U2F forklart hvordan Google og andre firmaer lager en universell sikkerhetstoken
U2F er en ny standard for universelle tofaktors autentiseringstokener. Disse tokens kan bruke USB, NFC eller Bluetooth for å gi tofaktorautentisering på tvers av en rekke tjenester. Den støttes allerede i Chrome, Firefox og Opera for Google, Facebook, Dropbox og GitHub-kontoer.
Denne standarden støttes av FIDO alliansen, som inkluderer Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America og mange andre store selskaper. Forvent at U2F-sikkerhetstokener skal være over alt snart.
Noe lignende vil bli mer utbredt snart med Web Authentication API. Dette vil være en standard autentiserings-API som fungerer på alle plattformer og nettlesere. Den vil støtte andre autentiseringsmetoder, samt USB-nøkler. Webgodkjennings API var opprinnelig kjent som FIDO 2.0.
Hva er det?
Tofaktorautentisering er en viktig måte å beskytte dine viktige kontoer på. Tradisjonelt trenger de fleste kontoer bare et passord for å logge inn - det er en faktor, noe du vet. Alle som kjenner passordet, kan komme inn på kontoen din.
Tofaktorautentisering krever noe du vet og noe du har. Ofte er dette en melding sendt til telefonen via SMS eller en kode generert via en app som Google Authenticator eller Authy på telefonen. Noen trenger både passordet ditt og tilgang til den fysiske enheten for å logge inn.
Men tofaktorautentisering er ikke så enkelt som det burde være, og det innebærer ofte å skrive passord og sms-meldinger inn i alle tjenestene du bruker. U2F er en universell standard for å opprette fysiske godkjenningstokener som kan fungere med enhver tjeneste.
Hvis du er kjent med Yubikey-en fysisk USB-nøkkel som lar deg logge på LastPass og noen andre tjenester, vil du være kjent med dette konseptet. I motsetning til standard Yubikey-enheter, er U2F en universell standard. U2F ble opprinnelig laget av Google og Yubico som arbeider i partnerskap.
Hvordan virker det?
For tiden er U2F-enheter vanligvis små USB-enheter som du setter inn i datamaskinens USB-port. Noen av dem har NFC-støtte, slik at de kan brukes sammen med Android-telefoner. Den er basert på eksisterende "smart card" -teknologi. Når du setter den inn i datamaskinens USB-port eller klikker den mot telefonen, kan nettleseren på datamaskinen kommunisere med USB-sikkerhetsnøkkelen ved hjelp av sikker krypteringsteknologi og gi den riktige responsen som lar deg logge deg på en nettside.
Fordi dette kjører som en del av nettleseren selv, gir dette deg noen gode sikkerhetsforbedringer i forhold til typisk tofaktorautentisering. Først sjekker nettleseren for å sikre at den kommuniserer med det virkelige nettstedet ved hjelp av kryptering, slik at brukerne ikke vil bli lurt til å skrive inn tofaktorkoder i falske nettfiskewebsteder. For det andre sender nettleseren koden direkte til nettsiden, slik at en angriper som sitter i mellom ikke kan fange den midlertidige tofaktorkoden og skrive den inn på den virkelige nettsiden for å få tilgang til kontoen din.
Nettstedet kan også forenkle passordet ditt, for eksempel kan et nettsted for tiden spørre deg om et langt passord og deretter en tofaktorkode, som du begge må skrive. I stedet, med U2F, kunne en nettside spørre deg om en firesifret PIN-kode du må huske og kreve at du trykker på en knapp på en USB-enhet eller klikker den mot telefonen for å logge på.
FIDO-alliansen jobber også med UAF, som ikke krever noe passord. For eksempel kan det bruke fingeravtrykkssensoren på en moderne smarttelefon for å godkjenne deg med ulike tjenester.
Du kan lese mer om standarden selv på FIDO alliansens nettsted.
Hvor er det støttet?
Google Chrome, Mozilla Firefox og Opera (som er basert på Google Chrome) er de eneste nettleserne som støtter U2F. Den fungerer på Windows, Mac, Linux og Chromebooks. Hvis du har en fysisk U2F-token og bruker Chrome, Firefox eller Opera, kan du bruke den til å sikre Google, Facebook, Dropbox og GitHub-kontoer. Andre store tjenester støtter ennå ikke U2F.
U2F jobber også med Google Chrome-nettleseren på Android, forutsatt at du har en USB-nøkkel med NFC-støtte innebygd. Apple tillater ikke apptilgang til NFC-maskinvaren, slik at dette ikke fungerer på iPhone.
Mens nåværende stabile versjoner av Firefox har U2F-støtte, er den deaktivert som standard. Du må aktivere en skjult Firefox-preferanse for å aktivere U2F-støtten for øyeblikket.
Støtte for U2F-nøkler vil bli mer utbredt når Web Authentication API starter. Det vil til og med fungere i Microsoft Edge.
Hvordan kan du bruke det
Du trenger bare et U2F-token for å komme i gang. Google retter deg om å søke Amazon for "FIDO U2F Security Key" for å finne dem. Den øverste koster 18 dollar og er laget av Yubico, et selskap med en historie om å lage fysiske USB-sikkerhetsnøkler. Jo dyrere Yubikey NEO inkluderer NFC-støtte for bruk med Android-enheter.
Deretter kan du besøke innstillingene for Google-kontoen din, finne 2-trinns bekreftelsessiden, og klikk kategorien Sikkerhetstaster. Klikk på Legg til en sikkerhetsnøkkel, og du vil kunne legge til den fysiske sikkerhetsnøkkelen, som du må logge deg på Google-kontoen din. Prosessen vil være lik for andre tjenester som støtter U2F-sjekken ut denne veiledningen for mer.
Dette er ikke et sikkerhetsverktøy du kan bruke overalt ennå, men mange tjenester bør til slutt legge til støtte for det. Forvent store ting fra Web Authentication API og disse U2F-nøklene i fremtiden.