Bezpieczeństwo Poradniki

Klucze U2F – co to jest i jak działa?

Pinterest LinkedIn Tumblr

Żyjemy w czasach, gdy codziennie mają miejsce jakieś ataki hakerskie. Nie wszystkie są tak spektakularne, jak ten z 2011 na serwery PlayStation Network, gdzie ofiarami było około 77 milionów kont z numerami kart bankowych czy adresami użytkowników.

W tym poradniku dowiedz się:

Obecnie hasła, niezależnie jak mocne, przestają być dobrym zabezpieczeniem. Wykorzystanie liter różnych wielkości, cyfr i znaków specjalnych nie jest już gwarantem bezpieczeństwa. Każde, nawet najlepsze hasło, może zostać przez kogoś złamane. Jest jednak prosty sposób, który pozwoli zabezpieczyć się przed potencjalnym atakiem. Rozwiązaniem tym jest klucz bezpieczeństwa.

Klucz bezpieczeństwa U2F – co to jest?

Wiele stron oferuje swoim użytkownikom opcje dwuetapowej weryfikacji. Przeważnie proces ten polega na dwóch etapach: podajemy hasło i login do danego serwisu, a następnie logowanie potwierdzamy za pomocą zewnętrznego tokenu. Często są to kody wysyłane SMS-em na nasz numer telefonu lub aplikacje z kodami czasowymi.

Można też wykorzystać właśnie klucze U2F.

Skrót U2F, to Universal 2nd Factor, czyli w wolnym tłumaczeniu: drugi uniwersalny składnik.

Ich wykorzystanie jest bardzo przydatne w codziennych sprawach, ale przeważnie poleca się je osobom pracującym w branżach, które są narażone na ataki online – dziennikarzom, politykom, aktywistom. Wykorzystanie klucza bezpieczeństwa pozwala nam skutecznie zabezpieczyć dane przed phishingiem i innymi atakami ze strony hakerów.

Zobacz też: Voice phishing (vishing) – nowy typ ataku na klientów banków

Klucze bezpieczeństwa U2F przypominają pendrive. Kupić możemy klucze, które obsługują różne metody uwierzytelniania i komunikacji (Pamiętaj, by wybrać sprawdzony sklep!), a także przeznaczone dla różnych urządzeń – laptopów lub urządzeń mobilnych. Z tymi drugimi klucze łączą się za pomocą NFC. Istotny jest tutaj fakt, że działają one offline – by wygenerować hasło, nasze urządzenie nie musi być podłączone do internetu.

Polecane klucze U2F

Model klucza U2F
1. Yubico Klucz Zabezpieczający SecurityKey NFC Zobacz ceny
klucza Yubico
2. Yubico Klucz Zabezpieczający YubiKey 5 NFC Zobacz ceny
klucza Yubico
3. Yubico Klucz Zabezpieczający YubiKey 5 Nano Zobacz ceny
klucza Yubico
4. Yubico Klucz Zabezpieczający YubiKey 5C Zobacz ceny
klucza Yubico
5. Yubico YubiKey 5Ci Klucz sprzętowy Zobacz ceny
klucza Yubico
6. Yubico Klucz Zabezpieczający YubiKey 5C Nano Zobacz ceny
klucza Yubico

Klucz bezpieczeństwa U2F – jak to działa?

Klucze bezpieczeństwa opierają się na technologii „smart card”.

  1. Urządzenie wkładamy do portu USB komputera.
  2. Przeglądarka komunikuje się z nim za pomocą bezpiecznej technologii szyfrowania i zapewnia reakcje umożliwiającą logowanie się na danej stronie.
  3. Klucze działają jako część samej przeglądarki, co jest znacznie wygodniejsze niż w przypadku typowego uwierzytelniania za pomocą kodu SMS.
  4. Przeglądarka sprawdza, czy komunikuje się z prawidłową witryną za pomocą szyfrowania. To sprawia, że nie musimy martwić się o to, że podajemy nasze dane na witrynie, której celem jest wyłudzenie naszych danych. Kod bezpieczeństwa jest także bezpośrednio wysyłany z przeglądarki do witryny, więc nie ma możliwości jego przechwycenia.

Czytaj także: 7 najgłośniejszych cyberataków ostatnich lat

Klucze U2F – wady i zalety

Skoro już wiemy, czym są klucze bezpieczeństwa U2F i jak one działają, dobrze jest zastanowić się nad zaletami i wadami ich wykorzystania. Warto jednak wypunktować najbardziej istotne aspekty.

Zalety:

  • Klucz bezpieczeństwa skutecznie chroni nas przed phishingiem, wyłudzaniem danych lub przechwytywaniem sesji
  • Klucz nie pozwoli nam zalogować się na fałszywej witrynie
  • Łatwość użycia – wystarczy, że podłączymy klucz przez port USB i wciśniemy przycisk generowania hasła
  • Różnorodność urządzeń dostępnych na rynku, dzięki czemu możemy wybrać klucz idealnie pasujący do naszych wymagań

Wady:

  • Jeśli zgubimy urządzenie możemy nie być w stanie zalogować się na nasze konto
  • Odzyskiwanie hasła może sprawić, że weryfikacja dwuetapowa staje się bezużyteczna. Wiele serwisów jednak wycofuje się takie opcje. To jednak sprawia, że punkt pierwszy jest jeszcze większą wadą.
  • Może zdarzyć się, że haker powiąże nasze konto ze swoim urządzeniem i odbierze nam dostęp do danych

Klucze U2F to niestety nadal mało popularna metoda zabezpieczeń. Warto się na nie jednak zdecydować, zwłaszcza że współpracują z większością dużych i popularnych serwisów – Google G Suite, GitHub, Facebook czy Dropbox.

Od ponad 5 lat dzielę się swoją wiedzą na temat elektroniki użytkowej. Tworzę poradniki technologiczne rozwiązujące realne problemy napotykane podczas użytkowania sprzętu. Recenzuję elektronikę taką jak routery, audio, smartfony, laptopy itp.

Skomentuj