U2F paaiškinimas Kaip „Google“ ir kitos įmonės kuria visuotinį saugumo raktą

U2F yra naujas standartas universaliems dviejų veiksnių autentifikavimo žetonams. Šie žetonai gali naudoti USB, NFC arba „Bluetooth“, kad užtikrintų dviejų veiksnių autentifikavimą įvairiose paslaugose. „Chrome“, „Firefox“ ir „Opera“ jau palaiko „Google“, „Facebook“, „Dropbox“ ir „GitHub“ paskyras.

Šį standartą palaiko FIDO aljansas, kurį sudaro „Google“, „Microsoft“, „PayPal“, „American Express“, „MasterCard“, „VISA“, „Intel“, „ARM“, „Samsung“, „Qualcomm“, Amerikos bankas ir daugelis kitų didelių bendrovių. Tikėtis, kad U2F saugumo žetonai netrukus bus visur.

Kažkas panašaus netrukus bus plačiau paplitusi naudojant „Web“ autentifikavimo API. Tai bus standartinė autentifikavimo API, veikianti visose platformose ir naršyklėse. Jis palaikys kitus autentifikavimo metodus ir USB raktus. Web autentifikavimo API iš pradžių buvo žinoma kaip FIDO 2.0.

Kas tai?

Dviejų veiksnių autentifikavimas yra svarbus būdas apsaugoti jūsų svarbias sąskaitas. Tradiciškai daugumai paskyrų reikia tik slaptažodžio, kad galėtumėte prisijungti - tai yra vienas veiksnys, ką žinote. Kiekvienas, kuris žino slaptažodį, gali patekti į jūsų paskyrą.

Dviejų veiksnių autentifikavimui reikia kažko, ką žinote ir ką turite. Dažnai tai yra pranešimas, išsiųstas į jūsų telefoną SMS žinute arba kodu, sukurtu per „Google“ autentifikavimo priemonę ar „Authy“ jūsų telefone. Kažkas turi turėti savo slaptažodį ir prieigą prie fizinio įrenginio.

Tačiau dviejų veiksnių autentifikavimas nėra toks paprastas, koks turėtų būti, ir dažnai apima slaptažodžių ir SMS žinučių įvedimą į visas naudojamas paslaugas. U2F yra universalus standartas, skirtas sukurti fizinius autentifikavimo žetonus, kurie gali dirbti su bet kuria paslauga.

Jei esate susipažinę su „Yubikey“ - fiziniu USB raktu, leidžiančiu prisijungti prie „LastPass“ ir kai kurios kitos paslaugos, jūs suprasite šią koncepciją. Skirtingai nuo standartinių „Yubikey“ įrenginių, U2F yra universalus standartas. Iš pradžių „U2F“ sukūrė „Google“ ir „Yubico“, dirbantys kartu.

Kaip tai veikia?

Šiuo metu U2F įrenginiai yra nedideli USB įrenginiai, kuriuos įdėjote į kompiuterio USB prievadą. Kai kurie iš jų turi NFC palaikymą, kad juos būtų galima naudoti su „Android“ telefonais. Tai pagrįsta esama „pažangiosios kortelės“ saugumo technologija. Įdėjus ją į savo kompiuterio USB prievadą arba bakstelėkite jį į savo telefoną, kompiuterio naršyklė gali palaikyti ryšį su USB saugos raktu, naudodama saugią šifravimo technologiją ir pateikdama teisingą atsakymą, leidžiantį prisijungti prie svetainės.

Kadangi tai vyksta kaip pačios naršyklės dalis, tai suteikia jums keletą gerų saugumo patobulinimų, palyginti su tipiniu dviejų veiksnių autentifikavimu. Pirma, naršyklė patikrina, ar ji bendrauja su tikra svetaine, naudodama šifravimą, todėl vartotojai nebus apgaulingi įvedant dviejų veiksnių kodus į suklastotas sukčiavimo svetaines. Antra, naršyklė siunčia kodą tiesiai į svetainę, todėl tarpas sėdintis užpuolikas negali užfiksuoti laikino dviejų veiksnių kodo ir įvesti jį tikroje svetainėje, kad galėtų pasiekti jūsų paskyrą.

Svetainė taip pat gali supaprastinti jūsų slaptažodį, pvz., Šiuo metu svetainė gali paprašyti ilgos slaptažodžio ir tada dviejų faktorių kodo, kurį abu turite įvesti. Vietoj to, naudodami U2F, svetainė gali paprašyti jūsų įvesti keturių skaitmenų PIN kodą, kurį reikia prisiminti, ir tada jums reikia paspausti mygtuką USB įrenginyje arba palieskite jį prieš telefoną, kad galėtumėte prisijungti.

FIDO aljansas taip pat dirba su UAF, kuriam nereikia slaptažodžio. Pavyzdžiui, šiuolaikiniame išmaniajame telefone jis gali naudoti pirštų atspaudų jutiklį, kad galėtumėte atpažinti jus su įvairiomis paslaugomis.

Daugiau apie standartą galite skaityti FIDO aljanso svetainėje.

Kur jis yra palaikomas?

„Google Chrome“, „Mozilla Firefox“ ir „Opera“ (kuri yra pagrįsta „Google Chrome“) yra vienintelės naršyklės, palaikančios U2F. Jis veikia „Windows“, „Mac“, „Linux“ ir „Chromebook“ įrenginiuose. Jei turite fizinį U2F raktą ir naudojate „Chrome“, „Firefox“ ar „Opera“, galite jį naudoti „Google“, „Facebook“, „Dropbox“ ir „GitHub“ paskyroms apsaugoti. Kitos didelės paslaugos dar nepalaiko U2F.

„U2F“ taip pat dirba su „Google Chrome“ naršykle „Android“, darant prielaidą, kad turite integruotą USB raktą su NFC pagalba. „Apple“ neleidžia programoms pasiekti NFC aparatūros, todėl tai neveiks „iPhone“.

Nors dabartinės stabilios „Firefox“ versijos turi U2F palaikymą, ji išjungta pagal nutylėjimą. Jums reikės įgalinti paslėptą „Firefox“ parinktį, kad šiuo metu aktyvuotumėte U2F palaikymą.

Parama U2F klavišams taps plačiau paplitusi, kai išjungiama žiniatinklio autentifikavimo API. Jis netgi veiks „Microsoft Edge“.

Kaip jį naudoti

Jums reikia tiesiog U2F žetono, kad galėtumėte pradėti. „Google“ nukreipia jus ieškoti „FIDO U2F saugumo rakto“ „Amazon“ ieškant jų. Viršutinė kaina kainuoja 18 JAV dolerių ir yra pagaminta „Yubico“, kompanijos, turinčios fizinių USB saugumo raktų. Brangesnis „Yubikey NEO“ apima NFC paramą, skirtą naudoti su „Android“ įrenginiais.

Tada galite apsilankyti „Google“ paskyros nustatymuose, surasti dviejų pakopų patvirtinimo puslapį ir spustelėkite skirtuką Saugos raktai. Spustelėkite Pridėti saugos raktą ir galėsite pridėti fizinio saugumo raktą, kurį turėsite prisijungti prie „Google“ paskyros. Procesas bus panašus kitoms paslaugoms, kurios palaiko U2F-Check šį vadovą daugiau.

Tai nėra saugumo priemonė, kurią galite naudoti visur, tačiau daugelis paslaugų galiausiai turėtų ją paremti. Ateityje laukite didelių dalykų iš „Web“ autentifikavimo API ir šių „U2F“ raktų.