Yubico
Yubico — шведско-американская компания, специализирующаяся на разработке и производстве аппаратных ключей аутентификации (YubiKey) и сопутствующих программных решений для защиты цифровых учётных записей и доступа к информационным системам. Основана в 2007 году Якобом Эрнстремом и Стигом Бьоркманом. Штаб-квартира расположена в Пало-Альто (Калифорния, США), основные исследовательские и производственные мощности находятся в Швеции.
История
Компания была основана в 2007 году в Стокгольме (Швеция) Якобом Эрнстремом, ранее работавшим в области криптографии и безопасности, и Стигом Бьоркманом. Первоначально проект назывался «Yubico» как производное от «you» (ты) и «biometric» (биометрия), хотя впоследствии компания отошла от биометрических методов в пользу аппаратных токенов.
В 2008 году был выпущен первый продукт — YubiKey первого поколения. Ключ представлял собой USB-устройство, генерирующее одноразовые пароли (OTP) по протоколу Yubico OTP. В 2010 году компания представила поддержку протокола OATH-HOTP (стандарт RFC 4226), что позволило использовать ключи с широким кругом онлайн-сервисов.
В 2012 году Yubico совместно с Google и другими участниками инициативы FIDO (Fast IDentity Online) начала работу над открытым стандартом универсальной двухфакторной аутентификации (U2F). В 2014 году стандарт U2F был принят FIDO Alliance, а YubiKey 4 и последующие модели стали поддерживать этот протокол.
В 2018 году Yubico выпустила линейку YubiKey 5, поддерживающую протокол FIDO2/WebAuthn, который стал стандартом для аутентификации в веб-браузерах. В 2019 году компания представила YubiKey Bio — первую модель со встроенным биометрическим датчиком отпечатка пальца.
В 2020 году Yubico привлекла инвестиции в размере 30 миллионов долларов от венчурных фондов. В 2021 году компания объявила о планах выхода на биржу, однако IPO было отложено из-за рыночных условий. По состоянию на 2024 год Yubico остаётся частной компанией.
Продукция
Аппаратные ключи YubiKey
Основной продукт компании — серия аппаратных ключей аутентификации YubiKey. Все устройства представляют собой компактные токены (размером с флеш-накопитель) с интерфейсами USB-A, USB-C, NFC (для бесконтактной работы с мобильными устройствами) или Lightning (для устройств Apple). Ключи не имеют аккумулятора — питание получают от USB-порта или по NFC от считывателя.
Основные модели и их характеристики:
| Модель | Интерфейсы | Поддерживаемые протоколы | Особенности |
|---|---|---|---|
| YubiKey 5 NFC | USB-A, NFC | FIDO2/WebAuthn, U2F, OTP, OATH-HOTP, OATH-TOTP, OpenPGP, PIV | Наиболее универсальная модель, поддерживает все основные протоколы |
| YubiKey 5C | USB-C | FIDO2, U2F, OTP, OATH-HOTP, OATH-TOTP, OpenPGP, PIV | Аналог YubiKey 5 NFC, но без NFC и с разъёмом USB-C |
| YubiKey 5Ci | USB-C, Lightning | FIDO2, U2F, OTP, OATH-HOTP, OATH-TOTP, OpenPGP, PIV | Для устройств Apple (iPhone, iPad) |
| YubiKey Bio | USB-A, USB-C | FIDO2/WebAuthn, U2F | Встроенный сканер отпечатка пальца |
| Security Key by Yubico | USB-A, USB-C, NFC | FIDO2/WebAuthn, U2F | Упрощённая модель, только протоколы FIDO |
| YubiKey 5 FIPS | USB-A, USB-C | Все протоколы | Сертифицирована по стандарту FIPS 140-2 (уровень 2) для государственных учреждений США |
Программное обеспечение
Yubico разрабатывает несколько программных продуктов для управления ключами и интеграции:
- Yubico Authenticator — десктопное и мобильное приложение для генерации одноразовых паролей (TOTP) с использованием ключа YubiKey. Пароли хранятся на ключе, а не в приложении.
- YubiKey Manager — утилита для настройки ключей, изменения PIN-кодов, управления сертификатами и конфигурации протоколов.
- Yubico OTP Validation Service — облачный сервис для проверки одноразовых паролей, генерируемых ключами YubiKey. Используется корпоративными клиентами.
- Yubico SDK — набор библиотек для интеграции ключей в сторонние приложения и сервисы.
Протоколы и стандарты
YubiKey поддерживает несколько протоколов аутентификации, что делает его универсальным устройством:
- Yubico OTP — собственный протокол одноразовых паролей. При нажатии на кнопку ключ генерирует 44-символьную строку, содержащую идентификатор ключа и одноразовый код. Сервер проверяет код через облачный сервис Yubico или локальный валидатор.
- OATH-HOTP (RFC 4226) — стандартный протокол одноразовых паролей на основе счётчика (HMAC-based One-Time Password).
- OATH-TOTP (RFC 6238) — протокол одноразовых паролей на основе времени (Time-based One-Time Password). Используется для двухфакторной аутентификации в таких сервисах, как Google, Microsoft, Dropbox.
- U2F (Universal 2nd Factor) — протокол, разработанный FIDO Alliance. Позволяет использовать ключ как второй фактор после ввода пароля. Поддерживается в браузерах Chrome, Firefox, Edge.
- FIDO2/WebAuthn — современный стандарт аутентификации без паролей (passwordless) или с использованием второго фактора. Поддерживается всеми основными браузерами и операционными системами (Windows, macOS, Linux, Android, iOS).
- OpenPGP — поддержка хранения и использования ключей шифрования и цифровой подписи по стандарту OpenPGP. Позволяет использовать YubiKey для подписи электронной почты и файлов.
- PIV (Personal Identity Verification) — стандарт, используемый для аутентификации в государственных и корпоративных системах (например, в системах США по стандарту NIST SP 800-73).
Применение
YubiKey используется в различных сферах:
- Корпоративная безопасность — крупные компании (Google, Microsoft, Facebook, Twitter, Dropbox, GitHub) используют YubiKey для защиты учётных записей сотрудников и администраторов. Внедрение аппаратных ключей позволяет снизить риск фишинга и перехвата паролей.
- Государственные учреждения — в США YubiKey сертифицирован по стандарту FIPS 140-2 и используется в федеральных агентствах, включая Министерство обороны и Министерство внутренней безопасности.
- Личная безопасность — частные пользователи применяют YubiKey для защиты аккаунтов в социальных сетях, электронной почте, криптовалютных кошельках и других сервисах.
- Шифрование и подпись — с помощью OpenPGP YubiKey используется для хранения приватных ключей шифрования и подписи электронной почты (например, в связке с GnuPG).
- Доступ к физическим системам — в некоторых корпоративных средах YubiKey используется для аутентификации при входе в операционные системы (Windows, macOS, Linux) и для доступа к VPN.
Критика и ограничения
- Потеря или поломка ключа — при утере YubiKey пользователь может потерять доступ ко всем учётным записям, если не настроены резервные методы аутентификации (например, резервные коды или второй ключ). Компания рекомендует иметь два ключа (основной и запасной).
- Стоимость — цена YubiKey варьируется от 25 до 55 долларов США в зависимости от модели. Для массового внедрения в организациях стоимость может быть значительной.
- Совместимость — не все сервисы поддерживают аппаратные ключи. Некоторые старые системы (например, банковские порталы) могут не иметь поддержки FIDO2 или U2F.
- Безопасность NFC — при использовании NFC возможен перехват сигнала на коротком расстоянии, хотя Yubico утверждает, что ключ не передаёт секретные данные, а только подписывает запросы.
- Отсутствие биометрии в базовых моделях — только модель YubiKey Bio имеет сканер отпечатка пальца; остальные модели требуют физического контакта с кнопкой.
Интересные факты
- В 2011 году Yubico получила патент на технологию одноразовых паролей с использованием USB-ключа.
- В 2017 году Google объявила, что после внедрения YubiKey для всех сотрудников (более 85 000 человек) количество успешных фишинговых атак на корпоративные аккаунты снизилось до нуля.
- YubiKey 5 NFC поддерживает до 32 различных учётных записей для протокола OATH-TOTP.
- Ключи YubiKey производятся в Швеции и США. Компания заявляет, что производство не зависит от китайских поставщиков, что снижает риск внедрения аппаратных закладок.
- В 2022 году Yubico выпустила ограниченную серию ключей с дизайном, посвящённым 15-летию компании.
Источники
- Официальный сайт Yubico (yubico.com)
- FIDO Alliance — спецификации U2F и FIDO2
- NIST — стандарт FIPS 140-2
- RFC 4226 (HOTP), RFC 6238 (TOTP)
- Статья «Google: No employee has been successfully phished since we started using YubiKeys» (The Verge, 2017)
- Патент US 2011/0154037 A1 (Yubico)
- Отчёты о финансировании Yubico (Crunchbase, PitchBook)
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →