Wyjaśnienie U2F W jaki sposób Google i inne firmy tworzą uniwersalny token zabezpieczający
U2F to nowy standard uniwersalnych tokenów uwierzytelniania dwuskładnikowego. Te tokeny mogą korzystać z USB, NFC lub Bluetooth, aby zapewnić dwu-czynnikowe uwierzytelnianie w różnych usługach. Jest już obsługiwany w przeglądarkach Chrome, Firefox i Opera dla kont Google, Facebook, Dropbox i GitHub.
Ten standard jest wspierany przez sojusz FIDO, który obejmuje Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America i wiele innych dużych firm. Spodziewaj się, że tokeny bezpieczeństwa U2F będą wkrótce dostępne.
Coś podobnego wkrótce stanie się bardziej rozpowszechnione dzięki Web Authentication API. Będzie to standardowy interfejs uwierzytelniania, który działa na wszystkich platformach i przeglądarkach. Będzie obsługiwać inne metody uwierzytelniania, a także klucze USB. Interfejs API uwierzytelniania internetowego był pierwotnie znany jako FIDO 2.0.
Co to jest?
Uwierzytelnianie dwuskładnikowe jest podstawowym sposobem ochrony ważnych kont. Tradycyjnie większość kont potrzebuje hasła do logowania - to jeden z czynników, coś, co znasz. Każdy, kto zna hasło, może dostać się na twoje konto.
Uwierzytelnianie dwuskładnikowe wymaga czegoś, co znasz i czegoś, co masz. Często jest to wiadomość wysłana do Twojego telefonu za pośrednictwem wiadomości SMS lub kodu wygenerowanego za pomocą aplikacji takiej jak Google Authenticator lub Authy na telefonie. Ktoś potrzebuje zarówno hasła, jak i dostępu do urządzenia fizycznego, aby się zalogować.
Ale uwierzytelnianie dwuskładnikowe nie jest tak proste, jak być powinno, i często polega na wpisywaniu haseł i wiadomości SMS we wszystkich usługach, z których korzystasz. U2F jest uniwersalnym standardem do tworzenia tokenów uwierzytelniania fizycznego, które mogą współpracować z dowolną usługą.
Jeśli znasz Yubikey - fizyczny klucz USB, który pozwala zalogować się do LastPass i niektórych innych usług - zapoznasz się z tą koncepcją. W przeciwieństwie do standardowych urządzeń Yubikey, U2F jest uniwersalnym standardem. Początkowo U2F zostało stworzone przez Google'a i Yubico we współpracy.
Jak to działa?
Obecnie urządzenia U2F to zazwyczaj małe urządzenia USB, które wkładasz do portu USB komputera. Niektóre z nich mają obsługę NFC, więc można ich używać z telefonami z systemem Android. Opiera się na istniejącej technologii bezpieczeństwa "smart card". Po włożeniu go do portu USB komputera lub stuknięciu go w telefon, przeglądarka komputera może komunikować się z kluczem zabezpieczającym USB za pomocą bezpiecznej technologii szyfrowania i zapewniać właściwą reakcję, która umożliwia zalogowanie się do witryny internetowej.
Ponieważ działa to jako część samej przeglądarki, daje to pewne dobre zabezpieczenia w porównaniu z typowym uwierzytelnianiem dwuskładnikowym. Po pierwsze, przeglądarka sprawdza, czy komunikuje się z prawdziwą witryną za pomocą szyfrowania, więc użytkownicy nie zostaną oszukani, aby wprowadzić kody dwuskładnikowe w fałszywych witrynach wyłudzających informacje. Po drugie, przeglądarka wysyła kod bezpośrednio do witryny, więc atakujący siedzący pomiędzy nie może przechwycić tymczasowego kodu dwuskładnikowego i wprowadzić go na prawdziwej stronie, aby uzyskać dostęp do konta.
Witryna internetowa może również uprościć hasło - na przykład witryna może obecnie prosić o długie hasło, a następnie kod dwuskładnikowy, które należy wpisać. Zamiast tego, dzięki U2F, strona internetowa może poprosić cię o czterocyfrowy kod PIN, który musisz zapamiętać, a następnie, aby się zalogować, musisz nacisnąć przycisk na urządzeniu USB lub dotknąć go telefonem..
Sojusz FIDO pracuje również nad UAF, który nie wymaga hasła. Na przykład może użyć czujnika odcisków palców na nowoczesnym smartfonie, aby uwierzytelnić Cię za pomocą różnych usług.
Możesz przeczytać więcej na temat samego standardu na stronie internetowej sojuszu FIDO.
Gdzie jest obsługiwany?
Google Chrome, Mozilla Firefox i Opera (oparta na Google Chrome) są jedynymi przeglądarkami obsługującymi U2F. Działa na systemach Windows, Mac, Linux i Chromebookach. Jeśli masz fizyczny token U2F i używasz Chrome, Firefox lub Opera, możesz go użyć do zabezpieczenia swoich kont Google, Facebook, Dropbox i GitHub. Inne duże usługi nie obsługują jeszcze U2F.
U2F działa również z przeglądarką Google Chrome na Androida, zakładając, że masz wbudowany klucz USB z obsługą NFC. Apple nie zezwala aplikacjom na dostęp do sprzętu NFC, więc nie będzie działać na iPhone'ach.
Podczas gdy obecne stabilne wersje Firefoksa mają obsługę U2F, jest ona domyślnie wyłączona. Musisz włączyć ukrytą preferencję przeglądarki Firefox, aby aktywować obsługę U2F w tej chwili.
Obsługa kluczy U2F stanie się bardziej rozpowszechniona po uruchomieniu interfejsu Web Authentication API. Będzie działać nawet w Microsoft Edge.
Jak możesz z niego korzystać
Aby rozpocząć, potrzebujesz jedynie tokena U2F. Google kieruje Cię do wyszukiwania w Amazon "klucza bezpieczeństwa FIDO U2F", aby je znaleźć. Górny kosztuje 18 USD i jest robiony przez Yubico, firmę z historią tworzenia fizycznych kluczy bezpieczeństwa USB. Droższy Yubikey NEO zawiera obsługę NFC do użytku z urządzeniami z Androidem.
Następnie możesz przejść do ustawień konta Google, znaleźć stronę weryfikacji dwuetapowej i kliknąć kartę Klucze bezpieczeństwa. Kliknij Dodaj klucz bezpieczeństwa, aby dodać fizyczny klucz bezpieczeństwa, który musisz zalogować na swoje konto Google. Proces będzie podobny dla innych usług obsługujących U2F - sprawdź ten przewodnik po więcej.
Nie jest to narzędzie bezpieczeństwa, z którego możesz korzystać wszędzie, ale wiele usług powinno w końcu dodać do niego wsparcie. Oczekuj dużych rzeczy z interfejsu API uwierzytelniania internetowego i tych kluczy U2F w przyszłości.