Co to jest klucz U2F i jak go używać?

Co to jest klucz U2F i jak wdrożyć U2F z Secfense

Klucz U2F to narzędzie służące do uwierzytelniania w sieci. W dużym uproszczeniu klucz U2F można więc nazwać ‘kluczem do internetu’. 

Co oznacza skrót U2F?

U2F to skrót z anglojęzycznego zwrotu Universal Second Factor, czyli uniwersalny drugi składnik. Nazwa ta wiąże się z dwuskładnikowym uwierzytelnianiem (two-factor authentication) czyli uwierzytelnianiem w sieci, w którym poza tradycyjnym statycznym hasłem wykorzystywany jest drugi składnik zwiększający poziom bezpieczeństwa logowania.

Klucze U2F i Dwuskładnikowe Uwierzytelnianie

Uwierzytelnianie dwuskładnikowe lub weryfikacja dwuetapowa (2FA) powstała po to, aby lepiej zabezpieczyć konta użytkowników w internecie. Dzięki 2FA cyberprzestępcom trudniej jest dostać się do prywatnych danych użytkowników, muszą bowiem przedostać się nie przez jedną (hasło) ale przez dwie zapory (drugi składnik). Istnieje wiele metod dwuskładnikowego uwierzytelniania, aczkolwiek uwierzytelnianie oparte o klucze U2F wskazywane jest przez specjalistów ds. cyberbezpieczeństwa jako mechanizm najbezpieczniejszy.

Potwierdzone bezpieczeństwo kluczy U2F   

Klucze U2F określane są jako najsilniejsza metoda uwierzytelniania, przez niektórych określana jako metoda całkowicie odporna na phishing. Klucze U2F zyskały swoją renomę wśród osób odpowiadających za cyberbezpieczeństwo po tym, jak korporacja Google wprowadziła je masowo dla wszystkich swoich pracowników (ponad 85 tysięcy osób) i wyeliminowała tym samym ryzyka związane z phishingiem i kradzieżą danych uwierzytelniających. Klucze w firmie Google wykorzystywane są od 2017 roku i od tego czasu firma nie zarejestrowała ani jednego przypadku przejęcia konta pracownika.

Jak działają klucze U2F?

Poza bezpieczeństwem, ogromną zaletą kluczy U2F w porównaniu z innymi metodami silnego uwierzytelniania jest ich niesamowita łatwość w obsłudze. Klucze U2F umożliwiają użytkownikom szybki i bezpieczny dostęp do dowolnej strony internetowej lub usługi online. Aby dokonać uwierzytelnienia, użytkownik po prostu wkłada klucz U2F do portu USB, a następnie przyciskając guzik na kluczu, potwierdza swoją tożsamość. W przypadku smartfonów lub tabletów, klucz zbliża się do anteny NFC.

Jakie są zalety kluczy U2F?

Silne uwierzytelnianie

Silne uwierzytelnianie dwuskładnikowe przy użyciu kryptografii klucza publicznego, które chroni użytkowników przed phishingiem, przejmowaniem sesji, atakami typu „man-in-the-middle” i złośliwym oprogramowaniem.

Łatwość w użyciu

Klucz działa od razu po zarejestrowaniu w usłudze, dzięki natywnej obsłudze systemów operacyjnych i przeglądarek, umożliwiając natychmiastowe uwierzytelnianie w dowolnej liczbie usług. Klucz nie wymaga zapamiętywania, wprowadzania czy przepisywania kodów ani instalowania żadnych sterowników lub dodatkowych aplikacji.

Wysoki poziom prywatności

Klucz U2F pozwala użytkownikom tworzyć i w pełni kontrolować swoje tożsamości online. Użytkownik może posiadać wiele tożsamości w różnych usługach, bez żadnych danych osobowych powiązanych z tożsamością. Klucz U2F generuje nową parę kluczy (klucz prywatny i publiczny) dla każdej usługi, gdzie usługa przechowuje klucz publiczny a klucz prywatny nigdy nie opuszcza klucza U2F. Dzięki takiemu podejściu wyeliminowane zostaje ryzyko kradzieży sekretu uwierzytelniania (jak dzieje się w przypadku statycznych haseł).

Mnogość możliwości

Otwarte standardy zapewniają kluczom U2F elastyczność i możliwość różnego zastosowania. Obecnie klucze U2F wykorzystywane są głównie do potwierdzania tożsamości w sieci, w przyszłości mogą służyć też jako klucze dostępowe uwierzytelniające otwarcie fizycznych drzwi, jako narzędzie do potwierdzania obecności, narzędzie do głosowania, itp.

Historia kluczy U2F

Klucze U2F pierwotnie opracowane zostały wspólnymi wysiłkami firmy Google i Yubico, przy udziale firmy NXP Semiconductors. Obecnie standard jest otwarty i rozbudowywany przez FIDO Alliance – otwarte stowarzyszenie, którego misją jest zmniejszenie roli haseł i zastąpienie ich silniejszymi metodami uwierzytelniania.

Czy klucz U2F to to samo co klucz FIDO?

Z kluczami U2F wiąże się wiele innych słów i zwrotów, które często są ze sobą mylone. Poniższy słowniczek ma na celu pomoc w zrozumieniu najważniejszych pojęć.

Co to jest FIDO?

FIDO to otwarty standard uwierzytelniania w sieci opracowany przez FIDO Alliance. Uwierzytelnianie FIDO umożliwia zastąpienie logowania wykorzystującego jedynie statyczne hasło bezpiecznym logowaniem wykorzystującym kryptografię klucza publicznego. Nazwa FIDO pochodzi od skrótu Fast IDentity Online (czyli szybka tożsamość w sieci).

Co to jest Fido Alliance?

FIDO („Fast IDentity Online”) Alliance to otwarte stowarzyszenie branżowe założone w lutym 2013 r., którego misją jest opracowywanie i promowanie standardów uwierzytelniania, które „pomagają zmniejszyć nadmierne poleganie na hasłach na świecie”. FIDO zostało założone przez grupę firm w których skład wchodziły między innymi firma, Lenovo czy PayPal. Pod koniec 2016 r. liczba członków FIDO przekroczyła 260 i wciąż rośnie. Obecnie do zarządu organizacji wchodzą przedstawiciele takich firm jak Alibaba Group, Amazon, American Express, Apple, Google, Intel, MasterCard, Microsoft czy Visa.

Co to jest FIDO2?

W najprostszych słowach FIDO2 to krok wprowadzający do passwordless, czyli uwierzytelnienia w sieci bez użycia statycznych haseł.

Zagłębiając się bardziej szczegółowo, FIDO2 to najnowszy zestaw specyfikacji opracowanych przez FIDO Alliance. FIDO2 umożliwia użytkownikom wykorzystanie urządzeń wykorzystywanych codziennie (takich jak smartfony czy laptopy) do łatwego uwierzytelniania w usługach online zarówno w środowiskach mobilnych, jak i stacjonarnych. Specyfikacje FIDO2 to specyfikacja uwierzytelniania internetowego (WebAuthn) World Wide Web Consortium (W3C) i odpowiadający jej protokół Client-to-Authenticator (CTAP) FIDO Alliance.

Jak U2F ma się do FIDO2?

U2F to przodek lub protoplasta urządzeń uwierzytelniających obsługujących standard FIDO. Klucze U2F umożliwiają stworzenie i potwierdzenie tożsamości w sieci przy wykorzystaniu kryptografii klucza publicznego. Dzięki zestawowi specyfikacji FIDO2 urządzenia takie jak smartfony z czytnikami linii papilarnych oraz laptopy z kamerami na podczerwień mogą również służyć jako urządzenia uwierzytelniające i – podobnie jak klucz U2F – mogą tworzyć i potwierdzać tożsamości w sieci, wykorzystując kryptografię klucza publicznego.  

Gdzie mogę wykorzystać klucze U2F?

Z kluczy U2F może skorzystać już dziś każdy z nas. Wiele usług, z których korzystamy na co dzień, umożliwia już zabezpieczenie swoich danych z wykorzystaniem kluczy U2F. Najpopularniejsze media społecznościowe, czy najwięksi dostawcy usług w internecie umożliwiają już uruchomienie U2F jako drugiego składnika logowania. 

Jak wprowadzić U2F w organizacji?

Duże organizacje zabezpieczają już najbardziej istotne aplikacje lub konta kluczowych pracowników przy wykorzystaniu kluczy U2F. Wspomniana wcześniej korporacja Google wykorzystuje klucze do zabezpieczenia wszystkich pracowników na wszystkich aplikacjach. 

Wdrożenie kluczy U2F w biznesie może być procesem skomplikowanym lub nawet niemożliwym w tradycyjnym podejściu do wdrożeń narzędzi bezpieczeństwa. Istnieją jednak sposoby adopcji metod silnego uwierzytelniania, które całkowicie eliminują prace programistyczne i pozwalają na wprowadzenie kluczy U2F bez konieczności dostosowywania aplikacji. Podejście to opracowane zostało przez firmę Secfense i bazuje na wdrożeniu mechanizmów brokera bezpieczeństwa, który przenosi ciężar wdrożenia z trudnych prac programistycznych na prostą konfigurację sieciową. 

Aby dowiedzieć się, jak klucze U2F i inne metody silnego uwierzytelniania mogą być wprowadzone globalnie w całej organizacji, zachęcamy do odwiedzenia strony poświęconej technologii User Access Security Broker oraz do kontaktu z nami.  

Antoni takes care of all the marketing content that comes from Secfense. Czytaj więcej

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures

Wiadomo, że uwierzytelnianie dwuskładnikowe jest jednym z najlepszych sposobów ochrony przed phishingiem, jednak jego implementacja zawsze jest trudna. Secfense jako broker zabezpieczeń pomógł nam rozwiązać problem z wdrożeniem. Udało nam się od razu wprowadzić różne metody 2FA do pracy z naszymi aplikacjami.

Dariusz Pitala

Dyrektor Działu IT, MPEC S.A.