Klucz U2F – jak się nie dać hackerom?

Coraz częściej słyszy się o kluczach U2F jako skutecznej metodzie podwójnego zabezpieczenia dostępu do konta (2FA). Nie ma się co dziwić, są one w końcu pewniejsze od kodów przesyłanych przez wiadomość SMS. Silne hasła, różne dla każdego z serwisów z których korzystamy, to oczywiście jedna z najlepszych metod zabezpieczania się przed włamaniami na konto, ale nie daje ona 100% pewności, że nikt na to konto nie wejdzie.

Hasła wyciekają. Co więc zrobić, żeby dane pozostały nadal bezpieczne? Odpowiedzią jest uwierzytelnianie wieloskładnikowe (MFA), które najczęściej występuje w postaci uwierzytelniania dwupoziomowego (2FA). Tu spotykamy się z różnymi opcjami – kody generowane i wysyłane poprzez wiadomości SMS, kody generowane w odpowiednich aplikacjach, czy potwierdzenie logowania na mailu bądź w aplikacji. Wszystkie te metody mają jednak swoją wadę. Da się je przechwycić.

Ataki phishingowe w postaci spreparowanych stron mogą być na tyle dobrze przygotowane, że poproszą o podanie loginu i hasła do konta oraz kodu wygenerowanego w aplikacji. Jeśli korzystasz z potwierdzenia poprzez kliknięcie w aplikacji, odpowiedni bot spróbuje się zalogować podanymi przez Ciebie danymi na prawdziwą stronę w ułamku sekundy, w związku z czym potwierdzenie przyjdzie jak najbardziej poprawne – w końcu próbujesz się zalogować. Osoba nieprzygotowana na takie ataki poda wszystkie swoje dane i… straci dostęp do konta. Albo nawet do wielu, jeśli nie korzysta z MFA i wykorzystuje wszędzie takie same hasła.

I tu do gry wchodzi klucz U2F. Klucz będący fizycznym urządzeniem, służącym do podwójnej autentykacji. Użycie go jako drugiej warstwy zabezpieczenia całkowicie uniemożliwia jakiekolwiek włamanie na konto, co potwierdzają statystyki firmy Google. Od kiedy rozdali wszystkim pracownikom klucze U2F i wymagają ich wykorzystania, liczba ataków phishingowych dokonanych z sukcesem spadła do zera. W jaki sposób więc fizyczny klucz uniemożliwia dostęp nieuprawnionym osobom?

Phisherzy nie są w stanie przez internet wykraść z tego urządzenia żadnych informacji. Gwarantuje to tzw. “secure element” wbudowany w klucz, który w uproszczeniu jest małym komputerem. Po włożeniu klucza do portu USB lub zbliżeniu do czytnika NFC, klucz otrzymuje zasilanie i może przeprowadzić bezpieczne, kryptograficzne operacje “w sobie”, a nie na Twoim urządzeniu. Dzięki takiemu podejściu twój kryptograficzny sekret, używany do uwierzytelniania dwuskładnikowego w serwisach internetowych i aplikacjach nigdy nie opuszcza klucza U2F, a więc phisherzy nie są w stanie go wykraść.

Klucz U2F firmy Yubico – wiodącego producenta kluczy U2F można kupić u naszych przyjaciół w sklep.niebezpiecznik.pl!

Zdjęcie dzięki uprzejmości Daniele Franchi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.