24Aug
U2F adalah standar baru untuk token otentikasi dua faktor universal. Token ini bisa menggunakan USB, NFC, atau Bluetooth untuk memberikan autentikasi dua faktor di berbagai layanan. Ini sudah didukung di akun Chrome, Firefox, dan Opera untuk Google, Facebook, Dropbox, dan GitHub.
Standar ini didukung oleh aliansi FIDO, yang meliputi Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America, dan banyak perusahaan besar lainnya. Mengharapkan bukti keamanan U2F akan segera berakhir.
Sesuatu yang serupa akan segera menyebar dengan Web Authentication API.Ini akan menjadi API otentikasi standar yang bekerja di semua platform dan browser. Ini akan mendukung metode otentikasi lainnya serta kunci USB.API Web Authentication awalnya dikenal sebagai FIDO 2.0.
Apa itu?
Autentikasi dua faktor adalah cara penting untuk melindungi akun penting Anda. Secara tradisional, kebanyakan akun hanya memerlukan kata sandi untuk login - itu satu faktor, sesuatu yang Anda ketahui. Siapa pun yang mengetahui kata kunci bisa masuk ke akun Anda.
Otentikasi dua faktor memerlukan sesuatu yang Anda ketahui dan sesuatu yang Anda miliki. Seringkali, ini adalah pesan yang dikirim ke telepon Anda melalui SMS atau kode yang dihasilkan melalui aplikasi seperti Google Authenticator atau Authy di ponsel Anda. Seseorang memerlukan kata sandi dan akses ke perangkat fisik untuk login.
Tetapi dua faktor otentikasi tidak semudah yang seharusnya, dan sering kali melibatkan mengetikkan kata kunci dan pesan SMS ke semua layanan yang Anda gunakan. U2F adalah standar universal untuk membuat token otentikasi fisik yang dapat bekerja dengan layanan apa pun.
Jika Anda mengenal Yubikey-kunci USB fisik yang memungkinkan Anda masuk ke LastPass dan beberapa layanan lainnya-Anda akan terbiasa dengan konsep ini. Tidak seperti perangkat Yubikey standar, U2F adalah standar universal. Awalnya, U2F dibuat oleh Google dan Yubico bekerja dalam kemitraan.
Bagaimana Cara Kerjanya?
Saat ini, perangkat U2F biasanya perangkat USB kecil yang Anda sisipkan di port USB komputer Anda. Beberapa dari mereka memiliki dukungan NFC sehingga bisa digunakan dengan ponsel Android. Ini berdasarkan teknologi keamanan "smart card" yang ada. Saat Anda memasukkannya ke dalam port USB komputer Anda atau mengetuknya dari telepon Anda, browser di komputer Anda dapat berkomunikasi dengan kunci keamanan USB menggunakan teknologi enkripsi yang aman dan memberikan respons yang benar yang memungkinkan Anda masuk ke situs web.
Karena ini berjalan sebagai bagian dari browser itu sendiri, ini memberi Anda beberapa perbaikan keamanan yang bagus atas autentikasi dua faktor yang khas. Pertama, browser memeriksa untuk memastikannya berkomunikasi dengan situs web sebenarnya menggunakan enkripsi, sehingga pengguna tidak akan tertipu untuk memasukkan kode dua faktor mereka ke situs web phishing palsu. Kedua, browser mengirimkan kode langsung ke situs web, sehingga penyerang yang duduk di antara tidak dapat menangkap kode dua faktor sementara dan memasukkannya ke situs web sebenarnya untuk mendapatkan akses ke akun Anda.
Situs web juga dapat menyederhanakan kata sandi Anda-misalnya, sebuah situs web saat ini mungkin meminta kata sandi panjang dan kemudian kode dua faktor, yang keduanya harus Anda ketik. Sebagai gantinya, dengan U2F, sebuah situs web bisa meminta PIN empat digit yang harus Anda ingat dan kemudian meminta Anda menekan tombol pada perangkat USB atau menyentuhnya dari telepon Anda untuk login.
Aliansi FIDO juga sedang bekerjaUAF, yang tidak memerlukan kata sandi. Misalnya, mungkin menggunakan sensor sidik jari pada smartphone modern untuk mengotentikasi Anda dengan berbagai layanan.
Anda dapat membaca lebih lanjut tentang standar itu sendiri di situs aliansi FIDO.
Dimana Ini Didukung?
Google Chrome, Mozilla Firefox, dan Opera( yang berbasis Google Chrome) adalah satu-satunya browser yang mendukung U2F.Ini bekerja pada Windows, Mac, Linux, dan Chromebook. Jika Anda memiliki token U2F fisik dan menggunakan Chrome, Firefox, atau Opera, Anda dapat menggunakannya untuk mengamankan akun Google, Facebook, Dropbox, dan GitHub Anda. Layanan besar lainnya belum mendukung U2F.
U2F juga bekerja dengan browser Google Chrome di Android, dengan asumsi Anda memiliki kunci USB dengan dukungan NFC yang terpasang. Apple tidak mengizinkan aplikasi mengakses perangkat keras NFC, jadi ini tidak akan berfungsi pada iPhone.
Sementara versi Firefox yang stabil saat ini memiliki dukungan U2F, ini dinonaktifkan secara default. Anda harus mengaktifkan preferensi Firefox tersembunyi untuk mengaktifkan dukungan U2F saat ini.
Dukunganuntuk kunci U2F akan menjadi lebih luas saat API Otentikasi Web lepas landas. Bahkan akan bekerja di Microsoft Edge.
Bagaimana Anda Bisa Menggunakannya
Anda hanya memerlukan token U2F untuk memulai. Google mengarahkan Anda untuk mencari Amazon untuk "FIDO U2F Security Key" untuk menemukannya. Yang teratas harganya $ 18 dan dibuat oleh Yubico, sebuah perusahaan dengan sejarah membuat kunci keamanan USB fisik. NEU Yubikey yang lebih mahal mencakup dukungan NFC untuk digunakan dengan perangkat Android.
Anda kemudian dapat mengunjungi setelan Akun Google Anda, temukan halaman verifikasi 2 langkah, dan klik tab Security Keys. Klik Tambahkan Kunci Keamanan dan Anda dapat menambahkan kunci keamanan fisik, yang harus Anda masuk ke akun Google Anda. Prosesnya akan serupa untuk layanan lain yang mendukung U2F-lihat panduan ini lebih lanjut.
Ini bukan alat keamanan yang bisa Anda gunakan di mana saja, namun banyak layanan pada akhirnya harus menambahkan dukungan untuknya. Harapkan hal-hal besar dari Web Authentication API dan kunci U2F ini di masa depan.