Направете ли U2F ключове за сигурност наистина безопасни?
Когато се приберете у дома, застанете пред вратата и се приближите до ключовете си, след което ги използвайте, за да отключите входа си. Не въвеждате код, не говорите с вратата и не отговаряте на загадки, сякаш говорите със сфинкс. Това е сравнително сигурно, без да ви дава огромно главоболие.
Интернет версията на това е основно ключът U2F. Въпреки че все още трябва да въведете паролата си, допълнителната работа, която трябва да направите с двуфакторното удостоверяване, изчезва, защото всичко, което трябва да направите, е да поставите физическия ключ в USB гнездо. Но този метод е поне толкова сигурен, колкото другите методи за удостоверяване? И може би по-важното е, че се отнася ли нещо ново?
Курс за бърза крачка на удостоверяване с U2F
За да обясните как функционира U2F, вече трябва да разберете двуфакторното удостоверяване. Ако не сте запознати с подобна концепция, нека използваме Google Удостоверител като работен пример: Въведете данните си за вход, за да влезете в Google, а след това техният сървър ви помоли да отворите приложението Google Удостоверител на телефона си, за да получите шест- цифрова еднократна парола. Тази последна стъпка гарантира, че лицето, влизащо в профила ви, е същото лице, което притежава телефона, в който е инсталиран GA (вероятно това сте вие!). Някои организации (напр. Банки) изпращат SMS на телефонния номер, свързан с профила ви, с шест до осемцифрен код, за да постигнат същия резултат. Други (обикновено банки) ще ви дадат символично устройство, което генерира тези номера.
Добре, така че двуфакторното удостоверяване ще използва две неща, за да влезете в системата (оттам и името): паролата и допълнителен код, свързан с нещо физическо, което притежавате, което може да се използва само веднъж.
Сега, когато имаме това, това е начинът, по който U2F работи с няколко прости думи: прави всичко това за вас под формата на физически ключ, като този, който използвате, за да отворите вратата. Ключът се вкарва в USB слот и натиснете бутон, за да завършите влизането си. Натискането на този бутон задейства алгоритъм, който генерира вътрешен код и го изпраща автоматично до удостоверяващия сървър.
Достатъчно просто, нали?
Защо U2F?
Ако можете да използвате двуфакторно удостоверяване от кутията, без да се налага да купувате нищо допълнително, защо хората трябва да излязат от пътя си, за да получат физически ключ? За бизнеса, отговорът е очевиден: не е нужно да купувате на вашите служители скъпи символни устройства. Но какви са предимствата за потребителите? Нека да разгледаме тези:
- Никога няма да се налага да въвеждате кодове, което е много удобно.
- Тъй като не е необходимо да въвеждате кодове, вътрешният код, предаван автоматично от ключа, може да бъде по-дълъг (обикновено около 32 знака).
- Не е нужно да разчитате на телефона си. (Какво става, ако телефонът ви наруши или промените номера си?)
Обърнете внимание
Причината, поради която не виждам, че U2F се прилага толкова широко, е, че двуфакторното удостоверяване вече е задало стандарта. Той е лесно достъпен и е достатъчно лесен за доставчиците на услуги за изпълнение. Понастоящем само големи услуги като Google, Facebook, Dropbox и GitHub могат да се похвалят със съвместимостта.
Освен този въпрос има и въпросът за какво се отнася. Просто казано, това ще се разглежда като прославена версия на двуфакторна автентификация, която е малко по-удобна за използване. Няма значение, че U2F адресира Man in the Middle по-ефективно (макар че това е спорно и ще стигнем до това). Възприятието е по-важно, когато се опитвате да продадете идея.
Вероятно по-важното предупреждение е фактът, че U2F прави много малко, за да не позволи на хакери да отвлекат трафика ви и да се представят за вас чрез измама на вашия потребителски агент във вашия браузър. Само този факт прави аргумента за по-висока сигурност за U2F спорен.
Направи си сам
Въпреки че U2F не е задължително по-сигурен от двуфакторното удостоверяване, заслужава да се отбележи, че са необходими няколко стъпки в положителна посока (например увеличаване на дължината на ключовете, премахване на разочароващите бариери за удостоверяване на автентичността на крайните потребители и др.). Като технология може да не е "революционен", но със сигурност си върши работата по начин, който е по-удобен за хората, които инвестират в нея. U2F може да е привлекателна за бизнеса, но потребителите не могат да намерят тарифата от 50 щ.д. за тези малки устройства, които струват цената.
Нека да обсъдим нещо интересно. Какво би ви убедило да купите ключ U2F? Или вече сте убедени? Кажете ни всичко в коментар!