Открыть сервис

Yubico

Yubico — шведско-американская компания, специализирующаяся на разработке и производстве аппаратных ключей аутентификации (YubiKey) и сопутствующих программных решений для защиты цифровых учётных записей и доступа к информационным системам. Основана в 2007 году Якобом Эрнстремом и Стигом Бьоркманом. Штаб-квартира расположена в Пало-Альто (Калифорния, США), основные исследовательские и производственные мощности находятся в Швеции.

История

Компания была основана в 2007 году в Стокгольме (Швеция) Якобом Эрнстремом, ранее работавшим в области криптографии и безопасности, и Стигом Бьоркманом. Первоначально проект назывался «Yubico» как производное от «you» (ты) и «biometric» (биометрия), хотя впоследствии компания отошла от биометрических методов в пользу аппаратных токенов.

В 2008 году был выпущен первый продукт — YubiKey первого поколения. Ключ представлял собой USB-устройство, генерирующее одноразовые пароли (OTP) по протоколу Yubico OTP. В 2010 году компания представила поддержку протокола OATH-HOTP (стандарт RFC 4226), что позволило использовать ключи с широким кругом онлайн-сервисов.

В 2012 году Yubico совместно с Google и другими участниками инициативы FIDO (Fast IDentity Online) начала работу над открытым стандартом универсальной двухфакторной аутентификации (U2F). В 2014 году стандарт U2F был принят FIDO Alliance, а YubiKey 4 и последующие модели стали поддерживать этот протокол.

В 2018 году Yubico выпустила линейку YubiKey 5, поддерживающую протокол FIDO2/WebAuthn, который стал стандартом для аутентификации в веб-браузерах. В 2019 году компания представила YubiKey Bio — первую модель со встроенным биометрическим датчиком отпечатка пальца.

В 2020 году Yubico привлекла инвестиции в размере 30 миллионов долларов от венчурных фондов. В 2021 году компания объявила о планах выхода на биржу, однако IPO было отложено из-за рыночных условий. По состоянию на 2024 год Yubico остаётся частной компанией.

Продукция

Аппаратные ключи YubiKey

Основной продукт компании — серия аппаратных ключей аутентификации YubiKey. Все устройства представляют собой компактные токены (размером с флеш-накопитель) с интерфейсами USB-A, USB-C, NFC (для бесконтактной работы с мобильными устройствами) или Lightning (для устройств Apple). Ключи не имеют аккумулятора — питание получают от USB-порта или по NFC от считывателя.

Основные модели и их характеристики:

МодельИнтерфейсыПоддерживаемые протоколыОсобенности
YubiKey 5 NFCUSB-A, NFCFIDO2/WebAuthn, U2F, OTP, OATH-HOTP, OATH-TOTP, OpenPGP, PIVНаиболее универсальная модель, поддерживает все основные протоколы
YubiKey 5CUSB-CFIDO2, U2F, OTP, OATH-HOTP, OATH-TOTP, OpenPGP, PIVАналог YubiKey 5 NFC, но без NFC и с разъёмом USB-C
YubiKey 5CiUSB-C, LightningFIDO2, U2F, OTP, OATH-HOTP, OATH-TOTP, OpenPGP, PIVДля устройств Apple (iPhone, iPad)
YubiKey BioUSB-A, USB-CFIDO2/WebAuthn, U2FВстроенный сканер отпечатка пальца
Security Key by YubicoUSB-A, USB-C, NFCFIDO2/WebAuthn, U2FУпрощённая модель, только протоколы FIDO
YubiKey 5 FIPSUSB-A, USB-CВсе протоколыСертифицирована по стандарту FIPS 140-2 (уровень 2) для государственных учреждений США

Программное обеспечение

Yubico разрабатывает несколько программных продуктов для управления ключами и интеграции:

  • Yubico Authenticator — десктопное и мобильное приложение для генерации одноразовых паролей (TOTP) с использованием ключа YubiKey. Пароли хранятся на ключе, а не в приложении.
  • YubiKey Manager — утилита для настройки ключей, изменения PIN-кодов, управления сертификатами и конфигурации протоколов.
  • Yubico OTP Validation Serviceоблачный сервис для проверки одноразовых паролей, генерируемых ключами YubiKey. Используется корпоративными клиентами.
  • Yubico SDK — набор библиотек для интеграции ключей в сторонние приложения и сервисы.

Протоколы и стандарты

YubiKey поддерживает несколько протоколов аутентификации, что делает его универсальным устройством:

  • Yubico OTP — собственный протокол одноразовых паролей. При нажатии на кнопку ключ генерирует 44-символьную строку, содержащую идентификатор ключа и одноразовый код. Сервер проверяет код через облачный сервис Yubico или локальный валидатор.
  • OATH-HOTP (RFC 4226) — стандартный протокол одноразовых паролей на основе счётчика (HMAC-based One-Time Password).
  • OATH-TOTP (RFC 6238) — протокол одноразовых паролей на основе времени (Time-based One-Time Password). Используется для двухфакторной аутентификации в таких сервисах, как Google, Microsoft, Dropbox.
  • U2F (Universal 2nd Factor) — протокол, разработанный FIDO Alliance. Позволяет использовать ключ как второй фактор после ввода пароля. Поддерживается в браузерах Chrome, Firefox, Edge.
  • FIDO2/WebAuthn — современный стандарт аутентификации без паролей (passwordless) или с использованием второго фактора. Поддерживается всеми основными браузерами и операционными системами (Windows, macOS, Linux, Android, iOS).
  • OpenPGPподдержка хранения и использования ключей шифрования и цифровой подписи по стандарту OpenPGP. Позволяет использовать YubiKey для подписи электронной почты и файлов.
  • PIV (Personal Identity Verification) — стандарт, используемый для аутентификации в государственных и корпоративных системах (например, в системах США по стандарту NIST SP 800-73).

Применение

YubiKey используется в различных сферах:

  • Корпоративная безопасность — крупные компании (Google, Microsoft, Facebook, Twitter, Dropbox, GitHub) используют YubiKey для защиты учётных записей сотрудников и администраторов. Внедрение аппаратных ключей позволяет снизить риск фишинга и перехвата паролей.
  • Государственные учреждения — в США YubiKey сертифицирован по стандарту FIPS 140-2 и используется в федеральных агентствах, включая Министерство обороны и Министерство внутренней безопасности.
  • Личная безопасность — частные пользователи применяют YubiKey для защиты аккаунтов в социальных сетях, электронной почте, криптовалютных кошельках и других сервисах.
  • Шифрование и подпись — с помощью OpenPGP YubiKey используется для хранения приватных ключей шифрования и подписи электронной почты (например, в связке с GnuPG).
  • Доступ к физическим системам — в некоторых корпоративных средах YubiKey используется для аутентификации при входе в операционные системы (Windows, macOS, Linux) и для доступа к VPN.

Критика и ограничения

  • Потеря или поломка ключа — при утере YubiKey пользователь может потерять доступ ко всем учётным записям, если не настроены резервные методы аутентификации (например, резервные коды или второй ключ). Компания рекомендует иметь два ключа (основной и запасной).
  • Стоимость — цена YubiKey варьируется от 25 до 55 долларов США в зависимости от модели. Для массового внедрения в организациях стоимость может быть значительной.
  • Совместимость — не все сервисы поддерживают аппаратные ключи. Некоторые старые системы (например, банковские порталы) могут не иметь поддержки FIDO2 или U2F.
  • Безопасность NFC — при использовании NFC возможен перехват сигнала на коротком расстоянии, хотя Yubico утверждает, что ключ не передаёт секретные данные, а только подписывает запросы.
  • Отсутствие биометрии в базовых моделях — только модель YubiKey Bio имеет сканер отпечатка пальца; остальные модели требуют физического контакта с кнопкой.

Интересные факты

  • В 2011 году Yubico получила патент на технологию одноразовых паролей с использованием USB-ключа.
  • В 2017 году Google объявила, что после внедрения YubiKey для всех сотрудников (более 85 000 человек) количество успешных фишинговых атак на корпоративные аккаунты снизилось до нуля.
  • YubiKey 5 NFC поддерживает до 32 различных учётных записей для протокола OATH-TOTP.
  • Ключи YubiKey производятся в Швеции и США. Компания заявляет, что производство не зависит от китайских поставщиков, что снижает риск внедрения аппаратных закладок.
  • В 2022 году Yubico выпустила ограниченную серию ключей с дизайном, посвящённым 15-летию компании.

Источники

  • Официальный сайт Yubico (yubico.com)
  • FIDO Alliance — спецификации U2F и FIDO2
  • NIST — стандарт FIPS 140-2
  • RFC 4226 (HOTP), RFC 6238 (TOTP)
  • Статья «Google: No employee has been successfully phished since we started using YubiKeys» (The Verge, 2017)
  • Патент US 2011/0154037 A1 (Yubico)
  • Отчёты о финансировании Yubico (Crunchbase, PitchBook)

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →