U2F vysvětlil, jak společnost Google a další společnosti vytvářejí univerzální bezpečnostní značku
U2F je nový standard pro univerzální dvojfaktorové ověřovací tokeny. Tyto žetony mohou používat rozhraní USB, NFC nebo Bluetooth k zajištění dvoufaktorové autentizace v různých službách. Je již podporováno v účtech Chrome, Firefox a Opera pro Google, Facebook, Dropbox a GitHub.
Tento standard je podporován aliancí FIDO, která zahrnuje služby Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America a mnoho dalších masivních společností. Očekávejte, že bezpečnostní žetony U2F budou brzy na místě.
Něco podobného se brzy rozšiřuje pomocí API pro ověřování webu. Bude to standardní API pro ověřování, které funguje ve všech platformách a prohlížečích. Bude podporovat další metody autentizace a také klíče USB. API pro ověřování webu původně bylo známé jako FIDO 2.0.
Co je to?
Dvoufaktorová autentizace je zásadním způsobem k ochraně vašich důležitých účtů. Tradičně většina účtů potřebuje heslo pro přihlášení - to je jeden z faktorů, něco, co víte. Každý, kdo zná heslo, se může dostat do vašeho účtu.
Dvoufaktorová autentizace vyžaduje něco, co znáte a něco, co máte. Často se jedná o zprávu zaslanou do vašeho telefonu prostřednictvím SMS nebo kód vygenerovaný prostřednictvím aplikace, jako je Google Authenticator nebo Authy v telefonu. Někdo potřebuje heslo a přístup k fyzickému zařízení, které se má přihlásit.
Ovládání dvou faktorů však není tak snadné, jak by mělo být, a často zahrnuje zadávání hesel a SMS zpráv do všech služeb, které používáte. U2F je univerzální standard pro vytváření fyzických autentizačních tokenů, které mohou pracovat s libovolnou službou.
Pokud jste obeznámeni s Yubikey - fyzickým klíčem USB, který vám umožňuje přihlásit se do služby LastPass a dalších služeb - budete s tímto konceptem obeznámeni. Na rozdíl od standardních přístrojů Yubikey je U2F univerzálním standardem. Zpočátku společnost U2F vytvořila společnost Google a společnost Yubico spolupracovala.
Jak to funguje?
V současné době jsou zařízení U2F obvykle malé USB zařízení, které vložíte do portu USB vašeho počítače. Některé z nich mají podporu NFC, aby mohly být použity s telefony Android. Je založen na existující bezpečnostní technologii "smart card". Když jej vložíte do portu USB vašeho počítače nebo klepnete na telefon, prohlížeč v počítači může komunikovat s klíčem zabezpečení USB pomocí zabezpečené šifrovací technologie a poskytne správnou odpověď, která vám umožní přihlásit se na web.
Protože to běží jako součást samotného prohlížeče, přináší vám několik hezkých bezpečnostních vylepšení oproti typické dvoufaktorové autentizaci. Nejprve prohlížeč zkontroluje, zda komunikuje s reálnými webovými stránkami pomocí šifrování, takže uživatelé nebudou podvedeni, aby zadali své dvoufaktorové kódy do falešných phishingových webů. Za druhé, prohlížeč odešle kód přímo na webovou stránku, takže útočník, který sedí mezitím, nemůže zachytit dočasný dvoufaktorový kód a zadat ho na skutečné webové stránce, aby získal přístup k vašemu účtu.
Webové stránky mohou také zjednodušit vaše heslo - například by vás web mohl v současné době požádat o dlouhé heslo a pak o dvoufaktorový kód, z nichž oba musíte zadat. Místo toho s webem U2F by vás web mohl požádat o čtyřmístný kód PIN, který si musíte zapamatovat, a poté budete muset stisknout tlačítko na zařízení USB nebo klepnout na něj proti telefonu, abyste se přihlásili.
Alianci FIDO pracuje také na UAF, která nevyžaduje žádné heslo. Můžete například použít snímač otisků prstů na moderním smartphonu, který vás autentizuje různými službami.
Více informací o standardu můžete získat na webových stránkách aliance FIDO.
Kde je podporováno?
Google Chrome, Mozilla Firefox a Opera (které jsou založeny na Google Chrome) jsou jediné prohlížeče podporující U2F. Pracuje na systémech Windows, Mac, Linux a Chromebooky. Pokud máte fyzický token U2F a používáte Chrome, Firefox nebo Opera, můžete jej použít k zabezpečení účtů Google, Facebook, Dropbox a GitHub. Jiné velké služby zatím nepodporují U2F.
U2F pracuje také s prohlížečem Google Chrome v systému Android, za předpokladu, že máte k dispozici klíč USB s podporou podpory NFC. Společnost Apple neumožňuje aplikacím přístup k hardwaru NFC, takže to nebude fungovat na zařízeních iPhone.
Zatímco stávající verze Firefoxu mají podporu U2F, je ve výchozím nastavení zakázána. Pro aktivaci podpory U2F musíte zapnout skrytou předvolbu prohlížeče Firefox.
Podpora klíčů U2F bude rozšířenější, jakmile se rozhraní API pro ověřování webu vypne. Dokonce bude fungovat i v Microsoft Edge.
Jak můžete použít
Potřebujete pouze token U2F, abyste mohli začít. Google vás nasměruje, aby vyhledal Amazon pro "bezpečnostní klíč FIDO U2F". Horní část stojí 18 dolarů a je vyrobena firmou Yubico, která má v minulosti fyzické bezpečnostní klíče USB. Dražší Yubikey NEO obsahuje podporu NFC pro použití se zařízeními Android.
Následně můžete navštívit nastavení účtu Google, vyhledat stránku ověření ve dvou krocích a klepnout na kartu Bezpečnostní klíče. Klepněte na tlačítko Přidat bezpečnostní klíč a budete moci přidat fyzický klíč zabezpečení, který je třeba přihlásit do účtu Google. Proces bude podobný ostatním službám, které podporují U2F - prohlédněte si tuto příručku více.
Nejde o bezpečnostní nástroj, který můžete použít všude, ale mnoho služeb by pro něj nakonec mělo přidat podporu. Od API pro webovou autentizaci a tyto U2F klávesy očekávejte v budoucnu velké věci.