Stina Ehrensvard

Därför designade vi YubiKey som vi gjorde

Vår första YubiKey, som lanserades 2008, var inspirerad av ordet “ubikvitet” med målet att skapa enkla och säkra inloggningar för alla. På den tiden var vi inte ens 10 medarbetare på företaget, men vår strategi var enkel: genom att fokusera på vidare utveckling av tekniken bakom YubiKey i nära samarbete med en handfull teknikjättar, kunde vi bidra till att göra internet säkrare för alla.  

Idag, 12 år senare, är vi närmare detta mål. Sedan Yubico lanserade den första FIDO-säkerhetsnyckeln någonsin 2014, stödjer nu alla ledande plattformar och webbläsare YubiKey och de FIDO- och WebAuthn-standarder som vi banade väg för. Ett växande antal FIDO-kompatibla autentiserare har också dykt upp på marknaden, inklusive de inbyggda i datorer och telefoner — precis som vi hade föreställt oss. Ju fler organisationer som antar dessa standarder, desto mer växer ekosystemet, vilket gynnar YubiKey-användare.

Det kanske aldrig kommer att finnas en universallösning för alla autentiseringsbehov, men YubiKey är utformad för att täcka så många användningsområden som möjligt. Det nuvarande YubiKey-produktsortimentet är ett direkt resultat av löpande innovation och samarbete med våra kunder, partners och användare för att nå högsta möjliga nivå av säkerhet, användbarhet och hållbarhet. Nedan finns en detaljerad sammanfattning av de design- och produktionsval Yubico har gjort och varför. 

En extern autentiserare minimerar attackytan

FIDO-autentiserare integreras nu direkt i telefoner och datorer, vilket är bra för ökad användning av konsumenter och en stor mängd användningsfall. Dessa multifunktionella komponenter har dock större attackvektorer och potentiella säkerhetsrisker, som t.ex. Intel Spectre-problemet. 

Säkerhetsexperter för både den fysiska och den digitala världen är överens om att minimering av attackytor är avgörande för ett starkare skydd. För att förbättra säkerheten för onlinekonton skapade vi YubiKey som en extern autentiserare som enbart fokuserar på autentisering och kryptering och inte är bunden till internet. Jämfört med inbyggda autentiserare är YubiKey också skapad för att fungera utan batterier, på alla datorer och telefoner och vara en prisvärd förtroendekälla för flera enheter. 

Små enheter minskar miljöavtrycket

YubiKey är designad för att hålla: solid design i ett stycke, utan batterier och rörliga delar. Den vanligaste YubiKeyn väger ungefär lika mycket som ett kreditkort och vi har designat alla våra produkter och förpackningar till att vara så lätta och platta som möjligt för att minimera fraktvolym och koldioxidavtryck. 

USB och NFC är säkra och lätta att använda

Vissa FIDO-autentiserare — inklusive telefoner, datorer och säkerhetsnycklar — kommunicerar med BLE (Bluetooth Low Energy) vid autentiseringsflödet. Bluetooth skapades dock primärt för ljud, inte för säkerhet. Även om det har gjorts säkerhetsuppdateringar sedan den första BLE-tekniken skapades, finns det fortfarande säkerhetsrisker inom ett område av några meter. Dessutom är BLE komplicerat för användare, vilket ökar antalet supportsamtal och tillhörande kostnader.

Forskning har visat att stora FIDO-baserade användningsimplementeringar med USB- och NFC-YubiKeys har resulterat i noll kontokapningar och 92 % färre supportsamtal, vilket sparar tiotals miljoner dollar.

Säkra element ger starkt fysiskt skydd

Att ge fler tillgång till koden är vanligtvis bra för säkerheten, men det medför tyvärr stora källsäkerhetsproblem, som t.ex. med Heartbleed.

Vår första YubiKey byggdes på USB-komponenter. För att förbättra YubiKeys fysiska säkerhet, beslutade vi senare att bygga all vår hårdvara på säkra element, som också används på chip-utrustade kreditkort och pass. Säkra element tillhandahåller urprungsautentisering av komponenterna och bidrar till att förhindra att en bedragare med fysisk kontroll över en enhet, kan extrahera eller ändra koden.

Avancerade säkra element tillåter inte implementering av öppen källkod, eftersom dessa chip är upphovsrättsskyddade och begränsade när det gäller dokumentation och verktyg. För att säkerställa Yubico-produkternas kvalitet och integritet, utför våra säkerhets- och ingenjörsteam löpande interna och tredje parts säkerhetstester. 

Biometri och PIN-koder kommer att samexistera i en lösenordsfri värld

FIDO och WebAuthn kommer snart hjälpa oss att glömma komplicerade lösenord och ersätta dem med fysiska FIDO-autentiserare som använder publik/privat nyckelkryptografi. Dessa enheter kommer att vara den första starka faktorn (det du har) och kan kombineras med en PIN-kod (det du vet) och biometri (det du är).

Även om biometri är bekvämt, är en statisk bild som t.ex. ett fingeravtryck inte nödvändigtvis säkrare än en PIN-kod. Senare i år kommer Yubico att lansera YubiKey Bio, som stödjer både fingeravtryck och PIN-kod. Produkten kommer att ha en slimmad, robust design och förbättrade säkerhetsfunktioner jämfört med vad som finns på marknaden idag. 

Leverantörskedjan är viktig

Yubicos produkter tillverkas i USA och i Sverige. Vi har gjort detta medvetna val för att säkerställa våra produkters integritet. FIDO certifierar endast interoperabilitet, men använder för närvarande inga säkerhetspolicyer eller produktsäkerhetskontroller. Det är därför upp till användare och tjänsteleverantörer att välja leverantörer som de litar på. 

Autentisering fortsätter att utvecklas

YubiKey designades med framtiden i åtanke. För att möjliggöra en sömlös övergång från idag till imorgon, har vi lagt till både gamla och moderna säkerhetsprotokoll på en och samma enhet. 
YubiKey stödjer statiska lösenord, engångslösenord (OTP), PIV (smart card), OpenPGP, FIDO U2F och FIDO2 för att möjliggöra en autentiserare att fungera med flera olika system, tjänster och applikationer. 

Med Yubicos nya YubiEnterprise-prenumerationsmodell kan företag uppgradera en del av sina YubiKeys uttryckt i procent i takt med att nya modeller och funktioner lanseras.

Vårt mål att göra internet säkrare för alla

Med en växande marknad av FIDO-autentiserare, undrar våra kunder vad man ska tänka på. Vårt svar är att välja stöd för FIDO2 och WebAuthn, prova flera olika autentiserare och sedan låta användarnas feedback och användningsstatistik bidra till att fatta ett beslut. Öppna standarder gör att tjänsteleverantörer och användare inte är begränsade till en leverantör eller ett designalternativ, utan kan välja att byta när marknaden utvecklas. 

På Yubico kommer vi att fortsätta att utveckla, driva öppna standarder och fokusera på våra kunder för att förtjäna marknadsandelar och långsiktigt förtroende.