Co to jest klucz U2F i jak z niego korzystać?

Uwierzytelnianie dwuskładnikowe to podstawowa metoda ochrony swoich danych w internecie. W celu poprawy bezpieczeństwa plików, loginów oraz haseł warto skorzystać też z klucza U2F.

Jak działa dwustopniowa weryfikacja i w jaki sposób pomaga to w ochronie naszych danych? W telegraficznym skrócie chodzi o to, żeby użytkownik oprócz podawania loginu i hasła, musiał podczas logowania w serwisie internetowym potwierdzić swoją tożsamość w jeszcze jeden sposób. Dzięki temu nawet jeśli ktoś przejmie nasze dane, to włamanie na nasze konto i tak okaże się niemożliwe.

Ta dodatkowa warstwa ochrony, jaką daje weryfikacja dwuetapowa, opiera się często o kody wysyłane na numer telefonu SMS-em albo na skrzynkę e-mail; czasem generuje je automatycznie system operacyjny lub aplikacja mobilna typu Authenticator od np. Google'a czy Microsoftu. Jest jeszcze jedna opcja, która uniezależnia nas od internetu - karty SIM i dostawcy poczty elektronicznej.

Czytaj także: Nie bądź jak polski polityk, włącz dwuetapową weryfikację. Sprawdź, jak to zrobić.

Akcesoria nazywane kluczami U2F to gadżety przypominające z wyglądu pendrive’y, ale ich budowa jest znacznie bardziej skomplikowana. Ich zadaniem jest zapewnienie najwyższego stopnia bezpieczeństwa, którego nie dają kody wysyłane SMS-em (kartę SIM da się sklonować) oraz poprzez e-mail (na pocztę można się włamać, zarówno po stronie klienta, jak i serwera).

Wielopoziomowe uwierzytelnianie z użyciem kluczy U2F (czyli Universal 2 Factor) mają podobną zasadę działania, ale cały proces wygląda nieco inaczej. Clou tej metody jest tzw. fizyczny token, czyli małe urządzonko, które trzeba podłączyć do portu USB w komputerze na czas logowania. Dodatkowym potwierdzeniem są zaszyfrowane w jego pamięci tajne dane.

Podczas próby logowania, już po podaniu prawidłowego loginu i hasła, serwer zaczyna porównywać przekazane mu uprzednio dane z tymi, które dostarcza przeglądarka internetowa. Jeśli taka walidacja się powiedzie, użytkownik zostanie dopuszczony do swojego konta, ale jeśli ktoś nie będzie dysponował kluczem, to wirtualny zamek pozostanie dla niego zamknięty i nie do ruszenia.

Co istotne, klucze U2F komunikują się bezpośrednio z przeglądarką internetową, co oznacza, że są odporne na ataki z użyciem np. keyloggera — nikt w ich przypadku nie wciska żadnych klawiszy na klawiaturze i przechwycenie danych tą metodą jest niemożliwe. Na nic atakującym zda się też klasyczny phishing, bo w celu zalogowania się i tak trzeba posiadać fizyczny dostęp do klucza.

Ze względu na to, że fizyczny klucz U2F generuje unikalne klucze cyfrowe podczas parowania go z usługą online, można korzystać z jednego gadżetu w zasadzie dowolną liczbę razy. Dzięki temu wystarczy mieć tylko jedno takie akcesorium przy sobie, by bezpiecznie logować się do wszystkich swoich usług online z dowolnego urządzenia z dostępem do internetu i portem USB.

Nie we wszystkich usługach online klucze U2F są obsługiwane, ale takie duże firmy jak Facebook o to zadbały. W celu konfiguracji trzeba przejść od ustawień konta i zakładki związanej z bezpieczeństwem i prywatnością, by z jej poziomu połączyć usługę i akcesorium w parę, co zastąpi kody generowane w aplikacji i SMS-y. Opcjonalnie można wygenerować i np. wydrukować sobie klucze ratunkowe.

Problematyczne to jest przede wszystkim w przypadku urządzeń mobilnych, zwłaszcza tych od Apple’a, ale na szczęście jest coraz więcej modeli kluczy U2F, które sobie z nimi radzą. W sprzedaży są dostępne też najróżniejsze rodzaje akcesoriów z tej kategorii, które różnią się cenami i zapewniają wsparcie protokołów i technologii takich jak FIDO2, NFC, OpenPGP, OTP itp.

Na pierwszy rzut ucha brzmi to strasznie skomplikowanie, ale na szczęście tylko się takie wydaje i warto się tematem zainteresować. Jeśli jednak pomyśleć o tym, ile możemy stracić, gdy nasz profil w mediach społecznościowych wpadnie w niepowołane ręce, to nagle się może okazać, że te kilka chwil na włożenie klucza U2F do USB wcale nie jest aż taką niedogodnością…

Biorąc pod uwagę ostatnie wyczyny naszych polityków, których wiadomości e-mail wpadły w niepowołane ręce (i to zarówno ze skrzynek prywatnych wykorzystywanych w celach państwowych, jak i tych państwowych per se), wcale nie dziwi, że pojawił się pomysł, by to właśnie oni korzystali z kluczy U2F. Otrzymają je zarówno wszyscy urzędujący posłowie, jak i senatorowie.

Pozostaje mieć nadzieję, że służby odpowiedzialne za bezpieczeństwo danych w kraju odpowiednio przeszkolą miłościwie nam panujących z obsługi nowego zabezpieczenia. Miejmy tylko nadzieję, że ten utrudniony proces logowania dwuskładnikowego nie będzie zachętą, by pójść w ślady ministra Dworczyka i premiera Morawieckiego, by korzystać z poczty WP albo innego Gmaila…

Grafika główna: gguy