U2F magyarázata Hogyan hoz létre a Google és más vállalatok egyetemes biztonsági token
Az U2F egy új szabvány az univerzális két faktorú hitelesítési tokenek számára. Ezek a tokenek az USB, az NFC vagy a Bluetooth használatával biztosíthatnak kétfaktoros hitelesítést számos szolgáltatáson. Már támogatja a Chrome, a Firefox és az Opera a Google, a Facebook, a Dropbox és a GitHub fiókok számára.
Ezt a szabványt a FIDO szövetség támogatja, amely magában foglalja a Google, a Microsoft, a PayPal, az American Express, a MasterCard, a VISA, az Intel, az ARM, a Samsung, a Qualcomm, a Bank of America és számos más nagyvállalat. Várja meg, hogy az U2F biztonsági tokenek hamarosan az egész helyen legyenek.
A Web Authentication API-val hamarosan hasonló dolog fog terjedni. Ez egy szabványos hitelesítési API lesz, amely minden platformon és böngészőben működik. Más hitelesítési módszereket és USB-kulcsokat is támogat. A webes hitelesítési API eredetileg FIDO 2.0 néven ismert.
Mi az?
A két faktorú hitelesítés alapvető fontosságú a fontos fiókok védelméhez. Hagyományosan a legtöbb fióknak szüksége van egy jelszóra a bejelentkezéshez - ez egy tényező, amit tud. Bárki, aki ismeri a jelszót, beléphet a fiókjába.
A két faktorú hitelesítéshez valamit, amit tud, és valamit is megkövetel. Gyakran ez egy üzenet, amelyet SMS-ben vagy egy olyan alkalmazáson keresztül küldünk a telefonra, amely a telefonon található Google Authenticator vagy Authy alkalmazáson keresztül generálódik. Valakinek szüksége van mind a jelszavára, mind a hozzáférésre a fizikai eszközhöz.
De a két tényezős hitelesítés nem olyan egyszerű, mint amilyennek kellene lennie, és gyakran magában foglalja a jelszavak és az SMS üzenetek beírását az összes használt szolgáltatásba. Az U2F egyetemes szabvány a fizikai hitelesítési tokenek létrehozásához, amelyek bármilyen szolgáltatással működhetnek.
Ha ismeri a Yubikey-fizikai USB-kulcsot, amely lehetővé teszi, hogy bejelentkezzen a LastPass-ba, és néhány más szolgáltatás, akkor ismeri ezt a koncepciót. A hagyományos Yubikey eszközökkel ellentétben az U2F egyetemes szabvány. Kezdetben az U2F-et a Google és a Yubico partnerségben dolgozták.
Hogyan működik?
Jelenleg az U2F-eszközök általában kis USB-eszközök, amelyeket behelyez a számítógép USB-portjába. Némelyikük rendelkezik NFC támogatással, így Android telefonokkal is használható. A meglévő „intelligens kártya” biztonsági technológián alapul. Amikor behelyezi a számítógép USB-portjába, vagy érintse meg a telefont, a számítógép böngészője biztonságos titkosítási technológiával kommunikálhat az USB biztonsági kulcs segítségével, és biztosítja a helyes választ, amely lehetővé teszi, hogy bejelentkezzen egy webhelyre.
Mivel ez a böngésző részeként működik, ez néhány szép biztonsági javulást nyújt a tipikus két faktorú hitelesítéshez képest. Először a böngésző ellenőrzi, hogy titkosítást használva kommunikál-e a valódi weboldallal, így a felhasználókat nem fogják becsapni a két tényező kódok bevitelébe a hamis adathalász webhelyekbe. Másodszor, a böngésző elküldi a kódot közvetlenül a webhelyre, így a közbeeső támadó nem tudja rögzíteni az ideiglenes kétfaktoros kódot, és beírhatja azt a valódi webhelyre, hogy hozzáférjen a fiókjához.
A weboldal egyszerűsítheti a jelszavát is - például egy webhely egy hosszú jelszót kérhet, majd egy kétfaktoros kódot, amelyet mindkettőnek be kell írnia. Ehelyett az U2F segítségével a webhely négyjegyű PIN-kódot kérhet, amit meg kell emlékeznie, majd meg kell nyomnia egy USB-eszköz gombját, vagy érintse meg a telefont, hogy bejelentkezzen.
A FIDO szövetség is dolgozik az UAF-on, amely nem igényel jelszót. Például a modern okostelefon ujjlenyomat-érzékelőjével különböző szolgáltatásokkal hitelesítheti Önt.
A szabványról bővebben a FIDO szövetség honlapján olvashat.
Hol támogatott?
A Google Chrome, a Mozilla Firefox és az Opera (amely a Google Chrome-on alapul) az egyetlen böngésző, amely támogatja az U2F-et. Windows, Mac, Linux és Chromebookokon működik. Ha van fizikai U2F-tokenje, és Chrome-ot, Firefoxot vagy Opera-t használ, akkor használhatja a Google, a Facebook, a Dropbox és a GitHub fiókok védelmére. Más nagy szolgáltatások még nem támogatják az U2F-et.
Az U2F az Androidon is működik a Google Chrome böngészőjével, feltéve, hogy van beépített NFC támogatással rendelkező USB-kulcs. Az Apple nem engedélyezi az alkalmazások hozzáférését az NFC-hardverhez, így ez nem fog működni iPhone-on.
Míg a Firefox jelenlegi stabil verziói U2F-támogatással rendelkeznek, alapértelmezés szerint le van tiltva. Be kell kapcsolnia egy rejtett Firefox-preferenciát az U2F-támogatás aktiválásához.
Az U2F-kulcsok támogatása egyre szélesebb körűvé válik, amikor a webes hitelesítési API leáll. Még a Microsoft Edge programban is működik.
Hogyan lehet használni
Az indításhoz csak egy U2F-tokenre van szükség. A Google arra irányítja Önt, hogy keresse meg az Amazon-t a „FIDO U2F biztonsági kulcs” -ra, hogy megtalálja őket. Az elsődleges költség 18 dollár, amit a Yubico, a fizikai USB biztonsági kulcsok készítésével foglalkozó cég készít. A drágább Yubikey NEO az NFC támogatást támogatja az Android készülékek használatához.
Ezután meglátogathatja a Google Fiók beállításait, megtalálja a kétlépcsős hitelesítési oldalt, és kattintson a Biztonsági kulcsok fülre. Kattintson a Biztonsági kulcs hozzáadása gombra, és hozzáadhatja a fizikai biztonsági kulcsot, amelyet be kell jelentkeznie a Google-fiókjába. A folyamat hasonló lesz az U2F-et támogató egyéb szolgáltatásokhoz, amelyek többet is megtekinthetnek az útmutatóban.
Ez nem olyan biztonsági eszköz, amelyet mindenhol használhatunk, de sok szolgáltatásnak végül hozzá kell adnia a támogatást. A jövőben nagy dolgokat várhat a webes hitelesítési API-ról és ezekről az U2F-kulcsokról.