YubiKey

덤프버전 :

YubiKey
파일:yubikey-5-nfc.png
개발

파일:yubico.svg

종류
하드웨어 인증 키
지원
운영체제

파일:Windows 아이콘.svg
|
파일:macOS 로고.svg
| >

파일:Linux 로고.svg
|

파일:안드로이드(운영체제) 아이콘.svg

지원 기능
WebAuthn, FIDO2 CTAP1, FIDO2 CTAP2,
Universal 2nd Factor(U2F),
Smart Card(PIV-compatible),
OATH - HOTP, OATH - TOTP, OpenPGP,
Secure Static Passwords

파일:아마존닷컴 아이콘.svg

1. 개요
2. 여분의 중요성
3. 사용처




1. 개요[편집]


미국 & 스웨덴 기업인 Yubico에서 만들고 있는 하드웨어 보안 키(보안 토큰)이다.# #

파일:yubikey-usarmy.jpg
보안 등급은 농담안하고 최상급이다. 펜타곤, 미합중국 육군, 미국 국무부, 영국 정부 등에서 절찬리에 사용하고 있다. 물론 연방정부에 들어가는 물건들, 특히 펜타곤이라던가 미 육군은 연방 정부 컴퓨터 시스템에 대한 NIST 표준 FIPS 140-2를 따른 YubiKey FIPS 시리즈(인증 탓에 10달러가 더 붙는다)지만... 그래서 미국 법으로 FIPS 시리즈건 혹은 일반 시리즈건 못파는 국가가 존재한다. 현재 이 물건을 구매하고 싶어도 못 구매하는 국가는 다음과 같다.


보면 알겠지만, 미국의 적 국가 들이 포함되어 있으며 우크라이나와 카자흐스탄을 제외하면 전부 독재국가다. 즉, 최고 수준의 암호화 장비라는 것. 대한민국에 (주)에어큐브 총판이 존재한다. 총판사는 인증보안 전문기업으로 B2B기업의 인증시스템을 구축하고 기술지원 및 유비키의 재고를 보유하고 있다.

Yubico에서는 회사의 사회적 가치를 위해서 2019년 홍콩 민주화 운동 당시 활동가들에게 500개의 YubiKey를 준 적이 있다. 그러니까 그들이 주고 받는 이메일은 미 국무부급 수준의 암호로 암호화 되어서 중국공산당이 내용을 알고 그걸 보고 싶어도 못보는 상황이 발생하였다. 이 밖에도 EFF, IWW 같은 NGO들에게 YubiKey를 주기도 했다.


2. 여분의 중요성[편집]


YubiKey는 작다. 작다는 것은 휴대하기 쉽다는 것을 의미하지만, 분실의 위험도 크다는 것도 의미한다.

자동차를 사면 기본 키와 함께 예비 키를 준다. 왜? 기본 키를 잃어버려서 자동차의 문을 열지 못하는 사태가 있을 수 있기 때문이다. 설령 그런 일이 없을지라도, 2개 이상의 키가 있음에 안심할 수 있다.

그런 연유로 YubiKey가 하나밖에 없다면, 구글 계정에 YubiKey 를 제외한 다른 인증 수단이 준비되어있지 않다면, 당신은 구글 계정에 엑세스 할 수 없게 될지도 모른다. 그렇기에 제작사인 Yubico에서도 기본키와 백업키를 동시에 등록하는 것을 강력히 권장한다. 애초에 Yubico 공식 홈페이지에서는 YubiKey 한 쌍을 팔기도 한다.

YubiKey 5 NFC를 사고, 백업키로 YubiKey 5C NFC를 사는 것은 같은 시리즈의 USB 타입만 다른 키로 별 문제가 없다.

다만, 해외 직구로 구매 시에는 YubiKey 공식 사이트나 아마존에서 살 때 주의해야한다. Yubico에서는 공식적으로 YubiKey에 대한 전파인증KC 인증을 받은 사실이 없으므로 원칙상 관세청은 자가사용목적으로 1개만 통관시켜준다.


3. 사용처[편집]



3.1. FIDO[편집]


그냥 Microsoft WindowsmacOS, 리눅스 같은 운영체제에 꽂으면 아무것도 없는 깡통 USB로 인식된다. 그러나 컴퓨터의 설정을 보면 YubiKey OTP+FIDO+CCID 로 표기된다. 여기서 FIDO는 Fast IDentity Online라고, U2F를 지원한다. 간단하게, 비밀번호를 보완하는 시스템이다. 예를 들어, 구글의 고급 보호 옵션에서는 YubiKey 같은 FIDO가 지원되는 키를 등록할 수 있다. 2개의 키가 있는 것이 좋다. 하나는 기본적으로 사용하는 키, 하나는 백업용[1]. 구글의 고급 보호를 켠 상태에서 듣도보도 못한 장비에 꽂으면, 구글측은 등록한 보안키 꽂으렴(혹은 NFC 인증) 한다. 이건 안드로이드도 마찬가지고, 일반 구글 로그인도 마찬가지다. 만약에 등록된 보안키를 안 꽂는다 싶으면 구글은 로그인을 차단시켜 버린다.

또한 WebAuthn 로그인이라고 있는데, 서버에 키를 등록시켜두면 귀찮게 OTP를 등록해두지 않아도 보안키만 한번 눌러주면 자동으로 로그인이 된다. 나무위키도 WebAuthn 을 지원하고 있다. 그래서 2단계 OTP에서 WebAuthn 로그인을 클릭하고 USB를 꽂거나 혹은 NFC(선택사항)을 해주면 직통 로그인이 되어버린다.

예시로 구글 계정의 경우, 추가적으로 10개의 일회용 복구 키를 발급할 수 있다. Yubikey 2개를 구매하기에는 부담스럽거나, 아니면 혹시나 키를 다른 곳에 두고 왔을 때 긴급할 때 로그인하는 경우를 고려하면, 발급해두는 것이 좋을 수 있다.
단순히 FIDO기능만 필요하다면, 가장 저렴한 Security Key(25불)를 구매하면 된다. Security Key는 FIDO U2F 기능만 제공한다고 보면 된다.


3.2. OTP[편집]


당연히 칩에서 OTP를 지원한다. FIDO도 지원하지만, OTP 정보를 칩 안에 넣어서 다닐수 있다. 즉, YubiKey에 들어간 모든 OTP 정보는 YubiKey에 저장된다. Yubico Authenticator을 설치해도, 기본적으로는 아무것도 나오지 않는다. YubiKey를 삽입해야 2단계 인증 키를 알 수 있다.



파일:크리에이티브 커먼즈 라이선스__CC.png 이 문서의 내용 중 전체 또는 일부는 2023-11-05 22:08:34에 나무위키 YubiKey 문서에서 가져왔습니다.

[1] 백업용이 없어도 사용은 가능하나, 분실의 위험과 혹시 모를 상황을 대비해 백업용 YubiKey를 하나 보관하는게 좋다. Yubico에서도 추천한다.