Começo » Zero Trust » Como o Yubikey Funciona

Como o Yubikey Funciona

Funcionalidades Yubikey

Neste artigo vou mostrar como funciona o yubikey. Algumas YubiKeys possuem funcionalidades OTP (one-time password) e Security Key que inclue U2F, além da possibilidade de serem usadas como repositório de chaves privadas OTP do Yubico Authenticator.

Esses recursos cobrem a maioria dos aspectos do Modelo Zero Trust Network Access de autenticação moderna e Multi-Factor Authentication.

A seguir descrevo a maneira como o Yubico Yubikey funciona:

Chave de Segurança ou Security Key

O Yubikey é uma chave de acesso FIDO2, ou seja, utiliza a arquitetura WebAuthn para autenticação segura, utilizando métodos de Chave Pública/Chave Privada.

Esta é a tecnologia mais recente em autenticação e é tão segura que dela surge a tecnologia Passwordless, onde as senhas já não são necessárias e toda a segurança fica relegada às Passkeys FIDO2 e Biometria.

  • O Yubikey protege as chaves privadas do usuário em nível do hardware.
  • O Yubikey não requer nenhum driver.
  • A proteção contra ataques de phishing é realizada por meio de um protocolo de “desafio-resposta” em tempo real.
  • Este é o modo nativo de operação de um Yubikey
  • Se você usa o Cisco Duo Security , esse modo de operação funciona para todos os aplicativos que levam à tela de autenticação Duo ou Duo Prompt .
Solicitação Fido2, Inserir chave
Solicitação Fido2 – Insertar Passkey
Solicitação Fido2 - Reproduzir senha
Solicitação Fido2 – Tocar Passkey

Yubico- OTP

Nesse modo de operação, o Yubikey gera uma senha criptografada de 44 caracteres a qual é muito mais segura do que um OTP de 4 ou 6 caracteres.

A seguir vai um exemplo de uma senha gerada com o Yubiley neste modo de operação:

kugfbhvjuueeuvjhuebkitblncdudvireruukcbejnuc

Essa senha é gerada apenas conectando o Yubikey e tocando nele, nesse momento o Yubikey se comporta como um teclado e digita o código que lhe corresponde gerar.

  • É mais flexível porque é usado com qualquer navegador ou aplicativo de desktop.
  • Os códigos OTP podem ser obtidos por invasores usando técnicas conhecidas como man-in-the-middle ou man-in-the-browser
  • Neste caso, a troca de credenciais é feita simplesmente via o mesmo aplicativo, utilizando o código OTP gerado pelo Yubikey.
  • Este modo deve ser ativado ou configurado no Yubikey pelo uso da FERRAMENTA DE PERSONALIZAÇÃO YUBIKEY, onde serão geradas as chaves privadas e secretas necessárias para configurar este Yubikey no sistema de gerenciamento de autenticação.
  • Para este modo de operação, e se você usa o Cisco Duo Security, deve tratar o Yubikey como Hardware Token e atribuí-lo ao usuário de acordo com seu número de série na seção de usuários do Duo Security

Esses recursos do Yubikey existem especificamente nas seguintes séries de modelos:

  • Yubikey 5 NFC
  • Yubikey 4
  • Yubikey Nano

Autenticador Yubico

O Yubikey pode ser associado a um aplicativo de autenticação que o Yubico fornece, chamado Yubico Authenticator; esta é uma função muito atraente.

Como você provavelmente sabe, o ponto mais fraco do OTP é que ele usa uma chave privada que, se for descoberta, qualquer pessoa pode determinar os códigos OTP que seriam gerados com ela.

É por isso que aplicativos como Google Authenticator, Mocrosoft Authenticator e similares têm essa fraqueza.

Outro aspecto dos aplicativos autenticadores é que eles são executados em um único dispositivo e, se você não tiver esse dispositivo à mão, não poderá usar o aplicativo para obter seus códigos.

Yubico resolve este problema de forma muito inteligente, lançando um aplicativo que roda em telefones celulares e em PCs ou Macs. O Autenticador Yubico.

O que há de especial no Autenticador Yubico?

Yubico Authenticator não é um aplicativo autenticador comum, veja as suas vantagens.

Não Armazena Nenhuma Chave Privada

Por que você não guarda nenhuma chave privada? Então, como você gera os códigos OTP?

As chaves privadas são armazenadas, adivinhe onde…. em um Yubikey… isso significa que eles estão protegidos pelo hardware criptográfico do yubikey e sempre offline, ou seja, fora do alcance de qualquer hacker.

Autenticador Yubico sem Yubikey inserido
Autenticador Yubico sem Yubikey inserido
Autenticador Yubico com Yubikey inserido
Yubico Authenticator con Yubikey Inserida

É Multi-dispositivo

Possui versões para todos os tipos de celulares e computadores, para que você possa instalá-lo em todos os seus dispositivos e apenas conectando o yubikey (via USB ou NFC), você terá acesso a todas as suas contas OTP em qualquer dispositivo .

Dessa forma, se você não tiver seu celular e laptop em mãos, basta encontrar onde instalar o aplicativo e, conectando o Yubikey, terá acesso a todas as suas contas OTP


Perguntas Frequentes

  1. O que acontece se eu perder meu Yubikey?

    No caso de perder seu yubikey, você deve ter um método alternativo de segundo fator, o mais recomendado é sempre ter um segundo yubikey configurado guardado em casa.


    Você também pode salvar seus códigos de backup de uso único. 
    Eu sempre recomendo salvar esses códigos em um cofre do tipo Lastpass.


    Em qualquer caso, após a restauração do acesso, você deve cancelar a inscrição do Yubikey perdido de todos os serviços em que o configurou.


    Perder o seu Yubikey é algo semelhante a perder as chaves da sua casa, você deve ter uma chave duplicada ou um mecanismo alternativo para poder entrar e depois proceder à troca da fechadura.

  2. Quando toco no Yubikey, ele reconhece minha impressão digital?

    Somente o Yubikey BIO pode fazer isso, o restante dos yubikeys o faz apenas por contato, isto para garantir a interação humana no momento da autenticação. 
    Ou seja, você pode ter o yubikey conectado ao seu computador, mas se não tocar nele, não há autenticação.

  3. Onde posso usar meu Yubikey?

    FIDO2 já é um padrão e cada vez mais aplicativos o suportam, como exemplo indico alguns dos mais importantes:


    Facebook, Binance, Gmail, Dropbox, Lastpass, GreenRADIUS, GitHub, Salesforce, Bank of America, Amazon Web Services , Twitter , Coinbase, Microsoft Azure AD, Duo Securiti, 1Password, Kraken, Bitwarden, Okta, Cloudflare,


    E quando falamos de OTP, qualquer aplicativo que tenha OTP como segundo fator pode ser integrado ao seu Yubikey via Yubico Authenticator.


    A seguir está uma imagem onde você pode ver mais aplicativos compatíveis.plataformas compatibles con yubikey

  4. Posso usar meu Yubikey para minha segurança pessoal e comercial?

    Sim, Yubikey não reconhece ou restringe a natureza do acesso. 
    Num Yubikey você pode adicionar o máximo de serviços possível, independentemente de ser comercial ou pessoal

  5. Qual Yubikey devo comprar?

    Tudo depende do que você for utilizar mas, se quiser ter todas as possibilidades abertas, recomendo o Yubikey 5 NFC que você pode comprar na 
    Yubico Amazon Store, lá tem todos os recursos disponíveis.

  6. Como conecto o Yubikey a um celular?

    Existem duas opções, a primeira é pela porta USB do telefone (se você tiver um Yubikey com uma porta USB-C ou Lightning) ou, a maneira mais padrão, é usar NFC se você tiver um Yubikey com esse recurso.

  7. O Yubikey é o mesmo que um token de assinatura eletrônica?

    Não, embora semelhantes, as tecnologias são diferentes. 
    O Yubikey é baseado em FIDO2 (Chave Pública / Chave Privada), enquanto que os tokens de assinatura eletrônica armazenam seu arquivo de assinatura eletrônica de maneira segura.


visita la tienda yubico en amazon
Visita a loja Yubico em Amazon

Engenheiro de Soluções Principal na ICT International MSP
Especialista em Cibersegurança ZeroTrust | Marketing de Conteúdo | Especialista em SEO |

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *