24Aug
U2F é um novo padrão para tokens universais de autenticação de dois fatores. Esses tokens podem usar USB, NFC ou Bluetooth para fornecer autenticação de dois fatores em uma variedade de serviços. Já é suportado no Chrome, no Firefox e no Opera para contas do Google, Facebook, Dropbox e GitHub.
Este padrão é apoiado pela aliança FIDO, que inclui o Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America e muitas outras empresas maciças. Espere que os tokens de segurança U2F estejam em todo o lugar em breve.
Algo semelhante tornar-se-á mais difundido em breve com a API de Autenticação Web. Esta será uma API de autenticação padrão que funciona em todas as plataformas e navegadores. Ele irá suportar outros métodos de autenticação, bem como chaves USB.A API de autenticação da Web foi originalmente conhecida como FIDO 2.0.
O que é isso?
A autenticação de dois fatores é uma maneira essencial de proteger suas contas importantes. Tradicionalmente, a maioria das contas só precisa de uma senha para fazer login - esse é um fator, algo que você conhece. Qualquer pessoa que conheça a senha pode entrar em sua conta.
A autenticação de dois fatores exige algo que você conhece e algo que você possui. Muitas vezes, esta é uma mensagem enviada para o seu telefone via SMS ou um código gerado através de um aplicativo como o Google Authenticator ou o Authy no seu telefone. Alguém precisa de sua senha e acesso ao dispositivo físico para fazer login.
Mas a autenticação de dois fatores não é tão fácil quanto deveria, e muitas vezes envolve a digitação de senhas e mensagens SMS em todos os serviços que você usa. O U2F é um padrão universal para a criação de tokens físicos de autenticação que podem funcionar com qualquer serviço.
Se você está familiarizado com Yubikey - uma chave USB física que permite que você faça login no LastPass e em alguns outros serviços - você estará familiarizado com este conceito. Ao contrário dos dispositivos padrão da Yubikey, o U2F é um padrão universal. Inicialmente, a U2F foi feita pelo Google e Yubico trabalhando em parceria.
Como funciona?
Atualmente, os dispositivos U2F geralmente são pequenos dispositivos USB que você insere na porta USB do seu computador. Alguns deles têm suporte NFC para que eles possam ser usados com telefones Android. Baseia-se na tecnologia de segurança existente do "cartão inteligente".Quando você inseri-lo na porta USB do seu computador ou toca-o contra o seu telefone, o navegador no seu computador pode se comunicar com a chave de segurança USB usando a tecnologia de criptografia segura e fornecer a resposta correta que permite que você faça logon em um site.
Porque isso funciona como parte do próprio navegador, isso oferece algumas boas melhorias de segurança em relação à autenticação típica de dois fatos. Primeiro, o navegador verifica se está se comunicando com o site real usando criptografia, de modo que os usuários não serão enganados ao entrar seus códigos de dois fatores em falsos sites de phishing. Em segundo lugar, o navegador envia o código diretamente para o site, de modo que um invasor sentado entre eles não pode capturar o código temporário de dois fatores e inseri-lo no site real para obter acesso à sua conta.
O site também pode simplificar sua senha - por exemplo, um site pode atualmente pedir uma senha longa e, em seguida, um código de dois fatores, ambos os quais você deve digitar. Em vez disso, com o U2F, um site pode pedir-lhe um PIN de quatro dígitos que você precisa lembrar e, em seguida, exigir que você pressione um botão em um dispositivo USB ou toque no seu telefone para fazer login.
A aliança FIDO também está trabalhandoUAF, que não requer senha. Por exemplo, pode usar o sensor de impressão digital em um smartphone moderno para autenticá-lo com diversos serviços.
Você pode ler mais sobre o padrão em si no site da aliança FIDO.
Onde é suportado?
Google Chrome, Mozilla Firefox e Opera( baseado em Google Chrome) são os únicos navegadores que suportam U2F.Funciona em Windows, Mac, Linux e Chromebooks. Se você tem um token físico U2F e usa o Chrome, o Firefox ou o Opera, você pode usá-lo para proteger suas contas do Google, Facebook, Dropbox e GitHub. Outros grandes serviços ainda não suportam U2F.O
U2F também funciona com o navegador Google Chrome no Android, assumindo que você tenha uma chave USB com o suporte NFC incorporado. A Apple não permite que os aplicativos acessem o hardware NFC, então isso não funcionará em iPhones.
Embora as versões estáveis do Firefox tenham suporte U2F, é desabilitado por padrão. Você precisará habilitar uma preferência escondida do Firefox para ativar o suporte U2F no momento.
O suporte para chaves U2F ficará mais generalizado quando a API de autenticação da Web decolar. Isso também funcionará no Microsoft Edge.
Como você pode usá-lo
Você só precisa de um token U2F para começar. O Google orienta você a pesquisar o Amazon para "Fidel U2F Security Key" para encontrá-los. O topo custa US $ 18 e é feito pela Yubico, uma empresa com histórico de fazer chaves físicas de segurança USB.O Yubikey NEO mais caro inclui o suporte NFC para uso com dispositivos Android.
Você pode então visitar as configurações da sua Conta do Google, localizar a página de verificação em duas etapas e clicar na guia Keys de segurança. Clique em Adicionar uma chave de segurança e você poderá adicionar a chave de segurança física, que você precisará acessar sua conta do Google. O processo será semelhante para outros serviços que suportam U2F - confira este guia para obter mais informações.
Esta não é uma ferramenta de segurança que você pode usar em todos os lugares ainda, mas muitos serviços devem eventualmente adicionar suporte para isso. Espere grandes coisas da API de autenticação da Web e essas chaves U2F no futuro.