24Aug
U2F je nový standard pro univerzální dvojfaktorové autentizační žetony. Tyto žetony mohou používat rozhraní USB, NFC nebo Bluetooth k zajištění dvoufaktorové autentizace v různých službách. Je již podporován v účtech Chrome, Firefox a Opera pro Google, Facebook, Dropbox a GitHub.
Tato norma je podporována aliancí FIDO, která zahrnuje Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America a mnoho dalších masivních společností.Očekávejte, že bezpečnostní žetony U2F budou brzy na místě.
Něco podobného se brzy rozšiřuje pomocí API pro ověřování webu. Bude to standardní API pro ověřování, které funguje ve všech platformách a prohlížečích. Bude podporovat další metody ověřování a také klávesy USB.API pro ověřování webu bylo původně známé jako FIDO 2.0.
Co je to?
Dvojfaktorová autentizace je zásadním způsobem k ochraně vašich důležitých účtů.Tradičně většina účtů potřebuje heslo pro přihlášení - to je jeden z faktorů, něco, co víte. Kdo znáte heslo, může se dostat do vašeho účtu.
Dvoufaktorová autentizace vyžaduje něco, co znáte a něco, co máte.Často se jedná o zprávu zaslanou do vašeho telefonu prostřednictvím SMS nebo kód vygenerovaný prostřednictvím aplikace, jako je Google Authenticator nebo Authy v telefonu. Někdo potřebuje heslo a přístup k fyzickému zařízení, které se má přihlásit.
Ovládání dvou faktorů však není tak snadné, jak by mělo být, a často zahrnuje zadávání hesel a SMS zpráv do všech služeb, které používáte. U2F je univerzální standard pro vytváření fyzických autentizačních tokenů, které mohou pracovat s libovolnou službou.
Pokud jste obeznámeni s Yubikey - fyzickým klíčem USB, který vám umožní přihlásit se do služby LastPass a dalších služeb - budete s tímto konceptem obeznámeni. Na rozdíl od standardních přístrojů Yubikey je U2F univerzálním standardem. Zpočátku společnost U2F vytvořila společnost Google a společnost Yubico spolupracovala.
Jak to funguje?
V současné době jsou zařízení U2F obvykle malé USB zařízení, které vložíte do portu USB vašeho počítače. Některé z nich mají podporu NFC, aby mohly být použity s telefony Android. Je založen na existující bezpečnostní technologii "smart card".Když jej vložíte do portu USB počítače nebo klepnete na telefon, prohlížeč v počítači může komunikovat s bezpečnostním klíčem USB pomocí zabezpečené šifrovací technologie a poskytnout správnou odpověď, která vám umožní přihlásit se na web.
Protože to běží jako součást samotného prohlížeče, získáte vám několik hezkých bezpečnostních vylepšení oproti typické dvoufaktorové autentizaci. Nejprve prohlížeč zkontroluje, zda komunikuje s reálnými webovými stránkami pomocí šifrování, takže uživatelé nebudou podvedeni, aby zadali své dvoufaktorové kódy do falešných phishingových webů.Za druhé, prohlížeč odešle kód přímo na webovou stránku, takže útočník, který sedí mezitím, nemůže zachytit dočasný dvoufaktorový kód a zadat ho na skutečné webové stránce, aby získal přístup k vašemu účtu.
Webové stránky mohou také zjednodušit heslo - například webová stránka vás může v současné době požádat o dlouhé heslo a pak o dvoufaktorový kód, z nichž oba musíte zadat. Místo toho by se s webem U2F mohl požádat o čtyřmístný kód PIN, který si musíte zapamatovat, a poté budete muset stisknout tlačítko na zařízení USB nebo klepnout na něj proti telefonu, abyste se přihlásili.
Alianci FIDO pracuje také naUAF, který nevyžaduje žádné heslo. Můžete například použít snímač otisků prstů na moderním smartphonu, který vás autentizuje různými službami.
Více informací o standardu můžete získat na webových stránkách aliance FIDO.
Kde je podporována?
Google Chrome, Mozilla Firefox a Opera( založené na Google Chrome) jsou jediné prohlížeče podporující U2F.Pracuje na systémech Windows, Mac, Linux a Chromebooky. Pokud máte fyzický token U2F a používáte Chrome, Firefox nebo Opera, můžete jej použít k zabezpečení účtů Google, Facebook, Dropbox a GitHub. Jiné velké služby zatím nepodporují U2F.
U2F pracuje také s prohlížečem Google Chrome v systému Android, za předpokladu, že máte k dispozici klíč USB s podporou podpory NFC. Společnost Apple neumožňuje aplikacím přístup k hardwaru NFC, takže na iPhonech nebude fungovat.
Zatímco stávající verze Firefoxu mají podporu U2F, je ve výchozím nastavení zakázána. Budete muset povolit skrytou předvolbu prohlížeče Firefox, abyste v tuto chvíli aktivovali podporu U2F.
Podpora klíčů U2F bude rozšířenější, jakmile se rozhraní API pro ověřování webu vypne. Dokonce bude fungovat i v aplikaci Microsoft Edge.
Jak můžete použít
Potřebujete pouze token U2F, abyste mohli začít. Google vás přesměruje, aby vyhledal Amazon pro "bezpečnostní klíč FIDO U2F".Horní část stojí 18 USD a je vyrobena firmou Yubico, která má v minulosti fyzické bezpečnostní klíče USB.Dražší Yubikey NEO obsahuje podporu NFC pro použití se zařízeními Android.
Poté můžete navštívit nastavení účtu Google, vyhledat stránku ověření ve dvou krocích a klepnout na kartu Bezpečnostní klíče. Klepněte na tlačítko Přidat bezpečnostní klíč a budete moci přidat fyzický klíč zabezpečení, který je třeba přihlásit do účtu Google. Proces bude podobný ostatním službám, které podporují U2F - podívejte se na tuto příručku více.
Toto není bezpečnostní nástroj, který můžete použít všude, ale mnoho služeb by pro něj nakonec mělo přidat podporu. Očekávejte velké věci z API pro ověřování webu a těchto klíčů U2F v budoucnu.