U2F обясни как Google и други компании създават универсален токен за сигурност
U2F е нов стандарт за универсални двуфакторни маркери за удостоверяване. Тези символи могат да използват USB, NFC или Bluetooth, за да осигурят двуфакторна автентификация в различни услуги. Вече се поддържа в Chrome, Firefox и Opera за профили в Google, Facebook, Dropbox и GitHub.
Този стандарт е подкрепен от съюза FIDO, който включва Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America и много други големи компании. Очаквайте U2F токените за сигурност скоро да бъдат навсякъде.
Нещо подобно скоро ще стане по-широко разпространено с API за уеб удостоверяване. Това ще бъде стандартен API за удостоверяване, който работи във всички платформи и браузъри. Той ще поддържа други методи за удостоверяване, както и USB ключове. APIът за уеб удостоверяване първоначално е бил известен като FIDO 2.0.
Какво е?
Двуфакторната идентификация е съществен начин за защита на важните ви профили. По традиция повечето акаунти се нуждаят само от парола, за да влезете в системата - това е един от факторите, нещо, което знаете. Всеки, който знае паролата, може да влезе в профила ви.
Двуфакторната проверка изисква нещо, което знаете и нещо, което имате. Често това е съобщение, изпратено до телефона ви чрез SMS или код, генериран чрез приложение като Google Authenticator или Authy на телефона ви. Някой се нуждае и от паролата, и от достъпа до физическото устройство, за да влезете.
Но автентификацията с два фактора не е толкова лесна, колкото би трябвало, и често включва въвеждане на пароли и SMS съобщения във всички услуги, които използвате. U2F е универсален стандарт за създаване на физически символи за удостоверяване, които могат да работят с всяка услуга.
Ако сте запознати с Yubikey-физически USB ключ, който ви позволява да влезете в LastPass и някои други услуги, ще сте запознати с тази концепция. За разлика от стандартните устройства на Yubikey, U2F е универсален стандарт. Първоначално U2F бе направен от Google и Yubico, работещи в партньорство.
Как работи?
Понастоящем U2F устройствата обикновено са малки USB устройства, които поставяте в USB порта на компютъра. Някои от тях имат NFC поддръжка, така че могат да се използват с телефони с Android. Тя се основава на съществуващата технология за сигурност на смарт картите. Когато го поставите в USB порта на компютъра си или го докоснете срещу телефона си, браузърът на компютъра ви може да комуникира със защитния ключ на USB с помощта на сигурна технология за шифроване и осигурява правилния отговор, който ви позволява да влезете в уебсайт.
Тъй като това се изпълнява като част от самия браузър, това ви дава някои хубави подобрения на защитата над типичната двуфакторна автентификация. Първо, браузърът проверява дали комуникира с реалния уебсайт, използвайки шифроване, така че потребителите няма да бъдат подвеждани да въвеждат своите двуфакторни кодове в фалшиви фишинг сайтове. Второ, браузърът изпраща кода директно към уебсайта, така че атакуващият, който седи между тях, не може да заснеме временния двуфакторен код и да го въведе на реалния уебсайт, за да получи достъп до профила ви.
Уебсайтът може също така да опрости паролата ви - например, уебсайтът може в момента да ви попита за дълга парола, а след това и за дву фактор, като и двете трябва да въведете. Вместо това, с U2F, уебсайт може да ви поиска четирицифрен ПИН код, който трябва да запомните и след това да изискате да натиснете бутон на USB устройство или да го докоснете срещу телефона си, за да влезете.
Алиансът FIDO работи и с UAF, който не изисква парола. Например, може да използва сензора за пръстови отпечатъци на модерен смартфон, за да ви удостоверява с различни услуги.
Можете да прочетете повече за самия стандарт на сайта на FIDO Alliance.
Къде се поддържа?
Google Chrome, Mozilla Firefox и Opera (базирани на Google Chrome) са единствените браузъри, които поддържат U2F. Работи на Windows, Mac, Linux и Chromebook. Ако имате физически U2F токен и използвате Chrome, Firefox или Opera, можете да го използвате, за да защитите профилите си в Google, Facebook, Dropbox и GitHub. Други големи услуги все още не поддържат U2F.
U2F работи и с браузъра Google Chrome на Android, ако приемем, че имате USB ключ с вградена NFC поддръжка. Apple не позволява достъп до приложенията на NFC хардуера, така че това няма да работи с iPhone.
Докато сегашните стабилни версии на Firefox имат поддръжка на U2F, то е забранено по подразбиране. Ще трябва да активирате скрито предпочитание на Firefox, за да активирате поддръжката на U2F в момента.
Поддръжката на U2F ключове ще стане по-широко разпространена, когато APIът за уеб удостоверяване излезе. Той дори ще работи в Microsoft Edge.
Как можете да го използвате
За да започнете, просто трябва да имате маркер U2F. Google ви насочва да търсите Amazon за „FIDO U2F Security Key“, за да ги намерите. Най-високата цена струва 18 долара и е направена от Yubico, компания с история на физически USB ключове за сигурност. По-скъпият Yubikey NEO включва NFC поддръжка за използване с Android устройства.
След това можете да посетите настройките на профила си в Google, да намерите страницата за потвърждаване в две стъпки и да кликнете върху раздела „Клавиши за сигурност“. Кликнете върху Добавяне на ключ за защита и ще можете да добавите физическия ключ за защита, който трябва да влезете в профила си в Google. Процесът ще бъде подобен за други услуги, които поддържат U2F-проверете това ръководство за повече.
Това все още не е инструмент за сигурност, който можете да използвате навсякъде, но много услуги трябва в крайна сметка да добавят поддръжка за него. Очаквайте големи неща от API за уеб удостоверяване и тези U2F ключове в бъдеще.