2011/11/11

YubiKeys - o Fim das Passwords


Uma das surpresas desta edição do Codebits foi uma curiosa chave USB no kit de boas-vindas dos participantes, que tem feito furor e que também vos vai deixar com vontade de aderir a este sistema: as YubiKeys da Yubico.


Já muitas vezes falamos do contrasenso que são as actuais políticas de passwords, que muitas vezes obrigam a que os utilizadores tenham que decorar sequências crípticas de letras, números e símbolos - em dose industrial, já que não é recomendável que usem a mesma password em múltiplos sites.

Sabendo-se que o nosso cérebro tem "mais que fazer" do que se preocupar com esse tipo de tarefas, surgem estas YubiKeys.

Basta colocarem estas pequenas chaves numa porta USB (também existem em versão RFID), e com um simples toque dispensam todas as chatices com passwords!

Por esta altura já deverão estar a imaginar: "USB, tchiii... isso vai precisar de drivers esquisitos e tal..."

Mas não, a YubiKey faz-se passar por um teclado USB, fazendo com que automaticamente funcione independentemente do sistema operativo e permitindo até que seja utilizada em programas que não estão especificamente programados para tirar partido dela.


O YubiKey tem quatro modos de funcionamento:
  • Standard Yubico OTP - 12 character ID + 32 character OTP, for use with Yubico servers
  • OATH OTP - 6 or 8 digit OTP, for use with third party OATH servers
  • Static pass code - 1-64 characters for legacy login applications
  • Challenge-response - Using client software
Para os fãs do  LastPass (Premium Edition) e Passpack, certamente gostarão de saber que estes programas suportam as YubiKeys, sendo uma forma bastante segura de protegerem todos os vossos dados, e que nem pode ser considerado muito dispendiosa: podem comprar 2 Yubikeys e um ano do LastPass por apenas $45 (pouco mais de 30€).

3 comentários:

  1. O que acontece quando se perde esta chave?
    Uma coisa é esquecer a password, outra é perdê-la... e nenhuma é interessante.

    ResponderEliminar
  2. A ideia é isto ser funcional como "2 step validation", em alternativa aos sistemas de tokens, em que tens que os introduzir manualmente (gerados via Apps, recebidos via SMS, etc.)

    ResponderEliminar
  3. E porque não KeePass + Dropbox?
    Uso há anos e, just works...

    ResponderEliminar