Co to jest klucz U2F i jak z niego korzystać?

co to jest klucz u2f dwuetapowa weryfikacja

Co to jest klucz U2F? Jak z niego korzystać? Jak zwiększyć bezpieczeństwo plików i haseł? Oto najważniejsze informacje.

Uwierzytelnianie dwuskładnikowe to podstawowa metoda ochrony swoich danych w internecie. W celu poprawy bezpieczeństwa plików, loginów oraz haseł warto skorzystać też z klucza U2F.

Jak działa dwustopniowa weryfikacja i w jaki sposób pomaga to w ochronie naszych danych? W telegraficznym skrócie chodzi o to, żeby użytkownik oprócz podawania loginu i hasła, musiał podczas logowania w serwisie internetowym potwierdzić swoją tożsamość w jeszcze jeden sposób. Dzięki temu nawet jeśli ktoś przejmie nasze dane, to włamanie na nasze konto i tak okaże się niemożliwe.

Ta dodatkowa warstwa ochrony, jaką daje weryfikacja dwuetapowa, opiera się często o kody wysyłane na numer telefonu SMS-em albo na skrzynkę e-mail; czasem generuje je automatycznie system operacyjny lub aplikacja mobilna typu Authenticator od np. Google'a czy Microsoftu. Jest jeszcze jedna opcja, która uniezależnia nas od internetu - karty SIM i dostawcy poczty elektronicznej.

Klucze U2F — co to jest?

Akcesoria nazywane kluczami U2F to gadżety przypominające z wyglądu pendrive’y, ale ich budowa jest znacznie bardziej skomplikowana. Ich zadaniem jest zapewnienie najwyższego stopnia bezpieczeństwa, którego nie dają kody wysyłane SMS-em (kartę SIM da się sklonować) oraz poprzez e-mail (na pocztę można się włamać, zarówno po stronie klienta, jak i serwera).

Wielopoziomowe uwierzytelnianie z użyciem kluczy U2F (czyli Universal 2 Factor) mają podobną zasadę działania, ale cały proces wygląda nieco inaczej. Clou tej metody jest tzw. fizyczny token, czyli małe urządzonko, które trzeba podłączyć do portu USB w komputerze na czas logowania. Dodatkowym potwierdzeniem są zaszyfrowane w jego pamięci tajne dane.

Podczas konfiguracji klucza U2F na potrzeby strony internetowej klucz sprzętowy generuje unikalną parę kluczy.

Podczas próby logowania, już po podaniu prawidłowego loginu i hasła, serwer zaczyna porównywać przekazane mu uprzednio dane z tymi, które dostarcza przeglądarka internetowa. Jeśli taka walidacja się powiedzie, użytkownik zostanie dopuszczony do swojego konta, ale jeśli ktoś nie będzie dysponował kluczem, to wirtualny zamek pozostanie dla niego zamknięty i nie do ruszenia.

Co istotne, klucze U2F komunikują się bezpośrednio z przeglądarką internetową, co oznacza, że są odporne na ataki z użyciem np. keyloggera — nikt w ich przypadku nie wciska żadnych klawiszy na klawiaturze i przechwycenie danych tą metodą jest niemożliwe. Na nic atakującym zda się też klasyczny phishing, bo w celu zalogowania się i tak trzeba posiadać fizyczny dostęp do klucza.

Jeden klucz U2F, by wszystkimi serwisami rządzić

Ze względu na to, że fizyczny klucz U2F generuje unikalne klucze cyfrowe podczas parowania go z usługą online, można korzystać z jednego gadżetu w zasadzie dowolną liczbę razy. Dzięki temu wystarczy mieć tylko jedno takie akcesorium przy sobie, by bezpiecznie logować się do wszystkich swoich usług online z dowolnego urządzenia z dostępem do internetu i portem USB.

Nie we wszystkich usługach online klucze U2F są obsługiwane, ale takie duże firmy jak Facebook o to zadbały. W celu konfiguracji trzeba przejść od ustawień konta i zakładki związanej z bezpieczeństwem i prywatnością, by z jej poziomu połączyć usługę i akcesorium w parę, co zastąpi kody generowane w aplikacji i SMS-y. Opcjonalnie można wygenerować i np. wydrukować sobie klucze ratunkowe.

Oczywiście nie da się uniknąć tego, że korzystanie z uwierzytelniania dwuskładnikowego wydłuża proces logowania.

Problematyczne to jest przede wszystkim w przypadku urządzeń mobilnych, zwłaszcza tych od Apple’a, ale na szczęście jest coraz więcej modeli kluczy U2F, które sobie z nimi radzą. W sprzedaży są dostępne też najróżniejsze rodzaje akcesoriów z tej kategorii, które różnią się cenami i zapewniają wsparcie protokołów i technologii takich jak FIDO2, NFC, OpenPGP, OTP itp.

Na pierwszy rzut ucha brzmi to strasznie skomplikowanie, ale na szczęście tylko się takie wydaje i warto się tematem zainteresować. Jeśli jednak pomyśleć o tym, ile możemy stracić, gdy nasz profil w mediach społecznościowych wpadnie w niepowołane ręce, to nagle się może okazać, że te kilka chwil na włożenie klucza U2F do USB wcale nie jest aż taką niedogodnością…

Klucze U2F w Polsce dla polityków

Biorąc pod uwagę ostatnie wyczyny naszych polityków, których wiadomości e-mail wpadły w niepowołane ręce (i to zarówno ze skrzynek prywatnych wykorzystywanych w celach państwowych, jak i tych państwowych per se), wcale nie dziwi, że pojawił się pomysł, by to właśnie oni korzystali z kluczy U2F. Otrzymają je zarówno wszyscy urzędujący posłowie, jak i senatorowie.

Pozostaje mieć nadzieję, że służby odpowiedzialne za bezpieczeństwo danych w kraju odpowiednio przeszkolą miłościwie nam panujących z obsługi nowego zabezpieczenia. Miejmy tylko nadzieję, że ten utrudniony proces logowania dwuskładnikowego nie będzie zachętą, by pójść w ślady ministra Dworczyka i premiera Morawieckiego, by korzystać z poczty WP albo innego Gmaila…

Grafika główna: gguy