U2F пояснив, як Google і інші компанії створюють універсальний маркер безпеки

U2F є новим стандартом для універсальних двофакторних маркерів аутентифікації. Ці маркери можуть використовувати USB, NFC або Bluetooth для забезпечення двофакторної аутентифікації в різних службах. Вона вже підтримується в Chrome, Firefox і Opera для облікових записів Google, Facebook, Dropbox і GitHub.

Цей стандарт підтримується альянсом FIDO, який включає Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Банк Америки та багато інших великих компаній. Очікуйте, що символи безпеки U2F незабаром будуть повсюди.

Щось подібне незабаром стане більш поширеним з API веб-аутентифікації. Це стандартний API автентифікації, який працює на всіх платформах і браузерах. Він підтримуватиме інші способи аутентифікації, а також USB-ключі. API веб-перевірки автентичності був спочатку відомий як FIDO 2.0.

Що це?

Двофакторна автентифікація є важливим способом захисту важливих облікових записів. Традиційно більшість облікових записів просто потребують пароль для входу - це один з факторів, що ви знаєте. Той, хто знає пароль, може потрапити до вашого облікового запису.

Двофакторна аутентифікація вимагає чогось, що ви знаєте, і чогось у вас є. Часто це повідомлення надсилається на ваш телефон за допомогою SMS або коду, створеного за допомогою програми, наприклад, Google Authenticator або Authy на вашому телефоні. Хтось потребує пароль і доступ до фізичного пристрою для входу.

Але аутентифікація з двома факторами не така проста, як повинна бути, і часто включає в себе введення паролів і SMS-повідомлень у всіх послугах, які ви використовуєте. U2F - це універсальний стандарт для створення фізичних маркерів аутентифікації, які можуть працювати з будь-яким сервісом.

Якщо ви знайомі з Yubikey-фізичним ключем USB, який дозволяє входити в LastPass і деякі інші послуги, ви будете знайомі з цією концепцією. На відміну від стандартних пристроїв Yubikey, U2F є універсальним стандартом. Спочатку U2F виступила компанія Google і Yubico, що працюють у партнерстві.

Як це працює?

Наразі пристрої U2F зазвичай є невеликими USB-пристроями, які вставляються в USB-порт комп'ютера. Деякі з них мають підтримку NFC, тому їх можна використовувати з телефонами Android. Він заснований на існуючій технології захисту смарт-карт. Якщо вставити його у USB-порт комп'ютера або торкнутися його до телефону, веб-переглядач на вашому комп'ютері може обмінюватися інформацією із захисним ключем USB за допомогою безпечної технології шифрування та надати правильну відповідь, що дозволяє входити на веб-сайт.

Оскільки це виконується як частина самого браузера, це дає деякі корисні поліпшення безпеки в порівнянні з типовою двофакторною аутентифікацією. По-перше, веб-переглядач перевіряє, чи спілкується він із реальним веб-сайтом за допомогою шифрування, тому користувачі не будуть обмануті введенням двохфакторних кодів у підроблені фішингові веб-сайти. По-друге, веб-переглядач надсилає код безпосередньо на веб-сайт, тому зловмисник, який перебуває між ними, не може захопити тимчасовий двофакторний код і ввести його на реальному веб-сайті, щоб отримати доступ до вашого облікового запису.

Веб-сайт може також спростити ваш пароль, наприклад, веб-сайт може зараз запитати у вас довгий пароль, а потім двофакторний код, обидва з яких потрібно ввести. Замість цього, з U2F, веб-сайт може попросити вас ввести чотиризначний PIN-код, який потрібно запам'ятати, а потім зажадати від вас натиснути кнопку на пристрої USB або натиснути його на свій телефон, щоб увійти.

Альянс FIDO також працює над UAF, який не вимагає пароля. Наприклад, він може використовувати датчик відбитків пальців на сучасному смартфоні для автентифікації з різними послугами.

Детальніше про стандарт можна дізнатися на сайті альянсу FIDO.

Де підтримується?

Google Chrome, Mozilla Firefox і Opera (яка базується на Google Chrome) є єдиними браузерами, які підтримують U2F. Він працює на Windows, Mac, Linux і Chromebook. Якщо у вас є фізичний маркер U2F і використовуєте Chrome, Firefox або Opera, можна використовувати його для захисту облікових записів Google, Facebook, Dropbox і GitHub. Інші великі служби ще не підтримують U2F.

U2F також працює з браузером Google Chrome на Android, якщо у вас є вбудований ключ USB з підтримкою NFC. Apple не дозволяє доступу до програмного забезпечення NFC, тому це не буде працювати на пристроях iPhone.

Незважаючи на те, що поточні стабільні версії Firefox мають підтримку U2F, вони за замовчуванням відключені. Щоб активувати підтримку U2F, потрібно активувати приховані налаштування Firefox.

Підтримка ключів U2F стане більш поширеною, коли вийде API веб-аутентифікації. Він навіть працюватиме в Microsoft Edge.

Як ви можете використовувати його

Для початку потрібно лише маркер U2F. Google зобов'язує вас шукати Amazon для “FIDO U2F Security Key”, щоб знайти їх. Вершина коштує 18 доларів і виробляється компанією Yubico з історією виготовлення фізичних ключів безпеки USB. Дорожче Yubikey NEO включає підтримку NFC для використання з пристроями Android.

Після цього можна перейти до налаштувань облікового запису Google, знайти сторінку перевірки в 2 етапи та перейти на вкладку Ключі безпеки. Натисніть Додати ключ безпеки, і ви зможете додати фізичний ключ безпеки, який потрібно ввійти до облікового запису Google. Процес буде подібним для інших служб, які підтримують U2F-перевірку цього посібника для отримання додаткової інформації.

Це ще не інструмент захисту, який ви можете використовувати скрізь, але багато служб повинні в кінцевому підсумку додати його підтримку. У майбутньому очікуйте великі речі з API веб-аутентифікації та цих ключів U2F.