YubiKey a hardwarové bezpečnostní klíče: Kompletní průvodce

Samotná hesla již nestačí k ochraně vašich nejcennějších online účtů. Zatímco dvoufaktorová autentizace pomocí SMS nebo autentizačních aplikací poskytuje významné zvýšení bezpečnosti, hardwarové bezpečnostní klíče představují zlatý standard v ochraně účtů. Tato malá fyzická zařízení činí vzdálené kompromitování vašich účtů útočníky prakticky nemožným, i když znají vaše heslo. V tomto komplexním průvodci prozkoumáme, co jsou hardwarové bezpečnostní klíče, porovnáme hlavní značky, ukážeme vám, jak je nastavit, a pomůžeme vám rozhodnout, zda jsou pro vás vhodné.

Co jsou hardwarové bezpečnostní klíče?

Hardwarový bezpečnostní klíč je malé fyzické zařízení, které poskytuje nejsilnější dostupnou formu dvoufaktorové autentizace. Na rozdíl od SMS kódů, které lze zachytit, nebo autentizačních aplikací, které mohou být kompromitovány při hacknutí telefonu, hardwarové klíče vyžadují fyzické držení zařízení k autentizaci.

Jak hardwarové bezpečnostní klíče fungují

Hardwarové bezpečnostní klíče používají kryptografii s veřejným klíčem k prokázání vaší identity. Když zaregistrujete klíč u služby, klíč vygeneruje jedinečný pár kryptografických klíčů. Veřejný klíč je uložen službou, zatímco soukromý klíč nikdy neopustí vaše fyzické zařízení.

  1. Vložíte klíč nebo ho přiložíte k telefonu
  2. Služba odešle výzvu vašemu klíči
  3. Váš klíč podepíše výzvu soukromým klíčem
  4. Služba ověří podpis vaším veřejným klíčem

I když útočníci tuto komunikaci zachytí, nemohou ji replikovat bez vašeho fyzického klíče.

Klíčové protokoly a standardy

FIDO2/WebAuthn

Nejnovější a nejbezpečnější standard, podporovaný všemi hlavními prohlížeči a mnoha službami. FIDO2 umožňuje autentizaci bez hesla a je od návrhu odolný proti phishingu, protože klíč ověří identitu webu před odpovědí.

FIDO U2F

Předchůdce FIDO2, stále široce podporovaný. U2F funguje jako druhý faktor vedle hesel. Většina služeb podporujících FIDO2 podporuje také U2F pro zpětnou kompatibilitu.

OTP (jednorázové heslo)

Některé klíče mohou generovat jednorázová hesla jako autentizační aplikace, což poskytuje kompatibilitu se službami, které nepodporují FIDO protokoly. Toto je záložní možnost, ne primární případ použití.

Smart Card/PIV

Protokol zaměřený na enterprise používaný pro autentizaci založenou na certifikátech, SSH klíče a podepisování kódu. Primárně používaný v podnikovém prostředí.

Proč jsou hardwarové klíče zlatým standardem

Imunita vůči phishingu

Hardwarové klíče ověřují identitu webu před autentizací. I když budete oklamáni a navštívíte falešnou přihlašovací stránku, váš klíč neodpoví, protože doména nesouhlasí.

Žádná vzdálená kompromitace

Na rozdíl od softwarového 2FA není žádný kód k zachycení a žádná aplikace k hacknutí. Útočník musí fyzicky vlastnit váš klíč k autentizaci.

Bez baterií

Většina hardwarových klíčů je napájena zařízením, do kterého jsou připojeny. Žádné nabíjení, žádné vybité baterie, žádná údržba.

Funguje offline

Klíče provádějí kryptografické operace lokálně bez potřeby síťového připojení. Fungují kdekoli, kdykoli.

Zaměření na soukromí

Každý klíč generuje jedinečné přihlašovací údaje pro každou službu, což znemožňuje sledování napříč různými weby.

Srovnání hardwarových klíčů: YubiKey vs Google Titan vs Feitian

Několik výrobců produkuje FIDO certifikované hardwarové bezpečnostní klíče. Zde je srovnání hlavních hráčů:

YubiKey (Yubico)

Lídr v odvětví s nejširší podporou protokolů a nejdelší historií.

blog.article17.pros

  • Podporuje FIDO2, U2F, OTP, Smart Card, OpenPGP a další
  • Vynikající kvalita zpracování a odolnost (vodotěsný, nerozbitelný)
  • Široká škála formátů (USB-A, USB-C, NFC, Lightning)
  • Nejlepší kompatibilita s enterprise systémy
  • Etablovaná společnost se silnou bezpečnostní reputací

blog.article17.cons

  • Nejdražší varianta ($25-$75 za klíč)
  • Žádné biometrické modely (kromě řady YubiKey Bio)

Populární modely

  • YubiKey 5 NFC - Nejvšestrannější, USB-A + NFC ($50)
  • YubiKey 5C NFC - USB-C + NFC pro moderní zařízení ($55)
  • YubiKey 5Ci - Lightning + USB-C pro uživatele Apple ($75)
  • Security Key by Yubico - Rozpočtová varianta pouze FIDO ($25)

Google Titan Security Key

Hardwarový klíč od Google navržený specificky pro ekosystém Google a osobní použití.

blog.article17.pros

  • Dostupná cena ($30 za USB-A/NFC balíček)
  • Bezproblémová integrace s účty Google
  • Jednoduché nastavení přes bezpečnostní nastavení účtu Google
  • Podporován bezpečnostním týmem Google

blog.article17.cons

  • Omezená podpora protokolů (pouze FIDO2/U2F)
  • Méně možností formátů
  • Žádné pokročilé funkce jako smart card nebo OTP
  • Předchozí bezpečnostní chyba v Bluetooth verzi (nyní ukončena)

Dostupné modely

  • Titan Security Key (USB-A/NFC) - Standardní volba ($30)
  • Titan Security Key (USB-C/NFC) - Pro moderní zařízení ($35)

Feitian

Rozpočtově přátelská alternativa s biometrickými možnostmi a dobrou FIDO certifikací.

blog.article17.pros

  • Nejdostupnější FIDO2 klíče na trhu ($15-$40)
  • Biometrické (otisk prstu) možnosti dostupné
  • FIDO Alliance certifikace
  • Dobrá rozmanitost formátů

blog.article17.cons

  • Méně zavedené povědomí o značce
  • Kvalita zpracování není tak prémiová jako YubiKey
  • Méně možností pokročilých protokolů
  • Zákaznická podpora může být omezená

Populární modely

  • ePass FIDO2 - Základní FIDO2 klíč ($18)
  • BioPass FIDO2 - Autentizace otiskem prstu ($40)
  • MultiPass FIDO - S podporou NFC ($25)

Rychlé srovnání

Značka Cenové rozpětí Protokoly Biometrie Nejlepší pro
YubiKey $25-$75 FIDO2, U2F, OTP, PIV, OpenPGP Pouze YubiKey Bio Enterprise, pokročilé uživatele
Google Titan $30-$35 FIDO2, U2F Ne Uživatele Google, začátečníky
Feitian $15-$40 FIDO2, U2F Ano (některé modely) Uživatele s omezeným rozpočtem

Jak nastavit hardwarový bezpečnostní klíč

Nastavení hardwarového bezpečnostního klíče je jednoduché. Zde je obecný návod, který platí pro většinu služeb a klíčů:

Krok 1: Kupte si alespoň dva klíče

Vždy kupte dva klíče - primární a záložní. Pokud ztratíte jediný klíč, můžete být trvale uzamčeni ze svých účtů. Záložní uložte na bezpečném místě odděleně od primárního klíče.

Krok 2: Zaregistrujte klíč u služeb

Proces je podobný u většiny služeb:

  1. Přejděte do bezpečnostních nastavení účtu
  2. Najděte možnosti 'Dvoufaktorová autentizace' nebo 'Bezpečnostní klíč'
  3. Klikněte na 'Přidat bezpečnostní klíč' nebo podobně
  4. Po výzvě vložte klíč
  5. Dotkněte se tlačítka klíče pro aktivaci
  6. Pojmenujte klíč rozpoznatelným názvem
  7. Opakujte se záložním klíčem

Nastavení účtu Google

  1. Přejděte na myaccount.google.com/security
  2. Klikněte na 'Dvoufázové ověření'
  3. Přejděte na 'Bezpečnostní klíče' a klikněte na 'Přidat bezpečnostní klíč'
  4. Postupujte podle pokynů k registraci klíče

Tip: Google doporučuje registrovat klíč v jejich Programu pokročilé ochrany pro maximální bezpečnost.

Nastavení účtu Microsoft

  1. Přejděte na account.microsoft.com/security
  2. Vyberte 'Pokročilé možnosti zabezpečení'
  3. Pod 'Způsoby přihlášení nebo ověření' klikněte na 'Přidat nový způsob přihlášení'
  4. Vyberte 'Použít bezpečnostní klíč'

Tip: Microsoft podporuje použití bezpečnostních klíčů pro přihlášení bez hesla.

Krok 3: Nastavte možnosti obnovy

Po registraci klíčů se ujistěte, že máte nakonfigurované možnosti obnovy:

  • Zaregistrujte záložní klíč u všech služeb
  • Uložte jednorázové záložní kódy na bezpečném místě
  • Udržujte telefonní číslo pro obnovu aktuální
  • Zvažte funkci nouzového přístupu správce hesel

Krok 4: Otestujte nastavení

Před spoléháním na klíč otestujte proces přihlášení:

  • Kompletně se odhlaste z účtu
  • Přihlaste se pomocí primárního klíče
  • Otestujte záložní klíč na jiném zařízení
  • Ověřte, že možnosti obnovy fungují

Služby podporující FIDO2 hardwarové klíče

Podpora hardwarových klíčů významně vzrostla. Zde jsou hlavní služby a platformy podporující FIDO2/U2F autentizaci:

Technologičtí giganti

  • Google (Gmail, YouTube, Google Cloud)
  • Microsoft (Microsoft 365, Azure, Xbox)
  • Apple (iCloud, Apple ID) - přes Safari
  • Amazon (AWS, Amazon.com)
  • Meta (Facebook, Instagram)

Finanční služby

  • Coinbase
  • Kraken
  • Binance
  • Bank of America
  • Stripe

Poznámka: Mnoho bank podporuje hardwarové klíče pro firemní účty, ale ne osobní účty. Ověřte si u vaší konkrétní banky.

Správci hesel

  • 1Password
  • Bitwarden
  • Dashlane
  • Keeper

Použití hardwarového klíče k ochraně správce hesel poskytuje maximální bezpečnost pro všechny vaše přihlašovací údaje.

Sociální sítě a komunikace

  • Twitter/X
  • GitHub
  • GitLab
  • Dropbox
  • Cloudflare

Další významné služby

  • Salesforce
  • Okta
  • Duo Security
  • WordPress (s pluginem)
  • Linux servery (SSH)

Seznam neustále roste. Použijte web passkeys.directory nebo dongleauth.com k ověření, zda konkrétní služba podporuje hardwarové klíče.

Kdo by měl používat hardwarové bezpečnostní klíče?

Hardwarové klíče nejsou nezbytné pro každého, ale určití lidé a situace z nich významně benefitují:

Ideální kandidáti

Vysoce hodnotné cíle

Novináři, aktivisté, manažeři, politici a kdokoli, jehož účty by mohly být cílem sofistikovaných útočníků. Hardwarové klíče poskytují obranu proti hrozbám na úrovni států.

Držitelé kryptoměn

Pokud máte významné krypto holdings, hardwarové klíče pro účty na burzách jsou nezbytné. Krádež krypta je nevratná, takže prevence je kritická.

IT profesionálové a vývojáři

Kdokoli s přístupem k produkčním systémům, repozitářům kódu nebo cloudové infrastruktuře by měl používat hardwarové klíče k prevenci útoků na dodavatelský řetězec.

Zastánci soukromí

Lidé, kteří upřednostňují soukromí a chtějí minimalizovat svou útočnou plochu. Hardwarové klíče nevyžadují telefonní čísla ani aplikace, které mohou být kompromitovány.

Kdokoli, kdo byl již hacknut

Pokud jste zažili kompromitaci účtu, hardwarové klíče zajistí, že se to nebude opakovat stejnými vektory.

Dobré mít (ale volitelné)

  • Běžní uživatelé, kteří chtějí maximální bezpečnost pro e-mail a finanční účty
  • Lidé, kteří často cestují a mohou být vystaveni nezabezpečeným sítím
  • Majitelé malých firem chránící kriticky důležité firemní účty
  • Kdokoli, kdo se necítí pohodlně s 2FA založenou na SMS

Nemusí potřebovat hardwarové klíče

  • Uživatelé spokojení s 2FA založenou na autentizačních aplikacích pro osobní účty
  • Lidé, kteří by měli problém sledovat fyzická zařízení
  • Uživatelé s velmi málo online účty

I když nepotřebujete hardwarové klíče, nikdy nejsou špatnou investicí, pokud jste ochotni je správně používat.

Osvědčené postupy a tipy

Dodržujte tyto postupy, abyste z hardwarových klíčů získali maximální bezpečnostní přínos:

Základní tipy

Vždy mějte zálohu

Ztráta jediného klíče znamená ztrátu přístupu k účtům. Vždy registrujte dva klíče a zálohu uložte odděleně - třeba do bankovní schránky nebo u důvěryhodného člena rodiny.

Registrujte klíče u všech důležitých služeb

Vaše bezpečnost je jen tak silná jako nejslabší článek. Kompromitovaný e-mailový účet může resetovat hesla jinde. Nejdříve ochraňte e-mail, správce hesel a finanční účty.

Držte klíče odděleně od zařízení

Nenoste bezpečnostní klíč na stejném klíčence jako notebook ani ho neukládejte do tašky s notebookem. Pokud je taška ukradena, přišli jste o zařízení i autentizační metodu.

Aktualizujte firmware, když je dostupný

Některé klíče (zejména YubiKeys) mohou přijímat aktualizace firmwaru. Udržujte je aktuální, abyste benefitovali z bezpečnostních oprav a nových funkcí.

Označte své klíče

Pokud máte více klíčů, jasně je označte (Primární, Záložní, Pracovní atd.), abyste věděli, který je který při správě účtů.

Nesdílejte své klíče

Hardwarové klíče jsou osobní. Nikdy je nepůjčujte ostatním ani je nesdílejte mezi členy rodiny. Každá osoba by měla mít vlastní klíče.

Časté otázky

Co se stane, když ztratím klíč?

Použijte záložní klíč nebo obnovovací kódy k získání přístupu. Proto je mít zálohu klíčové. Jakmile jste přihlášeni, odeberte ztracený klíč z účtů a zaregistrujte náhradní.

Mohou být hardwarové klíče hacknuty?

I když žádná bezpečnost není dokonalá, správně implementované hardwarové klíče nemají žádné známé praktické útoky. Soukromý klíč nelze extrahovat a jsou imunní vůči phishingu a vzdáleným útokům.

Potřebuji stále heslo?

U většiny služeb ano - klíč je druhý faktor. Nicméně FIDO2 podporuje autentizaci bez hesla u služeb, které ji umožňují (jako účty Microsoft).

Mohu použít jeden klíč pro více účtů?

Ano! Jeden klíč může být zaregistrován u stovek různých služeb. Každá registrace vytváří jedinečné přihlašovací údaje.

Fungují s mobilními zařízeními?

Ano. Klíče s NFC fungují s většinou moderních smartphonů a USB-C klíče fungují s telefony, které je podporují. Pro iPhony existují klíče kompatibilní s Lightning.

Závěr

Hardwarové bezpečnostní klíče představují nejsilnější formu ochrany účtů dostupnou spotřebitelům i profesionálům. I když vyžadují skromnou investici a trochu více úsilí než jiné metody 2FA, bezpečnostní přínosy jsou bezkonkurenční. Pro kohokoli, kdo pracuje s citlivými informacemi, cennými účty nebo prostě chce nejlepší dostupnou ochranu, jsou hardwarové klíče hodnotnou investicí. Začněte s nejkritičtějšími účty - e-mailem, správcem hesel a finančními službami - a rozšiřujte odtud. V kombinaci se silnými, jedinečnými hesly činí hardwarové klíče vaše účty prakticky neproniknutelnými pro vzdálené útočníky.

Chraňte své účty silnými, jedinečnými hesly generovanými bezpečně

Generovat bezpečné heslo
← Zpět na blog