OnlyKey: guia completa d'ús als dispositius Android

  • OnlyKey funciona en Android com a teclat segur, generador TOTP i clau FIDO2/U2F, usant adaptador OTG quan és necessari.
  • El mòbil pot combinar la biometria integrada amb OnlyKey: aquest protegeix l'alta inicial i la biometria simplifica els accessos posteriors.
  • Des de Chrome o Firefox a Android, OnlyKey permet xifrar i desxifrar fitxers i ajustar l'hora per generar codis TOTP correctes.
  • Combinant OnlyKey amb gestors de contrasenyes i les seves opcions avançades de microprogramari s'aconsegueix un nivell alt de seguretat també a mòbil.
Joaquin Romero

14 minuts

com utilitzar OnlyKey

Si tens un OnlyKey i vols fer-lo servir amb el teu mòbil Android, segurament t'hauràs trobat amb informació dispersa, poc clara o massa tècnica. Aquí trobaràs una guia completa i pràctica per utilitzar OnlyKey en dispositius Android, des dels primers requisits fins a funcions avançades com FIDO2, TOTP, xifrat de fitxers i ús combinat amb gestors de contrasenyes.

Anem a repassar totes les formes en què pots aprofitar OnlyKey amb Android: com a teclat segur, com a clau de seguretat FIDO2/U2F, per generar codis TOTP, per xifrar i desxifrar arxius des del navegador i per integrar-lo amb el teu flux de treball diari. La idea és que, quan acabis, tinguis clar què necessites, com connectar-ho i què pots fer realment amb ell al teu mòbil.

OnlyKey i mòbils Android: com encaixen

Els smartphones actuals ja inclouen un autenticador de maquinari integrat compatible amb FIDO2 (el que usen les webs per “utilitzar aquest dispositiu” amb empremta o PIN). Això vol dir que Android ja porta una clau de seguretat interna que treballa amb empremta dactilar, PIN o reconeixement facial, i que per a la majoria dusuaris és suficient per al dia a dia.

No obstant això, OnlyKey aporta diversos avantatges davant de dependre només del mòbil: emmagatzematge segur de contrasenyes complexes, múltiples factors d'autenticació, funcions de clau de seguretat FIDO2/U2F i opcions de xifratge de fitxers i missatges. A Android, el més habitual és fer servir OnlyKey per al primer inici de sessió en una app o servei i després activar el desbloqueig biomètric del propi mòbil per als accessos següents.

Aquesta combinació permet obligar-te a fer servir contrasenyes fortes i 2FA la primera vegada (gestionades per OnlyKey) i després aprofitar la comoditat de l'empremta o el reconeixement facial d'Android, sense estar connectant el dispositiu a cada inici de sessió.

Utilitza el teu Android com a clau de seguretat per iniciar sessió a Windows
Article relacionat:
Utilitza el teu Android com a clau de seguretat per iniciar sessió a Windows

Requisits previs per utilitzar OnlyKey a Android

Abans de posar-te a provar coses, és important revisar alguns requisits bàsics perquè OnlyKey funcioni bé a Android i evitar errors ximples:

  • Firmware actualitzat: assegura't que el teu OnlyKey té la darrera versió del microprogramari. Les noves versions corregeixen errors, milloren la compatibilitat amb navegadors mòbils i hi afegeixen funcions de seguretat. La càrrega de microprogramari es realitza des de l'app d'escriptori d'OnlyKey, seguint les instruccions oficials del fabricant.
  • Adaptador adequat: a Android necessites un adaptador USB On-The-Go (OTG). Si el vostre OnlyKey és model DUO amb connector USB-C, normalment no necessites adaptador addicional en mòbils amb USB-C; si és el model amb USB-A, necessitaràs un adaptador OTG USB-A a USB-C o microUSB compatible amb el teu telèfon.
  • Permisos d'USB a Android: la primera vegada que connecteu OnlyKey, Android us mostrarà un avís per permetre que el navegador o l'app accedeixi al dispositiu USB. És important acceptar aquest permís perquè el mòbil es pugui comunicar amb OnlyKey.
  • Clau de xifratge carregada si utilitzareu funcions de xifrat: per xifrar i desxifrar fitxers o missatges amb OnlyKey, cal que el dispositiu tingui claus PGP/OpenPGP configurades. Això es fa amb lapp descriptori o seguint la guia de generació i importació de claus del fabricant.

Biometria integrada d'Android i OnlyKey: millor junts

A Android pots fer servir la clau de seguretat integrada del telèfon (el mòdul FIDO2 intern) amb empremta o PIN. Un bon enfocament pràctic és:

  • Utilitza OnlyKey al primer inici de sessió per introduir una contrasenya llarga i el segon factor (TOTP, FIDO, OTP, etc.).
  • Un cop dins de l'app o servei, activar l'inici de sessió amb empremta dactilar o reconeixement facial que ofereixi l'aplicació.

D'aquesta manera reforques la seguretat inicial de l'alta (les credencials es creen i s'introdueixen des d'un dispositiu físic extern, OnlyKey) ia partir d'aquí feu servir la comoditat de la biometria d'Android. Si perds el mòbil, l'atacant necessitarà també el PIN/empremta del dispositiu i no només la contrasenya, cosa que redueix força el risc.

OnlyKey com a teclat segur i generador TOTP a Android

Android detecta OnlyKey fonamentalment com un teclat USB (dispositiu d'entrada HID). Això significa que moltes funcions bàsiques que utilitzes a l'ordinador també funcionen al mòbil:

  • Contrasenyes estàtiques: pots emmagatzemar contrasenyes complexes als slots d'OnlyKey i fer que les “teclegi” en qualsevol camp de contrasenya a Android (apps o navegador), igual que en un PC.
  • Usuari + contrasenya: en un mateix slot pots desar usuari i contrasenya, i OnlyKey escriurà tots dos en seqüència, amb retorns de carro o tabuladors segons el que hagis configurat.
  • OTP estil YubiKey: els codis Yubico® OTP que OnlyKey pot generar també s'escriuen directament en qualsevol camp de text.

Pel que fa als codis TOTP (tipus Google Authenticator), OnlyKey també pot generar codis d'un sol ús de 6 dígits que es renoven cada 30 segons. A Android funcionen igual que a escriptori, amb un matís important: el dispositiu necessita tenir l'hora correctament ajustada.

Com que OnlyKey no té bateria interna, no desa l'hora quan el desconnectes. Per això, si el connecteu a Android i demaneu un TOTP sense que l'hora s'hagi sincronitzat abans, OnlyKey pot escriure “NOTSET” en lloc del codi. Per evitar-ho, n'hi ha prou amb:

  • Obrir al navegador d'Android (Chrome o Firefox) la web https://apps.crp.to.
  • Connectar OnlyKey i acceptar la finestra emergent que demana permís per accedir al dispositiu.
  • La pròpia web s'encarrega de enviar l'hora actual a OnlyKey, ia partir d'aquell moment els TOTP es generaran correctament a qualsevol app o web.

És un truc molt útil per utilitzar TOTP “on-the-go” sense l'app d'escriptori, únicament amb el navegador del mòbil.

Usar OnlyKey com a clau de seguretat en Android (FIDO2/U2F/WebAuthn)

OnlyKey pot actuar com clau de seguretat compatible amb FIDO U2F, FIDO2 i WebAuthn. A Android, el procés és molt semblant al d'un ordinador, però passa pel navegador del mòbil (Chrome o Firefox) i accepta alguns quadres de diàleg extra de permisos.

No necessites configuració prèvia especial per utilitzar-lo com a clau FIDO2/U2F: OnlyKey ve llest de sèrie com a security key. Els passos típics per registrar-la i fer-la servir en Android serien:

  • Connectar OnlyKey al mòbil usant l'adaptador OTG corresponent.
  • Desbloquejar OnlyKey introduint el PIN al teclat tàctil.
  • Obrir el navegador (Chrome o Firefox a Android) i entrar a la pàgina on vulguis registrar la clau de seguretat.
  • A la configuració de seguretat d'aquesta pàgina, triar afegir una clau de seguretat FIDO/U2F/FIDO2.
  • Android mostrarà missatges emergents demanant permís per utilitzar un dispositiu de seguretat extern; cal anar acceptant aquestes finestres.
  • Quan OnlyKey comenci a parpellejar en blau, només cal prémer qualsevol botó del dispositiu per completar el registre.

Un cop registrat, en futurs inicis de sessió el flux serà similar: la web et demanarà fer servir la clau de seguretat, Android obrirà el diàleg d'autenticació WebAuthn, OnlyKey parpellejarà en blau i hauràs de tocar un botó per confirmar. Mentre la llum blava parpelleja, OnlyKey desactiva l'escriptura de contrasenyes per evitar que sense voler escriguis un password en lloc de respondre al desafiament FIDO.

Tingues en compte que, encara que ja haguessis registrat OnlyKey com a clau de seguretat en un ordinador de sobretaula, moltes webs demanen tornar a registrar la clau específicament a Android, perquè el navegador i el sistema gestionen les credencials de forma separada per dispositiu.

Xifratge i desxifrat d'arxius amb OnlyKey a Android

Una altra funció potent és la capacitat de xifrar i desxifrar fitxers directament des del navegador del mòbil usant les claus PGP que emmagatzema OnlyKey. Això es fa mitjançant el web d'OnlyKey (WebCrypt) que interactua amb el dispositiu a través de l'API WebUSB a Android (Chrome o Firefox).

Xifrar fitxers des d'Android

Per xifrar fitxers amb OnlyKey usant un mòbil Android, el flux típic és:

  • Connectar OnlyKey al mòbil mitjançant l'adaptador OTG.
  • Introduir el PIN per desbloquejar el dispositiu.
  • Obrir el navegador i accedir a la URL https://apps.crp.to/encrypt-file.
  • Android mostrarà una finestra emergent per concedir permís al navegador per accedir a OnlyKey; cal acceptar.
  • Si tot va bé, la web mostrarà un missatge tipus “OnlyKey Secure Connection Established”, indicant que la comunicació xifrada amb el dispositiu està activa.
  • Indiqueu el nom d'usuari de Keybase o un altre identificador suportat, tant del remitent com del destinatari (en cas de xifrar per a tu mateix, tots dos seran el mateix usuari).
  • Seleccionar els fitxers que vols xifrar i prémer el botó de xifrar i signar.
  • És probable que apareguin diverses finestres emergents de permís perquè el navegador segueixi usant el dispositiu; cal anar-les acceptant.
  • Quan OnlyKey mostri un codi de desafiament a la pantalla tàctil, hauràs d'introduir-lo al propi dispositiu per autoritzar l'operació.

Aquest codi de desafiament serveix com mesura de seguretat addicional per a operacions PGP. Si preferiu prioritzar la comoditat, a les preferències de l'app d'OnlyKey podeu desactivar l'ús del codi de desafiament per a PGP i fer que n'hi hagi prou amb prémer qualsevol botó per autoritzar l'acció. Això sí, renuncies a una capa de protecció extra davant d'ús no autoritzat.

comparativa entre Google Titan M vs Samsung Knox
Article relacionat:
Google Titan M vs Samsung Knox: seguretat, privadesa i quin mòbil et convé

Desxifrar fitxers en Android

el procés per desxifrar arxius en Android usant OnlyKey segueix una lògica semblant:

  • Connectar OnlyKey al mòbil per OTG i desbloquejar-lo amb el PIN.
  • Obrir el navegador i entrar a https://apps.crp.to/decrypt-file.
  • Accepteu l'avís de permisos de dispositiu USB.
  • Confirmar que la web indica alguna cosa tipus connexió segura establerta amb OnlyKey.
  • Introduir el vostre nom d'usuari de Keybase (o el corresponent sistema de claus que esteu usant).
  • Seleccionar el fitxer xifrat amb extensió .gpg que vulguis desxifrar.
  • Accepteu les finestres emergents que apareixeran per permetre la comunicació repetida amb OnlyKey.
  • Quan el dispositiu mostri el codi de desafiament, introduïu-lo a OnlyKey per autoritzar el desxifrat.
  • En acabar, el navegador descarregarà un fitxer comprimit .zip amb el contingut desxifrat.
  • A Android, necessitaràs una app de descompressió de zips (tipus WinZip, RAR, ZArchiver, etc.) per obrir aquest .zip i accedir als fitxers.

De nou, pots triar entre mantenir el codi de desafiament per a màxima seguretat o canviar les preferències de PGP per acceptar només una pulsació de botó com a autorització ràpida quan la usabilitat sigui més important que la capa extra de verificació.

Seguretat física i comoditat en mòbils: OnlyKey vs NFC vs clau integrada

En utilitzar autenticació forta a mòbils convé tenir clar l'equilibri entre seguretat física, comoditat i tipus de clau que utilitzes. A grans trets podríem comparar-ho així:

Clauer de seguretat integrat en Android Clau USB tipus OnlyKey Clau NFC externa
seguretat física Mitjana/alta, requereix accés físic al mòbil i al PIN/biometria Alta, és un dispositiu separat i protegit per PIN Més baixa, pot ser vulnerable a atacs de proximitat (apropar un lector)
Comoditat d'ús Molt alta, tot integrat al propi telèfon Més baixa, cal connectar per USB/OTG cada vegada que es faci servir Mitjana, només cal acostar la clau al lector NFC

Des d'un punt de vista pràctic, la clau de seguretat integrada d'Android sol ser més còmoda que una clau NFC i alhora més segura que dependre únicament de contrasenyes. OnlyKey, en anar per USB i requerir PIN propi, aporta un nivell extra d'aïllament: encara que algú tingui el teu mòbil, sense el dispositiu i el PIN no pot reproduir els teus factors d'autenticació.

Utilitza OnlyKey «sobre la marxa» sense app descriptori

Una de les gràcies d'OnlyKey és que pots utilitzar-lo a gairebé qualsevol equip o mòbil encara que no tingui l'app oficial instal·lada, aprofitant que es comporta com un teclat i que hi ha la web apps.crp.to per a operacions més avançades.

A Android, això es tradueix en què pots:

  • Connectar OnlyKey per OTG i entrar a apps.crp.to per sincronitzar l'hora i fer servir TOTP.
  • Utilitzar OnlyKey per teclejar contrasenyes complexes a qualsevol app, sense necessitat d'instal·lar res especial al mòbil.
  • Accedir a les funcions de xifrat/desxifrat de fitxers únicament des del navegador, sense programari addicional.

Això permet que OnlyKey funcioni bé com dispositiu «portàtil» de seguretat: ho portes amb tu, ho endolles al mòbil quan ho necessitis i no depens tant de tenir una màquina concreta configurada.

Gestors de contrasenyes, OnlyKey i Android

OnlyKey pot emmagatzemar directament fins 24 comptes als seus slots (dos per cadascun dels sis botons a cada perfil), però en molts casos t'interessa combinar-lo amb un gestor de contrasenyes per escalar centenars de credencials.

L'estratègia recomanada és utilitzar OnlyKey per protegir el accés al gestor de contrasenyes més que per reemplaçar-lo del tot. Per exemple:

  • Configurar un slot d'OnlyKey amb les credencials i/o 2FA de KeePassXC, LastPass, Dashlane o el gestor de Google (Smart Lock).
  • fer que només pots obrir el gestor si tens físicament el teu OnlyKey connectat i desbloquejat.
  • Desar al gestor la resta de contrasenyes menys crítiques, de manera que OnlyKey quedi reservat per als comptes realment importants o per a la clau mestra.

En escriptori, OnlyKey s'integra de manera molt potent amb KeePassXC mitjançant challenge-response HMAC-SHA1: per obrir la base de dades necessites la contrasenya mestra i alhora una resposta generada per OnlyKey. A Android, l'enfocament més realista és fer servir el gestor de contrasenyes amb sincronització (per exemple, KeePassXC sincronitzat via núvol xifrat o un gestor en línia) i validar l'accés inicial amb OnlyKey quan tinguis un ordinador o, si el gestor ho permet, fer servir la clau de seguretat integrada d'Android com a segon factor.

Configuració, preferències i modes avançats d'OnlyKey

Encara que gran part de la configuració avançada es fa millor des de la aplicació d'escriptori d'OnlyKey, convé saber quines opcions hi ha perquè afecten l'ús en Android:

  • Temps de bloqueig per inactivitat: pots definir quant de temps roman OnlyKey desbloquejat sense fer-se servir. Un valor típic són 30 minuts, però si et preocupa la seguretat física, pots reduir-lo perquè es bloquegi abans.
  • Velocitat de tecleig: si veus que Android perd caràcters o l'app no ​​registra bé el que escriu OnlyKey, pots baixar la velocitat de clic. I si el teu mòbil va sobrat, la pots pujar perquè les contrasenyes s'introdueixin pràcticament a l'instant.
  • Distribució de teclat: si viatgeu o utilitzeu un teclat amb distribució diferent a la dels EUA, podeu ajustar el layout d'OnlyKey (espanyol, francès, alemany, etc.), cosa que evita desajustaments en escriure caràcters especials.
  • Maneres de clau derivada i emmagatzemada: per a operacions de SSH o PGP pots triar si has d'introduir un codi de desafiament de 3 dígits al dispositiu o si n'hi ha prou amb prémer un botó. Això influeix directament en com de còmode o segur serà fer servir OnlyKey des del mòbil per xifrar o signar.
  • Mode HMAC: defineix si les operacions de challenge-response requereixen o no pulsació de botó. En usos com el xifrat de disc complet o automatitzacions, podeu interessar no exigir interacció física.
  • Mode d'esborrat: és possible activar un esborrat complet que, a més d'esborrar les dades, esborri també el microprogramari en cas de restauració de fàbrica. És una mesura extrema per a escenaris d'alta amenaça, però tingues en compte que després hauràs de recarregar firmware.
  • Sysadmin Mode: permet a OnlyKey escriure combinacions de tecles complexes (Ctrl+Alt+Del, tecles de navegació, etc.), cosa útil sobretot en entorns d'escriptori o servidors, menys rellevant en mòbils però important si utilitzes teclat físic amb Android o estacions de treball remotes.

Moltes d'aquestes opcions no es toquen cada dia, però saber que existeixen t'ajuda a adaptar OnlyKey al teu nivell de seguretat ia la teva manera de treballar, també quan el connectes a un telèfon Android.

Còpia de seguretat segura d'OnlyKey des de qualsevol lloc

Una altra característica interessant d'OnlyKey és que permet fer una còpia de seguretat xifrada de tota la configuració en forma de text. Aquesta còpia inclou comptes, preferències i claus i es protegeix amb una frase o clau de còpia de seguretat que definiu.

El procediment estàndard es fa amb l'app d'escriptori, però conceptualment funciona igual a qualsevol sistema: OnlyKey «escriu» la còpia com si fos un teclat, de manera que pots enganxar el text en un editor, en un correu oa la pròpia app i guardar-ho on prefereixis. Després, per restaurar, s'importa aquest text xifrat i es torna a escriure al dispositiu.

En el context d'Android no és molt còmode teclejar un backup tan llarg directament en una app del mòbil, però és important entendre que OnlyKey està dissenyat perquè les còpies de seguretat es puguin fer gairebé a qualsevol costat on hi hagi un camp de text i el dispositiu pugui funcionar com a teclat.

característiques del pany Xiaomi Smart Door Lock 4 Pro
Article relacionat:
Xiaomi Smart Door Lock 4 Pro: característiques, seguretat i domòtica a la porta

Amb tot això, OnlyKey es converteix en una peça força flexible dins del teu ecosistema de seguretat: a Android el pots utilitzar tant per gestionar logins amb contrasenyes fortes, com per actuar com a clau FIDO2, generar TOTP, xifrar i desxifrar fitxers o reforçar l'accés a gestors de contrasenyes. La clau és combinar bé les seves funcions amb la biometria i la clau integrada del propi mòbil per aconseguir un equilibri raonable entre seguretat forta i comoditat en el dia a dia. Comparteix la informació i més usuaris ho coneixeran tot sobre OnlyKey.