Klucz U2F to narzędzie służące do uwierzytelniania w sieci. W dużym uproszczeniu klucz U2F można więc nazwać ‘kluczem do internetu’.


Co oznacza skrót U2F?

U2F to skrót z anglojęzycznego zwrotu Universal Second Factor, czyli uniwersalny drugi składnik. Nazwa ta wiąże się z dwuskładnikowym uwierzytelnianiem (two-factor authentication) czyli uwierzytelnianiem w sieci, w którym poza tradycyjnym statycznym hasłem wykorzystywany jest drugi składnik zwiększający poziom bezpieczeństwa logowania.


Klucze U2F i Dwuskładnikowe Uwierzytelnianie

Uwierzytelnianie dwuskładnikowe lub weryfikacja dwuetapowa (2FA) powstała po to, aby lepiej zabezpieczyć konta użytkowników w internecie. Dzięki 2FA cyberprzestępcom trudniej jest dostać się do prywatnych danych użytkowników, muszą bowiem przedostać się nie przez jedną (hasło) ale przez dwie zapory (drugi składnik). Istnieje wiele metod dwuskładnikowego uwierzytelniania, aczkolwiek uwierzytelnianie oparte o klucze U2F wskazywane jest przez specjalistów ds. cyberbezpieczeństwa jako mechanizm najbezpieczniejszy.

Potwierdzone bezpieczeństwo kluczy U2F  

Klucze U2F określane są jako najsilniejsza metoda uwierzytelniania, przez niektórych określana jako metoda całkowicie odporna na phishing. Klucze U2F zyskały swoją renomę wśród osób odpowiadających za cyberbezpieczeństwo po tym, jak korporacja Google wprowadziła je masowo dla wszystkich swoich pracowników (ponad 85 tysięcy osób) i wyeliminowała tym samym ryzyka związane z phishingiem i kradzieżą danych uwierzytelniających. Klucze w firmie Google wykorzystywane są od 2017 roku i od tego czasu firma nie zarejestrowała ani jednego przypadku przejęcia konta pracownika.

Jak działają klucze U2F?

Poza bezpieczeństwem, ogromną zaletą kluczy U2F w porównaniu z innymi metodami silnego uwierzytelniania jest ich niesamowita łatwość w obsłudze. Klucze U2F umożliwiają użytkownikom szybki i bezpieczny dostęp do dowolnej strony internetowej lub usługi online. Aby dokonać uwierzytelnienia, użytkownik po prostu wkłada klucz U2F do portu USB, a następnie przyciskając guzik na kluczu, potwierdza swoją tożsamość. W przypadku smartfonów lub tabletów, klucz zbliża się do anteny NFC.

Jakie są zalety kluczy U2F?

Silne uwierzytelnianie

Silne, dwuskładnikowe uwierzytelnianie przy użyciu kryptografii klucza publicznego, które chroni użytkowników przed phishingiem, przejmowaniem sesji, atakami typu „man-in-the-middle” i złośliwym oprogramowaniem.

Łatwość w użyciu

Klucz działa od razu po zarejestrowaniu w usłudze, dzięki natywnej obsłudze systemów operacyjnych i przeglądarek, umożliwiając natychmiastowe uwierzytelnianie w dowolnej liczbie usług. Klucz nie wymaga zapamiętywania, wprowadzania czy przepisywania kodów ani instalowania żadnych sterowników lub dodatkowych aplikacji.

Wysoki poziom prywatności

Klucz U2F pozwala użytkownikom tworzyć i w pełni kontrolować swoje tożsamości online. Użytkownik może posiadać wiele tożsamości w różnych usługach, bez żadnych danych osobowych powiązanych z tożsamością. Klucz U2F generuje nową parę kluczy (klucz prywatny i publiczny) dla każdej usługi, gdzie usługa przechowuje klucz publiczny a klucz prywatny nigdy nie opuszcza klucza U2F. Dzięki takiemu podejściu wyeliminowane zostaje ryzyko kradzieży sekretu uwierzytelniania (jak dzieje się w przypadku statycznych haseł).

Mnogość możliwości

Otwarte standardy zapewniają kluczom U2F elastyczność i możliwość różnego zastosowania. Obecnie klucze U2F wykorzystywane są głównie do potwierdzania tożsamości w sieci, w przyszłości mogą służyć też jako klucze dostępowe uwierzytelniające otwarcie fizycznych drzwi, jako narzędzie do potwierdzania obecności, narzędzie do głosowania, itp.

Historia kluczy U2F

Klucze U2F pierwotnie opracowane zostały wspólnymi wysiłkami firmy Google i Yubico, przy udziale firmy NXP Semiconductors. Obecnie standard jest otwarty i rozbudowywany przez FIDO Alliance - otwarte stowarzyszenie, którego misją jest zmniejszenie roli haseł i zastąpienie ich silniejszymi metodami uwierzytelniania.

Czy klucz U2F to to samo co klucz FIDO?

Z kluczami U2F wiąże się wiele innych słów i zwrotów, które często są ze sobą mylone. Poniższy słowniczek ma na celu pomoc w zrozumieniu najważniejszych pojęć.

Co to jest FIDO?

FIDO to otwarty standard uwierzytelniania w sieci opracowany przez FIDO Alliance. Uwierzytelnianie FIDO umożliwia zastąpienie logowania wykorzystującego jedynie statyczne hasło bezpiecznym logowaniem wykorzystującym kryptografię klucza publicznego. Nazwa FIDO pochodzi od skrótu Fast IDentity Online (czyli szybka tożsamość w sieci).

Co to jest Fido Alliance?

FIDO („Fast IDentity Online”) Alliance to otwarte stowarzyszenie branżowe założone w lutym 2013 r., którego misją jest opracowywanie i promowanie standardów uwierzytelniania, które „pomagają zmniejszyć nadmierne poleganie na hasłach na świecie”. FIDO zostało założone przez grupę firm w których skład wchodziły między innymi firma, Lenovo czy PayPal. Pod koniec 2016 r. liczba członków FIDO przekroczyła 260 i wciąż rośnie. Obecnie do zarządu organizacji wchodzą przedstawiciele takich firm jak Alibaba Group, Amazon, American Express, Apple, Google, Intel, MasterCard, Microsoft czy Visa.

Co to jest FIDO2?

W najprostszych słowach FIDO2 to krok wprowadzający do passwordless, czyli uwierzytelnienia w sieci bez użycia statycznych haseł.
Zagłębiając się bardziej szczegółowo, FIDO2 to najnowszy zestaw specyfikacji opracowanych przez FIDO Alliance. FIDO2 umożliwia użytkownikom wykorzystanie urządzeń wykorzystywanych codziennie (takich jak smartfony czy laptopy) do łatwego uwierzytelniania w usługach online zarówno w środowiskach mobilnych, jak i stacjonarnych. Specyfikacje FIDO2 to specyfikacja uwierzytelniania internetowego (WebAuthn) World Wide Web Consortium (W3C) i odpowiadający jej protokół Client-to-Authenticator (CTAP) FIDO Alliance.

Jak U2F ma się do FIDO2?

U2F to przodek lub protoplasta urządzeń uwierzytelniających obsługujących standard FIDO. Klucze U2F umożliwiają stworzenie i potwierdzenie tożsamości w sieci przy wykorzystaniu kryptografii klucza publicznego. Dzięki zestawowi specyfikacji FIDO2 urządzenia takie jak smartfony z czytnikami linii papilarnych oraz laptopy z kamerami na podczerwień mogą również służyć jako urządzenia uwierzytelniające i - podobnie jak klucz U2F - mogą tworzyć i potwierdzać tożsamości w sieci, wykorzystując kryptografię klucza publicznego.  

Gdzie mogę wykorzystać klucze U2F?

Z kluczy U2F może skorzystać już dziś każdy z nas. Wiele usług, z których korzystamy na co dzień, umożliwia już zabezpieczenie swoich danych z wykorzystaniem kluczy U2F. Najpopularniejsze media społecznościowe, czy najwięksi dostawcy usług w internecie umożliwiają już uruchomienie U2F jako drugiego składnika logowania.

Jak wprowadzić U2F w organizacji?

Duże organizacje zabezpieczają już najbardziej istotne aplikacje lub konta kluczowych pracowników przy wykorzystaniu kluczy U2F. Wspomniana wcześniej korporacja Google wykorzystuje klucze do zabezpieczenia wszystkich pracowników na wszystkich aplikacjach.
Wdrożenie kluczy U2F w biznesie może być procesem skomplikowanym lub nawet niemożliwym w tradycyjnym podejściu do wdrożeń narzędzi bezpieczeństwa. Istnieją jednak sposoby adopcji metod silnego uwierzytelniania, które całkowicie eliminują prace programistyczne i pozwalają na wprowadzenie kluczy U2F bez konieczności dostosowywania aplikacji. Podejście to opracowane zostało przez firmę Secfense i bazuje na wdrożeniu mechanizmów brokera bezpieczeństwa, który przenosi ciężar wdrożenia z trudnych prac programistycznych na prostą konfigurację sieciową.
Aby dowiedzieć się, jak klucze U2F i inne metody silnego uwierzytelniania mogą być wprowadzone globalnie w całej organizacji, zachęcamy do odwiedzenia strony poświęconej technologii User Access Security Broker oraz do kontaktu z nami.