U2F vysvetlil, ako spoločnosť Google a iné spoločnosti vytvárajú univerzálny bezpečnostný token

U2F je nový štandard pre univerzálne dvojfaktorové autentifikačné žetóny. Tieto žetóny môžu využívať rozhranie USB, NFC alebo Bluetooth na poskytovanie dvojfaktorovej autentifikácie v rôznych službách. Je to už podporované v účtoch Chrome, Firefox a Opera pre Google, Facebook, Dropbox a GitHub.

Tento štandard podporuje aj aliancia FIDO, ktorá zahŕňa služby Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America a mnoho ďalších masívnych spoločností. Očakávajte, že bezpečnostné symboly U2F budú čoskoro na mieste.

Niečo podobné bude čoskoro rozšírené s nástrojom Web Authentication API. Bude to štandardné rozhranie pre autentifikáciu, ktoré funguje vo všetkých platformách a prehliadačoch. Bude podporovať iné metódy autentifikácie ako aj USB kľúče. API na overovanie webu bolo pôvodne známe ako FIDO 2.0.

Čo je to?

Dvojfaktorové overenie je základným spôsobom ochrany vašich dôležitých účtov. Tradične, väčšina účtov potrebuje len heslo na prihlásenie - to je jeden z faktorov, čo poznáte. Ktokoľvek, kto heslo pozná, sa môže dostať do vášho účtu.

Dvojfaktorové overenie vyžaduje niečo, čo poznáte, a niečo, čo máte. Často ide o správu odoslanú do telefónu prostredníctvom SMS alebo kód vygenerovaný prostredníctvom aplikácie, ako je Google Authenticator alebo Authy v telefóne. Niekto potrebuje vaše heslo a prístup k fyzickému zariadeniu na prihlásenie.

Overenie dvoch faktorov však nie je tak jednoduché, ako by malo byť, a často zahŕňa zadávanie hesiel a SMS správ do všetkých služieb, ktoré používate. U2F je univerzálny štandard pre vytváranie tokenov fyzickej autentifikácie, ktoré môžu pracovať s ľubovoľnou službou.

Ak ste oboznámení s Yubikey - fyzickým kľúčom USB, ktorý vám umožňuje prihlásiť sa do služby LastPass a niektorých ďalších služieb - budete s týmto konceptom oboznámení. Na rozdiel od štandardných zariadení Yubikey je U2F univerzálnym štandardom. Spočiatku spoločnosť U2F vytvorila spoločnosť Google a spoločnosť Yubico spolupracovala.

Ako to funguje?

V súčasnosti sú zariadenia U2F zvyčajne malé USB zariadenia, ktoré vložíte do portu USB vášho počítača. Niektoré z nich majú podporu NFC, aby mohli byť použité s telefóny s Androidom. Vychádza z existujúcej bezpečnostnej technológie "smart card". Keď ho vložíte do portu USB vášho počítača alebo klepnete na ňu proti svojmu telefónu, prehliadač vášho počítača môže komunikovať s bezpečnostným kľúčom USB pomocou bezpečnej technológie šifrovania a poskytnúť správnu odpoveď, ktorá vám umožní prihlásiť sa na webovú stránku.

Pretože to funguje ako súčasť samotného prehliadača, prináša vám niekoľko pekných bezpečnostných vylepšení oproti typickému dvojfaktorovému overovaniu. Po prvé, prehliadač skontroluje, či komunikuje s reálnymi webovými stránkami pomocou šifrovania, takže používatelia nebudú podvedení, aby zadali svoje dvojfaktorové kódy do falošných phishingových webových stránok. Po druhé, prehliadač odošle kód priamo na webovú lokalitu, takže útočník, ktorý sedí medzi tým, nemôže zachytiť dočasný dvojfaktorový kód a zadať ho na skutočnú webovú stránku, aby získal prístup k vášmu účtu.

Webové stránky môžu tiež zjednodušiť vaše heslo - napríklad webové stránky vás môžu v súčasnosti požiadať o dlhé heslo a potom o dvojfaktorový kód, z ktorých oba musíte napísať. Namiesto toho s webom U2F by vás web mohol požiadať o štvormiestny kód PIN, ktorý si musíte zapamätať, a potom vás požiada, aby ste stlačili tlačidlo na zariadení USB alebo klepnutím na ňu proti svojmu telefónu sa prihláste.

Aliancia FIDO pracuje aj na UAF, ktorá nevyžaduje žiadne heslo. Môže napríklad použiť snímač odtlačkov prstov na modernom smartfóne, ktorý vás overuje rôznymi službami.

Ďalšie informácie o samotnej norme nájdete na webovej stránke aliancie FIDO.

Kde je podporovaná?

Prehliadače Google Chrome, Mozilla Firefox a Opera (ktoré sú založené na prehliadači Google Chrome) sú jediné prehliadače, ktoré podporujú U2F. Funguje na systémoch Windows, Mac, Linux a Chromebooky. Ak máte fyzický token U2F a používate prehliadač Chrome, Firefox alebo Opera, môžete ho použiť na zabezpečenie svojich účtov Google, Facebook, Dropbox a GitHub. Ďalšie veľké služby zatiaľ nepodporujú U2F.

U2F tiež pracuje s prehliadačom Google Chrome v systéme Android, za predpokladu, že máte k dispozícii kľúč USB s podporou NFC. Spoločnosť Apple nepovoľuje aplikáciám prístup k hardvéru NFC, takže to nebude fungovať v telefónoch iPhone.

Zatiaľ čo súčasné stabilné verzie Firefoxu majú podporu U2F, v predvolenom nastavení sú vypnuté. Ak chcete aktivovať podporu U2F, musíte teraz povoliť skrytú predvoľbu prehliadača Firefox.

Podpora kľúčov U2F sa rozšíri, keď sa vypne API na overovanie webu. Dokonca bude pracovať aj v programe Microsoft Edge.

Ako ju môžete použiť

Potrebujete iba token U2F, aby ste mohli začať. Google vás nasmeruje na vyhľadávanie Amazonu pre "Bezpečnostný kľúč FIDO U2F". Horná cena stojí 18 USD a spoločnosť Yubico, spoločnosť s históriou výroby fyzických bezpečnostných kľúčov USB. Drahšie zariadenie Yubikey NEO zahŕňa podporu NFC na použitie so zariadeniami Android.

Potom môžete navštíviť nastavenia svojho účtu Google, nájsť stránku verifikácie v dvoch krokoch a kliknúť na kartu Bezpečnostné kľúče. Kliknite na položku Pridať bezpečnostný kľúč a budete môcť pridať fyzický bezpečnostný kľúč, ktorý budete potrebovať na prihlásenie do svojho účtu Google. Tento proces bude podobný aj v prípade iných služieb, ktoré podporujú U2F - podrobnejšie si prečítajte túto príručku.

Toto nie je bezpečnostný nástroj, ktorý môžete použiť všade, ale mnoho služieb by nakoniec malo naň pridať podporu. Očakávajte veľké veci z webového autentifikačného rozhrania API a týchto kľúčov U2F v budúcnosti.