Los YubiKeys son Smartcards? (2024)

22 Jun 2024

Para los ingenieros de seguridad modernos de todo el mundo, no se puede subestimar la importancia de los mecanismos de autenticación seguros. A medida que los ciberataques se vuelven más sofisticados, las organizaciones se ven sometidas a una presión cada vez mayor para salvaguardar sus sistemas y datos contra el acceso no autorizado por parte de malos actores. Métodos de autenticación tradicionales, como contraseñas, 2FA, MFA y los sistemas biométricos, desempeñan un papel crucial en este esfuerzo, pero también tienen limitaciones. , incluida la necesidad de hardware adicional o el riesgo de que los usuarios olviden o pierdan sus credenciales.

Una solución prometedora a estos desafíos radica en la adopción de FIDO2 y tarjeta inteligente tecnologías de autenticación. Estos enfoques ofrecen una autenticación sólida sin contraseña, eliminando efectivamente el riesgo de phishing al hacer imposible que los usuarios divulguen inadvertidamente sus credenciales. Este blog tiene como objetivo explicar las distinciones entre FIDO2 y la autenticación con tarjeta inteligente, explorando las ventajas y limitaciones de cada uno para informar y guiarte implementación.

La autenticación con tarjeta inteligente, anunciada como el método pionero para la autenticación sin contraseña, aprovecha los certificados X509 y ha sido un elemento básico en la seguridad gubernamental de Estados Unidos Americanos durante más de dos décadas. Su reputación como la forma de autenticación más segura es bien merecida, aunque su complejidad en la implementación y gestión ha sido un inconveniente notable. Tradicionalmente, implementar un sistema de autenticación con tarjeta inteligente requería una infraestructura importante, que involucraba múltiples servidores incluso para configuraciones básicas. Esta complejidad preparó el escenario para que la Alianza FIDO introdujera una alternativa: FIDO2. Esto realmente ya no es un problema, principalmente gracias a tecnologías como EZCMS de Keytos, que simplificó significativamente el proceso, haciéndolo posible para los ingenieros de seguridad. de todos los graduados de pago configurar la autenticación sin contraseña mediante tarjetas inteligentes con relativa facilidad.

FIDO2 es un estándar de autenticación abierto, echo por la Alianza FIDO, que consta de la especificación de autenticación web W3C (WebAuthn API) y el protocolo de autenticación de cliente (CTAP). CTAP es un protocolo de capa de aplicación utilizado para la comunicación entre un cliente (navegador) o una plataforma (sistema operativo) con un autenticador externo como el YubiKey 5 Series y la serie Security Key de Yubico. Yubico es un colaborador principal del protocolo de autenticación abierta FIDO2.

FIDO2 es una versión simplificada de la autenticación basada en certificados (o tarjeta inteligente o PIV) que simplifica el proceso. Todavía utiliza una clave pública y privada, pero en lugar de necesitar toda la PKI, registra la huella digital única de la clave pública con el proveedor de identidad, lo que le permite reemplazar el nombre de usuario y la contraseña sin necesidad de una PKI y cambiar la gestión. responsabilidad ante el proveedor de identidad.

La distinción entre YubiKeys y las tarjetas inteligentes es cada vez más significativa, no sólo en sus capacidades técnicas sino también en su forma física y funcionalidad. Una de las diferencias clave radica en su facilidad de uso: mientras que las YubiKeys ofrecen una experiencia plug-and-play perfecta, al conectarse directamente al puerto USB de una computadora, las tarjetas inteligentes necesitan una pieza adicional de hardware (un lector o adaptador de tarjetas inteligentes) para funcionar. . Esta diferencia inherente subraya un aspecto crítico de la conveniencia del usuario y la integración del sistema.

Más allá del factor de conveniencia, las tarjetas inteligentes aportan una versatilidad de la que carecen las YubiKeys. Pueden funcionar como credenciales de trabajo, con fotografías impresas en ellas, con un doble propósito tanto para la seguridad digital como para el control de acceso físico. Esta característica convierte a las tarjetas inteligentes en una solución todo en uno para muchas organizaciones (particularmente en las instalaciones), optimizando las operaciones al combinar medidas de identificación y seguridad.

En pocas palabras, La diferencia más importante es que YubiKeys se puede usar como tarjetas inteligentes (CBA), pero las tarjetas inteligentes no se pueden usar como Claves FIDO.

Para obtener el medio de autenticación más versátil y seguro para su organización, sugerimos eliminar las contraseñas con una tarjeta inteligente que contenga FIDO2 + Certificados como los YubiKey (o algo similar). La razón es simple: YubiKey ofrece lo mejor de ambos mundos con la autenticación FIDO2 y con tarjeta inteligente (certificado) habilitada. Al comprender que no todas las organizaciones requieren un poco de agilidad a la hora de autenticarse en varios sistemas, YubiKey se destaca como el medio ideal para proteger sus datos. Al ofrecer la comodidad de FIDO2 con el beneficio adicional de CBA para lugares de difícil acceso como iOS, on prem, powershell, etc… la serie YubiKey5 es simplemente la mejor manera de no usar contraseñas para casi todas las organizaciones, independientemente de la industria. o sector.

La transición a la autenticación sin contraseña no sólo mejora la seguridad sino que también simplifica la experiencia del usuario. Lo invitamos a explorar más a través de nuestro seminario web con Microsoft, donde analizamos estrategias para lograr la autenticación sin contraseña utilizando Azure y EZCMS, allanando el camino para una entorno digital más seguro y fácil de usar. Ya sea que esté considerando actualizar sus sistemas actuales o explorar nuevas soluciones de seguridad, comprender las diferencias entre FIDO2 y la autenticación con tarjeta inteligente puede permitirle tomar decisiones que se alineen con las necesidades y objetivos de seguridad de su organización.