A klasszikus yubikey egy OTP azonosításra képes (a NEO-ban van már smart card is). Egészen pontosan a következőképpen működik:
- bedugod az USB portba, a gép felismeri, mint USB-s billentyűzetet
- fókuszálod a megfelelő input mezőt
- megnyomod a rajta levő gombot, ami beírja a "következő sorszámot"
- A szerver ezt feldolgozza: elküldi az autentikációs szervernek, aki megnézi, hogy az adott sorszám valid-e (a sorszám eleje a yubikey saját sorszáma, csak a vége változik)
- Az authentikációs szerver visszaküld egy igen/nem választ
Szóval a válasz: ez egy autentikációs eszköz, minden olyan dologhoz illesztheted, ami támogatja ezt a fajta autentikációt.
- A Facebookról volt szó, hogy használni fogja a yubikeyt, de azt hiszem csak a facebook alklalmazottak + a fejlesztők használják, a "nép"-nek nincs engedélyezve
- A google nem támogatja*
- SSH-ban használhatod PAM modullal
- PAM modul van hozzá
- (szerk.) Radius integráció is van
* Van olyan alkalmazás, ami a Google-ös OATH TOTP -s response-t generálja úgy, hogy az alkalmazás előtte yubikeyjel autentikál téged, hogy jogosult vagy-e látni ezt. Ez egy kicsit a körbeprogramozása a dolgoknak, ettől még a Google nem támogatja.
Az, hogy egy adott yubikeyt hány alkalmazásban használhatsz, nagyjából az dönti el, hogy privát autentikációs szervert üzemeltetsz, vagy a Yubico-ét használod. A szervernek ugyanis szinkronban kell lennie a yubikeyekkel, azaz nem akármilyen szekvenciát fogad el, hanem csak a következőt - pontosabban a következő N darab (talán 10?) valamelyikét. Ha felváltva akarnád két különböző privát, vagy egy privát és a Yubico publikus szerverét használni, akkor nagyon könnyen és gyorsan kikerül a szinkronból a yubikey.
Ugyan arra a privát autentikációs szerverre vagy a Yubico publikus autentikációs szerverére viszont tetszőleges
számú szolgáltatást fel lehet fűzni. Tehát ha például van egy yubikeyed, és úgy gondolod, hogy a Yubico maga nem jelent biztonsági kockázatot**, akkor azzal azonosíthatod magad SSH felé, LastPass-ban, Drupal-ban a yubikey modullal + bármi másban is, ami a Yubico autentikációs szervere felé küldi tovább az adataidat és onnan vár egy igen/nem választ.
** Könnyen elképzelhető olyan, hogy a Yubico publikus szerver - akár ideiglenesen - bizonyos szekvenciákat mindenképpen validnak fogad el, így egy harmadik fél (NSA meg a többi 3 betűs) ki tudja küszöbölni ezt az azonosítási faktort. Nincs olyan dokumentált eset, hogy ezt megtették volna, vagy hogy léteznének ilyen mesterkulcsok.