Физическа сигурност за вашите акаунти: Ръководство за потребителя на мобилни устройства OnlyKey

  • OnlyKey действа като защитена клавиатура, FIDO2/U2F ключ и TOTP генератор, също и на Android, използвайки обикновен OTG адаптер.
  • Комбинацията от OnlyKey за първоначални регистрации и интегрирана мобилна биометрия предлага висока сигурност с максимално удобство.
  • С помощта на apps.crp.to можете да криптирате/декриптирате файлове и да синхронизирате TOTP времето от вашия браузър, без да инсталирате никакъв софтуер.
  • Разширената конфигурация, криптираните резервни копия и използването с мениджъри на пароли правят OnlyKey преносимо ядро ​​за сигурност.
Lorena Figueredo

15 Minutos

Физическа сигурност за вашите акаунти: Ръководство за потребителя на мобилни устройства OnlyKey

Ако имате OnlyKey и телефон с Android, вероятно вече сте се сблъсквали с разпръснати уроци, английски форуми и непълни ръководства Те не обясняват съвсем как да извлечете максимума от устройството при ежедневна употреба. Тук ще намерите всичко на едно място: от това как да го свържете чрез OTG до това да го използвате като FIDO2 ключ, защитена клавиатура, генератор на TOTP или да криптирате файлове директно от браузъра на телефона си.

Идеята е, че когато приключите с четенето, ще имате ясно разбиране Какво трябва да закупите, как да свържете OnlyKey към мобилния си телефон, какви разрешения трябва да приемете и кои модели на употреба в реалния свят работят най-добре, когато се комбинират с биометрични данни на Android (пръстов отпечатък, лице или ПИН). Ще видите също как OnlyKey се сравнява с други U2F/FIDO2 ключове и какви типични проблеми може да срещнете с браузъри, TOTP време или съвместимост.

OnlyKey и телефони с Android: как работят на практика

Съвременните смартфони с Android вече включват вътрешен хардуерен автентификатор, съвместим с FIDO2/WebAuthnТова е, което много уебсайтове използват, когато ви предлагат опцията да „използвате това устройство“ с пръстов отпечатък или ПИН код. С други думи, вашият собствен мобилен телефон може да действа като вграден ключ за сигурност, без да са необходими никакви аксесоари.

OnlyKey обаче добавя допълнителен слой, защото Пазете тайните си далеч от телефона сиСъхранява сложни пароли, поддържа множество 2FA фактори (TOTP, FIDO2/U2F, OTP в стил YubiKey, HMAC challenge-response), запазва PGP ключове и ви позволява да криптирате/подписвате файлове или съобщения. В Android най-удобният начин да го използвате е да използвате OnlyKey за първото влизане и след това... Нека мобилните биометрични данни обработват ежедневните входове.

Този подход ви принуждава да използвате дълги пароли и силна 2FA при първоначална регистрацияуправлявано от OnlyKey, и след това се наслаждавате на скоростта на разпознаване на пръстови отпечатъци или лице. Резултатът е, че дори ако някой ви открадне телефона, Познаването на парола не е достатъчно.Това би изисквало и биометричните данни или ПИН кода на устройството, а в много случаи дори и самият OnlyKey.

Също така имайте предвид, че OnlyKey се конкурира в същата сфера като други FIDO2 ключове, като YubiKey, Nitrokey, Titan, Authenton и Token2. Всички те споделят основата FIDO2/WebAuthn, но OnlyKey се откроява, защото Многопротоколният му подход и дълбоката интеграция с TOTP, PGP, SSH и мениджъри на паролиТова е много интересно, ако работите от Linux, използвате Firefox и искате да централизирате сигурността си на едно устройство.

Предварителни изисквания за използване на OnlyKey на Android

Преди да свържете устройството към телефона си и да се побъркате с прозорците за разрешения, е добре да прегледате кратък контролен списък с... Технически изисквания за Android, за да разпознава и използва правилно OnlyKey.

  • Фърмуерът е актуаленУверете се, че вашият OnlyKey има най-новата версия на фърмуера. Актуализациите отстраняват грешки, разширяват съвместимостта (включително WebAuthn в мобилни браузъри) и добавят подобрения в сигурността. Качването се извършва чрез официалното приложение за настолни компютри, следвайки инструкциите на производителя.
  • Правилен USB OTG адаптерВ Android, OnlyKey действа като USB устройство. Ако имате OnlyKey DUO с USB-C, можете да го свържете директно към повечето съвременни смартфони. Ако вашият модел е USB-A, ще ви е необходимо... USB-A към USB-C или microUSB OTG адаптер Сертифициран за OTG; не просто някакъв евтин кабел, който служи само за зареждане.
  • USB разрешения на AndroidПървия път, когато го включите, Android ще покаже предупреждение, което ще ви попита дали искате да разрешите на приложение (обикновено браузър) достъп до USB устройството. Това е ключово. приемам това разрешениеИ ако можете да изберете „запомни“, още по-добре, за да не ви пита на всеки две минути.
  • PGP/OpenPGP ключове са заредени, ако ще криптиратеАко целта ви е да криптирате или декриптирате файлове и съобщения от мобилния си телефон, OnlyKey вече би трябвало да има тази функция. Генерирани или импортирани PGP ключовеТова се прави с настолното приложение или с помощта на инструментите, препоръчани от производителя, преди да се премине към Android.

Успоредно с това, много производители на NAS или корпоративни услуги, които интегрират FIDO2 (като сървъри с удостоверяване с парола, QNAP и др.), също изискват HTTPS връзка с валиден домейн и браузър, съвместим с WebAuthnАко ще използвате OnlyKey с тези видове услуги от мобилното си устройство, уверете се, че отговаряте на тези изисквания (име на домейн, без директни IP адреси или SmartURLs, които променят дестинацията).

Биометрия на Android и OnlyKey: Умна комбинация

Android се предлага стандартно с вътрешен FIDO2 автентификатор, свързан с пръстов отпечатък, лице или ПИНТова ви позволява да влизате в много уебсайтове, използвайки „използвайте това устройство“, без да използвате OnlyKey. Най-разумният подход за повечето потребители е да комбинират двата метода, вместо да избират само един.

Много практичен работен процес включва използването OnlyKey за адаптация За нови приложения и услуги: въведете потребителското си име, силна парола и, ако е приложимо, втори фактор (TOTP, FIDO2, OTP). След като влезете, активирайте отключването с пръстов отпечатък или лицево разпознаване, предлагано от приложението или браузъра.

По този начин, първоначалната сигурност е висока, защото Идентификационните данни се създават извън мобилното устройство.на защитено с ПИН и устойчиво на злонамерен софтуер устройство, докато ежедневната употреба е удобна благодарение на интегрираната биометрична информация. Ако услугата по-късно поддържа пароли за резиденти/FIDO2, можете също да регистрирате интегриран мобилен ключ като друг удостоверител и имат съкращения.

В бизнес среди, където се изискват стандарти като задължителен FIDO2, Zero Trust или сертифицирани автентификатори, тази комбинация от външен физически ключ + вътрешен биометричен автентификатор Точно това много компании (Cloudflare, T-Mobile, големи платформи) внедряват в голям мащаб.

OnlyKey като защитена клавиатура и генератор на TOTP за Android

Когато го свържете чрез USB/OTG, Android основно разпознава OnlyKey като стандартна HID клавиатураБлагодарение на това, почти всичко, което правите на настолен компютър, може да бъде възпроизведено на мобилния ви телефон, без допълнителни приложения.

  • Статични паролиМожете да съхранявате дълги, уникални и сложни пароли в слотовете OnlyKey и да позволите на устройството да ги „въведе“ във всяко поле за парола на Android, независимо дали в оригинални приложения или в браузъра.
  • Потребителско име + паролаВ същия слот можете да конфигурирате потребителя да въвежда първо текст, след това табулация или връщане на каретката и накрая паролата, адаптирайки се към по-основни или по-сложни форми.
  • Тип YubiKey OTPOnlyKey може също да издава OTP кодове, съвместими с формата Yubico® OTP, които се записват директно в текстовото поле, точно както физически YubiKey, настроен на OTP режим.

Що се отнася до удостоверяването, базирано на време, OnlyKey може генериране на 6-цифрени TOTP кодовекакто биха направили Google Authenticator или Aegis, подновявайки кода на всеки 30 секунди. Ето една важна подробност: OnlyKey няма вътрешна батериятака че не запазва времето, когато е изключен от контакта.

Ако свържете устройството към мобилния си телефон и натиснете бутон, конфигуриран с TOTP, без предварително да сте синхронизирали времето, OnlyKey ще запише „NOTSET“ вместо кодаРешението е просто и работи както на Android, така и на iOS:

  • отваря Chrome или Firefox на Android и влиза https://apps.crp.to.
  • Свържете OnlyKey, приемете подканата с искане за разрешение за използване на USB устройството.
  • Уебсайтът използва WebUSB за изпраща текущото време до OnlyKey безопасно; от този момент нататък TOTP ще се генерират правилно по време на тази сесия.

Този малък трик превръща OnlyKey в истински заместител на приложението за удостоверяване Когато сте далеч от дома: не ви е необходимо настолното приложение, а само съвместим браузър на мобилното ви устройство.

OnlyKey като FIDO2/U2F/WebAuthn ключ на Android

Ръководство за потребителя на мобилни устройства OnlyKey

OnlyKey е фабрично настроен да функционира като Ключ за сигурност FIDO U2F, FIDO2 и WebAuthnТочно както при други устройства на пазара (YubiKey, Nitrokey, Titan, SoloKeys и др.). На Android работният процес е практически идентичен с десктоп версията, с изключение на това, че всичко минава през мобилния браузър.

За да регистрирате OnlyKey като ключ за сигурност на съвместим уебсайт от Android, типичният процес е следният:

  • Свържете OnlyKey към мобилния си телефон, като използвате подходящия OTG адаптер.
  • Въведете ПИН кода на сензорната клавиатура на устройството, за да отключете го.
  • Отворете Chrome или Firefox и отидете на страницата, където искате да добавите ключ за сигурност.
  • В настройките за сигурност на уебсайта изберете Добавяне на FIDO ключ за сигурност / ключ за сигурност / хардуерен ключ за достъп.
  • Приемайте изскачащи диалогови прозорци на Android, които ви подканват да използвате външно устройство за сигурност.
  • Когато синята светлина на OnlyKey мига, докоснете произволен бутон, за да потвърдите регистрацията.

При следващи влизания, уебсайтът ще задейства потока WebAuthn и Android отново ще покаже съответното поле за удостоверяване. Докато синята светлина мига, OnlyKey временно блокира писането на парола за да не въвеждате парола в грешното поле, вместо да потвърдите FIDO предизвикателството.

Един важен момент: дори ако вече имате регистриран ключ от компютър, много услуги се опитват всеки браузър и устройство като отделен контекстТова означава, че ще трябва да повторите регистрацията на ключа на Android (и iOS), за да го използвате там като FIDO2/U2F.

Шифроване и дешифриране на файлове с OnlyKey на Android

Една от най-мощните характеристики на екосистемата OnlyKey е възможността да Криптирайте и декриптирайте файлове директно от мобилния си браузър използвайки PGP ключовете, съхранени на устройството. Всичко това се прави чрез WebCrypt, официалното уеб приложение, хоствано на apps.crp.to, което комуникира с OnlyKey чрез WebUSB.

Криптирайте файлове от мобилния си телефон

За да криптирате документи на Android с OnlyKey, обичайният процес е доста лесен, ако следвате внимателно тези стъпки и с правилно предоставените разрешения.

  • Свържете OnlyKey чрез OTG и го отключете с вашия ПИН код.
  • Отворете браузъра и посетете https://apps.crp.to/encrypt-file.
  • Когато се появи подканата за разрешения за USB, докоснете „Разрешаване“, за да разрешите на браузъра достъп до устройството.
  • Ако всичко върви добре, ще видите съобщение като това: „Установена е защитена връзка OnlyKey“, знак, че криптираната комуникация е активна.
  • Въведете потребителското си име в Keybase или друг съвместим идентификатор както за подателя, така и за получателя; ако криптирате себе си, просто повторете потребителското си име и в двете полета.
  • Изберете файловете, които искате да защитите, и щракнете върху бутона „Шифроване и подписване“.
  • Приемете всички допълнителни изскачащи прозорци, които се появяват, за да продължите да разрешавате достъп до OnlyKey.
  • Когато устройството показва многоцифрен код за предизвикателство, въведете го в самия OnlyKey, за да оторизирате PGP операцията.

Този код за проверка е силен защитен слой, който предотвратява достъпа на злонамерен софтуер до браузъра. може да поръчва операции за криптиране/подписване без вашето физическо взаимодействиеАко давате приоритет на скоростта пред параноята, в настолното приложение OnlyKey можете да деактивирате това предизвикателство за PGP и да оставите само натискане на бутон като потвърждение.

Дешифриране на файлове на Android

Обратният процес, декриптиране на получен .gpg файл, е много подобен:

  • Свържете OnlyKey със смартфона си и го отключете с вашия ПИН.
  • Отворете браузъра и влезте https://apps.crp.to/decrypt-file.
  • Приемете диалоговия прозорец за разрешения за USB, когато се появи.
  • Проверете дали уебсайтът показва, че е установена защитена връзка с OnlyKey.
  • Въведете потребителското си име за Keybase (или съответния идентификатор на ключ).
  • Изберете криптирания файл с разширение .gpg и щракнете върху декриптиране.
  • Това отново позволява изскачащи диалогови прозорци, които ви подканват да продължите да използвате устройството.
  • Въведете кода за предизвикателство, показан в OnlyKey, за да разрешите декриптирането.
  • Браузърът ще изтегли .zip файл с обикновения текст; ще ви е необходим приложение за декомпресиране на файлове (ZArchiver, RAR, WinZip и др.), за да го отворите на Android.

Както преди, можете да коригирате настройките в предпочитанията на OnlyKey, ако желаете. винаги изисквайте използването на кодове за предизвикателства или позволявайте одобрение само с едно докосванев зависимост от вашия личен баланс между безопасност и комфорт.

Мобилна физическа сигурност: OnlyKey срещу интегриран ключ и NFC

Когато обмисляте използването на хардуерни ключове за сигурност на мобилния си телефон, е важно да имате предвид баланса между комфорт, физическа сигурност и повърхност за атакаНакратко, можем да сравним три често срещани типа автентификатори:

Интегриран Android ключ (вътрешен FIDO2) USB флаш устройство тип OnlyKey Външен NFC ключ
Физическа охрана Среден/Висок: Изисква мобилен достъп и ПИН/биометричен пропуск. Високо: отделно устройство, защитено със собствен ПИН код Долна: потенциално уязвими към атаки от близост (близо до четец)
комфорт Много високо: всичко е интегрирано в самия телефон Долна част: ключът трябва да се свързва и отключва всеки път Медия: просто доближете ключа до съвместимия NFC четец

При ежедневна употреба, вътрешният ключ FIDO2 на Android обикновено е най-удобният вариант за основни приложениядокато USB памет с ПИН код, като OnlyKey, осигурява допълнителен слой изолация, идеален за критични акаунти, корпоративни системи или PGP криптиране.

OnlyKey „в движение“ без настолно приложение

Едно от големите предимства на OnlyKey е, че е предназначен за Работи на почти всеки компютър или мобилно устройство, без да е необходимо да инсталирате каквото и да било.Възползвайки се от факта, че е представен като USB клавиатура и че уебсайтът apps.crp.to съществува за напреднали задачи.

В Android това означава, че можете:

  • Свържете OnlyKey чрез OTG, въведете https://apps.crp.to и синхронизирайте времето за TOTP.
  • Използвайте го, за да Пишете дълги и уникални пароли във всяко приложение (банкиране, социални медии, имейл, мениджър на пароли).
  • Възползвайте се от разделите на криптиране/декриптиране на файлове и изпращане на съобщения без инсталиране на допълнителен софтуер на мобилното устройство.

Този подход прави OnlyKey чудесен избор, тъй като преносим охранителен „швейцарски ключ“Носите го на ключодържателя си, включвате го, когато ви е необходим, и не разчитате на основния си компютър за нищо важно, освен за поддръжка и по-разширена конфигурация.

Мениджъри на пароли, OnlyKey и Android

Въпреки че OnlyKey може да съхранява до 24 акаунта на профил в техните слотовеНа практика е обичайно да се комбинира с мениджър на пароли за обработка на стотици услуги. Най-препоръчителната тактика е да се използва OnlyKey за защитете достъпа до мениджърада не го заменя напълно.

Някои полезни подходи биха могли да бъдат:

  • Конфигурирайте слот OnlyKey с главната парола и/или 2FA от KeePassXC, Bitwarden, LastPass, Dashlane или мениджъра на Smart Lock на Google.
  • По този начин, Мениджърът може да бъде отворен само ако физическият ключ е наличен и отключен..
  • Резервирайте OnlyKey за най-важните акаунти (основен имейл, банков акаунт, корпоративна идентичност, достъп до NAS и др.) и управлявайте останалото от софтуерния мениджър.

На десктоп, интеграцията с KeePassXC отива още една крачка напред, използвайки HMAC-SHA1 в режим „предизвикателство-отговор“За да се отвори базата данни, са необходими както главна парола, така и отговор, който може да генерира само OnlyKey, което прави атаката изключително трудна, дори ако успеят да откраднат криптирания файл.

В Android най-реалистичният подход обикновено е да синхронизирате базата данни на KeePassXC с облака, използвайки допълнително криптиране (например с Cryptomator) и използвайте мобилни биометрични данни или съвместим FIDO2 ключ като втори фактор за отключването му, запазвайки OnlyKey за критични операции, когато имате достъп до компютър.

Разширени настройки и предпочитания, които влияят на използването на мобилни устройства

Повечето от разширените опции на OnlyKey се настройват най-добре от настолното приложение, но е важно да знаете за тях, защото Те определят преживяването, когато свържете ключа към Android..

  • Време за блокиране поради неактивностМожете да зададете колко дълго OnlyKey остава отключен, без да бъде натиснат. Около 30 минути е добра отправна точка; ако често го използвате на обществени места, може да искате да съкратите това време.
  • Скорост на писанеАко забележите, че символите се губят или приложението замръзва на Android, намалете скоростта. Ако всичко работи гладко, можете да я увеличите, така че паролите да се въвеждат почти мигновено.
  • Клавиатурна подредбаТова е ключово за тези, които използват испански или други подредби; ако подредбата OnlyKey не съответства на системната подредба, Символи като ñ, ударения или други символи могат да се показват неправилно.
  • Производни/съхранени ключови режими и HMACТе определят дали SSH, PGP или операциите тип „предизвикателство-отговор“ могат да се извършват с натискане на един бутон или изискват код за предизвикателство. Това коренно променя удобството на използването на криптиране и силно удостоверяване на мобилно устройство.
  • Режим на изтриване и пълно изтриванеМожете да поискате фърмуерът да бъде изтрит по време на фабричното нулиране. Това е крайна мярка за заплахи на високо ниво, но имайте предвид, че след това ще трябва сами да преинсталирате фърмуера.
  • Режим на системен администраторТази функция позволява на OnlyKey да въвежда клавишни комбинации като Ctrl+Alt+Del, клавиши със стрелки, Backspace и др. Тя има по-малко въздействие върху мобилните устройства, но може да бъде полезна, ако използвате Android като клиент за отдалечен работен плот с физическа клавиатура.

Добре дефинираните предпочитания ви позволяват Настройте OnlyKey към вашия рисков профил (по-параноично или по-удобно) и същевременно да избегнете изненади, когато го свържете в движение.

Защитени резервни копия на OnlyKey отвсякъде

OnlyKey включва много интересна функция, наречена Сигурно криптирано архивиране навсякъдеТова ви позволява да запазите цялата си конфигурация като криптиран текст, използвайки резервна фраза, която дефинирате. Този текст включва слотове, предпочитания и криптографски защитени ключове.

Копирането обикновено се прави от настолното приложение, но механизмът е универсален: OnlyKey „Напишете“ текста, сякаш е клавиатураТака че можете да го поставите в текстов редактор, имейл или в текстовото поле на приложението. След това, за да се възстанови, този криптиран текст се връща обратно в устройството.

На телефон с Android не е много удобно да се позволи на ключа да записва много дълго резервно копие в приложение, но е важно да се разбере, че Философията на устройството е да не зависи от някакъв специфичен патентован софтуер.Стига да има текстово поле и OnlyKey да може да действа като клавиатура, е възможно да вземете резервно копие със себе си.

Чрез комбиниране на тази възможност с добро управление на пароли, мобилна биометрия и стандарти FIDO2/WebAuthn, OnlyKey става сравнително гъвкав централен елемент от вашата лична стратегия за сигурностМожете да влизате със силни пароли, да го използвате като FIDO2 ключ, да генерирате TOTP, да криптирате и декриптирате файлове, да подсилвате мениджърите на пароли и в крайна сметка да намалите зависимостта си от слаби пароли и лесно фалшифицирани SMS или push известия, базирани на удостоверявания.


Може да ви заинтересува:
Как да премахнете вируси на Android
Следвайте ни в Google Новини