YubiKey 5 NFC: Configuración básica

¿Qué es YubiKey 5 NFC?

Antes de explicar la configuración del dispositivo vamos a explicar de forma básica que es el YubiKey 5 NFC.

YubiKey 5 NFC es en dispositivo físico que implementa varios protocolos de Autenticación de doble Factor (2FA) o multifactor

Autenticación de múltiples factores

La autenticación de múltiples factores, se base en la idea de autenticar al usuario en varios niveles, siendo el normal a día de hoy el de 2 niveles, denominado «Autenticación de doble Factor (2FA)«, como nivel 1 se utiliza el acceso estándar de usuarios / clave y como segundo nivel normalmente se hace mediante la introducción de un código de un único uso. Este código puede ser enviado por SMS, correo u otro mecanismo, o por generado en un dispositivo del usuario.

Como dispositivo de usuario, por normal general, se utiliza el móvil, donde se instala una aplicación que es la encargada de generar el código, hay varios protocolos que definen la generación de estos código, entre los más utilizados están los basado en eventos (OATH – HOTP) y especialmente el más utilizado es la generación de los código basados en el tiempo (OATH – TOTP). Como ejemplos de aplicaciones de generación de códigos basados en tiempo tenemos a Google Authenticator, Duo Mobile, Microsoft Authenticator o Authy, esta última es la que uso personalmente.

Una evolución, a la generación de los códigos, es la sustitución de estos por clave criptográficas basada en algoritmos de clave asimétricas (pública / privada), conocidos como Universal 2nd Factor (U2F), donde el usuario tiene un dispositivo físico, denominado llave de seguridad (security key), de tal forma, que el proceso de autenticación es conectando la llave de seguridad, ya sea por conexión a un puerto USB, NFC, bluetooth u otro. Tras la conexión el usuario deberá pulsar un botón para realizar la autenticación. Una de las mejoras de ese método es que no se ve en ningún momento el código y siendo el intercambio de la autenticación mas robustos que con los códigos generados a nivel de software.

La autenticación U2F está mantenida por la Alianza FIDO especificando los protocolos de autenticación FIDO.

YubiKey 5 NFC es justamente una de éstas llaves de seguridad que implementa varios protocolos 2FA y U2F. Creada por Yubico, es de la serie 5 y tiene conexiones por USB tipo A y NFC, es una llave bastante completa, tiene implementados además de los protocolos U2F como FIDO y FIDO2, la generación de código de un único uso, OATH – HOTP, OATH – TOTP, también permite la incorporación de certificados, implementando funcionalidad de tarjetas inteligentes «Smart card«, compatible con PIV (Personal Identity Verification) , CCDI.

A nivel criptográfico implementa estándares PKCS#11, entre otros que podéis consular en la comparativa de la propia página de Yubico. Se puede comprar en la propia web de Yubico o por ejemplo en Amazon, si solo estás interesado en los protocolos FIDO (U2F) tienen una serie más económica, Yubico Security Key NFC, que también está disponible en su tienda o en Amazon entre otras tiendas.

Configuración básica

Realmente la llave no requiere ninguna configuración, pero es recomendable cambiar los PINs y claves por defecto para no facilitar el uso de la llave a terceras personas en caso de perdida o robo.

Para poder hacer los cambios, nos descargaremos la aplicación YubiKey Manager, tras instalarla la abriremos y conectaremos la llave por USB:

Nos iremos a la opción «Applications» -> PIV

Pulsaremos «Configure PINs«

Cambiaremos los el PIN, PUK y Management Key

A la hora de cambiar, pulsaremos la opción «Use Default«, para que ponga el valor actual y asignaremos el nuevo valor. Por ejemplo para el PIN la ventana sería:

Es importante guardar estas claves en un sitio seguro, en caso de perdida habría que resetear la llave, teniendo que volver a activarla en cada sitio donde lo hayamos usado. Con la posibilidad de no poder entrar si es el único mecanismo de doble autenticación que tenga habilitado.