U2F to nowy standard uniwersalnych tokenów uwierzytelniania dwuskładnikowego. Te znaczniki mogą korzystać z USB, NFC lub Bluetooth w celu zapewnienia dwuetapowego uwierzytelniania w różnych usługach. Jest już obsługiwany w przeglądarkach Chrome, Firefox i Opera dla kont Google, Facebook, Dropbox i GitHub.
Ten standard jest wspierany przez sojusz FIDO, który obejmuje Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America i wiele innych dużych firm. Spodziewaj się wkrótce żetonów bezpieczeństwa U2F.
Coś podobnego wkrótce stanie się bardziej rozpowszechnione dzięki Web Authentication API. Będzie to standardowy interfejs uwierzytelniania, który działa na wszystkich platformach i przeglądarkach. Będzie obsługiwać inne metody uwierzytelniania, a także klucze USB. Interfejs API uwierzytelniania internetowego był pierwotnie znany jako FIDO 2.0.
Uwierzytelnianie dwuskładnikowe jest podstawowym sposobem ochrony ważnych kont. Tradycyjnie większość kont potrzebuje hasła do logowania - to jeden z czynników, coś, co znasz. Każdy, kto zna hasło, może dostać się na twoje konto.
Uwierzytelnianie dwuskładnikowe wymaga czegoś, co znasz i czegoś, co masz. Często jest to wiadomość wysłana na Twój telefon za pośrednictwem wiadomości SMS lub kod wygenerowany za pomocą aplikacji takiej jak Google Authenticator lub Authy na telefonie. Ktoś potrzebuje zarówno hasła, jak i dostępu do urządzenia fizycznego, aby się zalogować.
Ale uwierzytelnianie dwuskładnikowe nie jest tak proste, jak być powinno, i często polega na wpisywaniu haseł i wiadomości SMS we wszystkich usługach, z których korzystasz. U2F jest uniwersalnym standardem do tworzenia tokenów uwierzytelniania fizycznego, które mogą współpracować z dowolną usługą.
Jeśli znasz Yubikey - fizyczny klucz USB, który pozwala zalogować się do LastPass i innych usług - zapoznasz się z tą koncepcją. W przeciwieństwie do standardowych urządzeń Yubikey, U2F jest uniwersalnym standardem. Początkowo U2F zostało stworzone przez Google'a i Yubico we współpracy.
Obecnie urządzenia U2F to zazwyczaj małe urządzenia USB, które wkładasz do portu USB komputera. Niektóre z nich mają obsługę NFC, więc można ich używać z telefonami z systemem Android. Opiera się na istniejącej technologii zabezpieczeń "smart card". Po włożeniu go do portu USB komputera lub stuknięciu go w telefon, przeglądarka komputera może komunikować się z kluczem bezpieczeństwa USB za pomocą bezpiecznej technologii szyfrowania i zapewniać właściwą reakcję, która umożliwia zalogowanie się na stronie internetowej.
Ponieważ działa to jako część samej przeglądarki, daje to pewne przyjemne ulepszenia bezpieczeństwa w porównaniu z typowym uwierzytelnianiem dwuskładnikowym. Po pierwsze, przeglądarka sprawdza, czy komunikuje się z prawdziwą witryną za pomocą szyfrowania, więc użytkownicy nie zostaną oszukani, aby wprowadzić kody dwuskładnikowe w fałszywych witrynach wyłudzających informacje. Po drugie, przeglądarka wysyła kod bezpośrednio do witryny, więc atakujący siedzący pomiędzy nie może przechwycić tymczasowego kodu dwuskładnikowego i wprowadzić go w prawdziwej witrynie, aby uzyskać dostęp do konta.
Witryna internetowa może również uprościć hasło - na przykład witryna może obecnie prosić o długie hasło, a następnie kod dwuskładnikowy, które należy wpisać. Zamiast tego, dzięki U2F, strona internetowa może poprosić cię o czterocyfrowy kod PIN, który musisz zapamiętać, a następnie, aby się zalogować, musisz nacisnąć przycisk na urządzeniu USB lub dotknąć go telefonem.
Sojusz FIDO pracuje również nad UAF, który nie wymaga hasła. Na przykład może użyć czujnika odcisków palców na nowoczesnym smartfonie, aby uwierzytelnić Cię za pomocą różnych usług.
Możesz przeczytać więcej na temat samego standardu na stronie internetowej sojuszu FIDO.
Google Chrome, Mozilla Firefox i Opera (oparte na Google Chrome) to jedyne przeglądarki, które obsługują U2F. Działa na systemach Windows, Mac, Linux i Chromebookach. Jeśli masz fizyczny token U2F i używasz Chrome, Firefox lub Opera, możesz go użyć do zabezpieczenia swoich kont Google, Facebook, Dropbox i GitHub. Inne duże usługi nie obsługują jeszcze U2F.
U2F działa również z przeglądarką Google Chrome na Androida, zakładając, że masz wbudowany klucz USB z obsługą NFC. Apple nie zezwala aplikacjom na dostęp do sprzętu NFC, więc to nie zadziała na iPhone'ach.
Obecne stabilne wersje Firefoksa obsługują U2F, ale domyślnie są wyłączone. Musisz włączyć ukrytą preferencję Firefox, aby aktywować obsługę U2F w tej chwili.
Obsługa kluczy U2F stanie się bardziej rozpowszechniona, gdy API Web Authentication wystartuje. Będzie działać nawet w Microsoft Edge.
Aby rozpocząć, potrzebujesz jedynie tokena U2F. Google kieruje Cię do wyszukiwania w Amazon "Klucza bezpieczeństwa FIDO U2F", aby je znaleźć. Górny kosztuje 18 USD i jest robiony przez Yubico, firmę, która ma historię tworzenia fizycznych kluczy bezpieczeństwa USB. Droższy Yubikey NEO zawiera obsługę NFC do użytku z urządzeniami z Androidem.
Następnie możesz przejść do ustawień konta Google, znaleźć stronę weryfikacji dwuetapowej i kliknąć kartę Klucze bezpieczeństwa. Kliknij Dodaj klucz bezpieczeństwa, aby dodać fizyczny klucz bezpieczeństwa, który musisz zalogować na swoim koncie Google. Proces będzie podobny dla innych usług obsługujących U2F - sprawdź ten przewodnik po więcej.
Nie jest to narzędzie bezpieczeństwa, z którego możesz korzystać wszędzie, ale wiele usług powinno w końcu dodać do niego wsparcie. Oczekuj dużych rzeczy z interfejsu API do uwierzytelniania internetowego i tych kluczy U2F w przyszłości.
