24Aug
U2F ist ein neuer Standard für universelle Zwei-Faktor-Authentifizierungstoken. Diese Token können USB, NFC oder Bluetooth verwenden, um eine Zwei-Faktor-Authentifizierung für eine Vielzahl von Diensten bereitzustellen. Es wird bereits in Chrome, Firefox und Opera für Google-, Facebook-, Dropbox- und GitHub-Konten unterstützt.
Dieser Standard wird von der FIDO-Allianz unterstützt, zu der Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, die Bank of America und viele andere große Unternehmen gehören. Erwarte, dass U2F-Sicherheitstoken bald überall zu finden sein werden.
Etwas Ähnliches wird bald mit der Web-Authentifizierungs-API weiter verbreitet. Dies wird eine standardmäßige Authentifizierungs-API sein, die für alle Plattformen und Browser funktioniert. Es unterstützt andere Authentifizierungsmethoden sowie USB-Schlüssel. Die Webauthentifizierungs-API war ursprünglich als FIDO 2.0 bekannt.
Was ist das?
Zwei-Faktor-Authentifizierung ist eine wichtige Methode zum Schutz Ihrer wichtigen Konten. Traditionell benötigen die meisten Accounts nur ein Passwort, um sich anzumelden - das ist ein Faktor, etwas, das Sie kennen. Jeder, der das Passwort kennt, kann auf Ihr Konto zugreifen.
Zwei-Faktor-Authentifizierung erfordert etwas, was Sie wissen und etwas, das Sie haben. Oft ist dies eine Nachricht, die per SMS oder einem Code, der über eine App wie Google Authenticator oder Authy auf Ihrem Telefon generiert wurde, an Ihr Telefon gesendet wird. Jemand benötigt sowohl Ihr Passwort als auch den Zugriff auf das physische Gerät, um sich einzuloggen.
Die Zwei-Faktor-Authentifizierung ist jedoch nicht so einfach wie sie sein sollte und beinhaltet oft das Eingeben von Passwörtern und SMS-Nachrichten in alle von Ihnen verwendeten Dienste. U2F ist ein universeller Standard zum Erstellen von physischen Authentifizierungstoken, die mit jedem Dienst zusammenarbeiten können.
Wenn Sie mit Yubikey vertraut sind - einem physischen USB-Schlüssel, mit dem Sie sich bei LastPass und einigen anderen Diensten anmelden können -, werden Sie mit diesem Konzept vertraut sein. Im Gegensatz zu Standard-Yubikey-Geräten ist U2F ein universeller Standard. Anfangs wurde U2F von Google und Yubico in Partnerschaft entwickelt.
Wie funktioniert es?
Derzeit sind U2F-Geräte normalerweise kleine USB-Geräte, die Sie in den USB-Port Ihres Computers einstecken. Einige von ihnen haben NFC-Unterstützung, so dass sie mit Android-Handys verwendet werden können. Es basiert auf der bestehenden Sicherheitstechnologie "Smart Card".Wenn Sie es in den USB-Anschluss Ihres Computers einstecken oder auf Ihr Telefon tippen, kann der Browser auf Ihrem Computer mit dem USB-Sicherheitsschlüssel mithilfe der sicheren Verschlüsselungstechnologie kommunizieren und die korrekte Antwort bereitstellen, mit der Sie sich auf einer Website anmelden können.
Da dies als Teil des Browsers selbst ausgeführt wird, bietet dies einige nützliche Sicherheitsverbesserungen gegenüber der typischen Zwei-Faktor-Authentifizierung. Zunächst überprüft der Browser, ob die Kommunikation mit der realen Website verschlüsselt erfolgt, sodass Benutzer nicht dazu verleitet werden, ihre Zwei-Faktor-Codes in gefälschte Phishing-Websites einzugeben. Zweitens sendet der Browser den Code direkt an die Website, sodass ein Angreifer, der dazwischen sitzt, den temporären Zwei-Faktor-Code nicht erfassen und auf der echten Website eingeben kann, um Zugriff auf Ihr Konto zu erhalten.
Die Website kann auch Ihr Passwort vereinfachen - zum Beispiel könnte eine Website Sie nach einem langen Passwort fragen und dann nach einem Zwei-Faktor-Code, den Sie beide eingeben müssen. Stattdessen könnte eine Website mit U2F nach einer vierstelligen PIN fragen, die Sie sich merken müssen, und dann müssen Sie eine Taste auf einem USB-Gerät drücken oder sie an Ihrem Telefon antippen, um sich einzuloggen.
Die FIDO-Allianz arbeitet auch daranUAF, die kein Passwort erfordert. Zum Beispiel kann es den Fingerabdrucksensor auf einem modernen Smartphone verwenden, um Sie mit verschiedenen Diensten zu authentifizieren.
Sie können mehr über den Standard selbst auf der Website der FIDO-Allianz lesen.
Wo wird es unterstützt?
Google Chrome, Mozilla Firefox und Opera( basierend auf Google Chrome) sind die einzigen Browser, die U2F unterstützen. Es funktioniert auf Windows, Mac, Linux und Chromebooks. Wenn Sie ein physisches U2F-Token haben und Chrome, Firefox oder Opera verwenden, können Sie damit Ihre Google-, Facebook-, Dropbox- und GitHub-Konten schützen. Andere große Dienste unterstützen U2F noch nicht.
U2F funktioniert auch mit dem Google Chrome-Browser unter Android, vorausgesetzt, Sie haben einen USB-Schlüssel mit integrierter NFC-Unterstützung. Apple erlaubt Apps keinen Zugriff auf die NFC-Hardware, daher funktioniert dies nicht auf iPhones.
Während die aktuellen stabilen Versionen von Firefox U2F unterstützen, ist es standardmäßig deaktiviert. Sie müssen eine versteckte Firefox-Einstellung aktivieren, um die U2F-Unterstützung im Moment zu aktivieren.
Die Unterstützung für U2F-Schlüssel wird weiter verbreitet, wenn die Web-Authentifizierungs-API startet. Es wird sogar in Microsoft Edge funktionieren.
So verwenden Sie es
Sie benötigen nur ein U2F-Token, um loszulegen. Google weist Sie an, Amazon nach "FIDO U2F Security Key" zu durchsuchen, um sie zu finden. Das Top kostet 18 US-Dollar und wird von Yubico hergestellt, einer Firma, die schon seit einiger Zeit physische USB-Sicherheitsschlüssel herstellt. Das teurere Yubikey NEO enthält NFC-Unterstützung für die Verwendung mit Android-Geräten.
Sie können dann die Einstellungen Ihres Google-Kontos aufrufen, die Seite für die Bestätigung in zwei Schritten suchen und auf die Registerkarte Sicherheitsschlüssel klicken. Klicken Sie auf Sicherheitsschlüssel hinzufügen und Sie können den physischen Sicherheitsschlüssel hinzufügen, den Sie in Ihrem Google-Konto anmelden müssen. Der Prozess wird für andere Dienste ähnlich sein, die U2F unterstützen. Weitere Informationen finden Sie in diesem Handbuch.
Dies ist kein Sicherheitstool, das Sie bereits überall verwenden können, aber viele Dienste sollten schließlich Unterstützung dafür bieten. Erwarten Sie in Zukunft große Dinge von der Web-Authentifizierungs-API und diesen U2F-Schlüsseln.
