a minha chave de segurança favorita, pois atende a todos os sistemas on-line que uso, principalmente pelo suporte OTP. Ao usar em conjunto com Yubico Authenticator, salva o dados no hardware, evitando problemas de perda ou troca de celular. O Yubico Authenticator pode ser usado também no computador e irá ler todas as chaves que estiverem configuradas no hardware. Com isso resolvemos o problema citado no artigo onde Hackeamos o Hacker.
4. Como ficar seguro usando uma Yubikey? Uma não, duas!
Pra começo de conversa, adicionar uma chave de segurança à suas contas vai te deixar muito seguro, porém o recomendável é que tenha 2 chaves, sendo uma de backup caso perca a outra.
4.1. Programa de Proteção Avançada da conta Google
A sua conta Google, no menu de segurança, caso você atenda aos requisitos, pode ter a opção para participar do Programa de Proteção Avançada do Google.
Esse programa é recomendado para pessoas que têm arquivos confidenciais ou informações valiosas na Conta do Google (praticamente qualquer pessoa).
Para ativar o programa, você precisa adicionar ou atualizar o e-mail e o telefone de recuperação para que seu acesso não seja bloqueado pela segurança de login reforçada do programa. Você também precisa ativar o login com a verificação em duas etapas usando chaves de segurança física, as nossas Yubikey Série 5 ou Yubico Security Key Series.
Para iniciar, certifique-se de possuir as chaves de segurança, você pode usar 2 chaves do mesmo tipo ou de tipos diferentes.
De posse das suas chaves e segurança, registre-as clicando em adicionar chave principal e chave reserva. Caso esteja fazendo via NFC pelo celular pode deixar a chave reserva na embalagem.
Se tudo correr bem, suas chaves de segurança serão adicionadas.
Após inscrever-se, você será desconectado de todos os seus dispositivos e terá que logar novamente usando sua senha e uma das chaves de segurança, então, tenha certeza de que pode fazer isso.
Ao inscrever-se, alguns aplicativos de terceiros podem sofrer restrições, mas é melhor manter-se seguro.
4.2. Usando o Yubico Authenticator no celular e no computador
O Yubico Authenticator entrega uma experiência de aplicativo autenticador mais segura e multi-plataforma, funcionando tanto em dispositivos móveis como em computadores. São diversas opções:
O Yubico Authenticator para Android possui proteção contra captura de tela, então veja esse curto vídeo demonstrativo.
Como já mencionei, as configurações OTP não ficam salvas no celular, mas sim na chave de segurança. Se você conecta a chave à porta USB do computador, o aplicativo Yubico Authenticator do computador pode usá-las, da mesma maneira se usa o NFC do celular para mostrar seus códigos. Caso seu celular não tenha suporte à NFC, recomenda-se o uso de chave com porta USB do tipo C. Um adaptador USB-A para USB-C também funcionou no celular sem NFC da minha esposa.
5. Conclusão
Depois de 7 meses usando os 2 tipos de chave, a Yubikey Série 5 é a mais indicada em todos os casos, pois possui diversos protocolos, sendo o FIDO2 e o OTP os mais usados.
A possibilidade de salvar suas credenciais OTP no hardware é um plus para esse modelo, mesmo perdendo ou trocando o celular, é possível continuar a usar as credenciais salvas na chave de segurança Yubikey Série 5.
Como ponto fraco falta uma opção para conectar tanto em USB-C quanto em USB-A, evitando a necessidade de adaptadores em alguns celulares sem NFC. Mas se puder assumir o custo, adquira um celular com suporte à NFC e 2 chaves Yubikey Série 5.