Les Yubikeys sont des clés USB commercialisées par Yubico. Leur intérêt réside dans le fait que ces clés sont des dispositifs physiques d’authentification. Plusieurs possibilités sont offertes : U2F, 2FA, PGP, etc.
Ces clés sont utilisées par de nombreuses entreprises et professionnels pour ajouter une couche de sécurité physique. Seul le détenteur de la clé peut accéder au compte visé à l’aide d’un code U2F (Universal Second Factor).
Généralement ce code U2F est envoyé sur un téléphone via SMS ou par une application dédiée, ou encore par email. Ici, le « second facteur » d’authentification est généré par la clé USB qui implémente une puce dédiée à cela (similaire aux Smart Cards de vos cartes bancaires). Il suffit de brancher la clé USB et d’appuyer sur un bouton pour générer un code unique. Dans ce cas il est généré par la Yubikey. Il est notamment impossible d’utiliser des attaques types MITM (Man In The Middle) comme pour un téléphone portable si vous recevez le code par SMS ou via une application. De même, vos comptes ne sont pas compromis si votre adresse e-mail est piratée.
De nombreux services sont maintenant nativement compatibles : Facebook, Twitter, Youtube, Github, GitLab, BitBucket, Lastpass, Dashlane, Dropbox, Google Drive, Onedrive, la majorité des navigateurs et bien d’autres encore.
L’avantage d’une solution physique est qu’elle ne peut pas être piratée. L’idée qu’un attaquant puisse accéder et compromettre à distance un outil tel qu’un téléphone est réduite à néant. Evidemment, une clé ça se perd… Mais il est possible d’en avoir une de secours.