Går U2F-säkerhetsnycklar verkligen för dig?
När du kommer hem står du framför dörren och fumlar runt för dina nycklar, använd sedan dem för att låsa upp din entré. Du skriver inte in en kod, du pratar inte med dörren, och du svarar inte på gåtor som om du pratade med en sfinx. Det är relativt säkert och ger dig inte en enorm huvudvärk.
Internetens version av detta är i grunden U2F-tangenten. Även om du fortfarande måste skriva ditt lösenord, försvinner det extra arbete du har att göra med tvåfaktorsautentisering eftersom allt du behöver göra är att sätta in din fysiska nyckel i en USB-plats. Men är den här metoden minst lika säker som andra autentiseringsmetoder? Och kanske viktigare, adresserar det någonting nytt?
En snabbkraschkurs om U2F-autentisering
För att förklara hur U2F fungerar måste du redan förstå tvåfaktors autentisering. Om du inte är bekant med ett sådant koncept, låt oss använda Google Authenticator som ett fungerande exempel: Du skriver in dina inloggningsuppgifter för att komma in i Google och sedan frågar servern på dig om att du öppnar Google Authenticator-appen på din telefon för att få en sex- ciffrigt engångslösenord. Det här sista steget garanterar att den person som loggar in på ditt konto är samma person som äger den telefon som GA installerades i (förmodligen det är du!). Vissa enheter (t.ex. banker) skickar ett SMS till telefonnumret som är kopplat till ditt konto med en sex till åtta siffror för att uppnå samma resultat. Andra (även vanligtvis banker) ger dig en token-enhet som genererar dessa nummer.
Okej, så tvåfaktors autentisering kommer att använda två saker att logga in dig (därav namnet): ditt lösenord och en extra kod förknippad med något fysiskt som du äger som bara kan användas en gång.
Nu när vi fick det ur vägen så fungerar U2F med några enkla ord: Det gör allt detta för dig i form av en fysisk nyckel, som den du använder för att öppna en dörr. Nyckeln sätts in i en USB-plats, och du trycker på en knapp för att slutföra din inloggning. Genom att trycka på den knappen utlöses en algoritm som genererar en kod internt och skickar den automatiskt till autentiseringsservern.
Enkelt nog, eller hur?
Varför U2F?
Om du kan använda tvåfaktorautentisering ur lådan utan att behöva köpa något extra, varför ska folk gå ut ur deras sätt att få en fysisk nyckel? För företag är svaret uppenbart: du behöver inte köpa dina anställda dyra token-enheter. Men vad är fördelarna för konsumenterna? Låt oss titta på dem:
- Du behöver aldrig skriva koder, vilket är väldigt bekvämt.
- Eftersom du inte behöver skriva koder kan den interna koden som sänds automatiskt med nyckeln vara längre (vanligen cirka 32 tecken).
- Du behöver inte vara beroende av din telefon. (Vad händer om din telefon bryter eller om du ändrar ditt nummer?)
Grunderna
Anledningen till att jag inte ser att U2F tillämpas så brett är att tvåfaktorsautentisering redan har ställt in standarden. Den är lätt tillgänglig och är tillräckligt lätt för tjänsteleverantörer att genomföra. För närvarande är det bara stora tjänster som Google, Facebook, Dropbox och GitHub som är kompatibla.
Bortsett från det här problemet är det också frågan om vad den adresserar. Enkelt sett kommer det att ses som en förhärligad version av tvåfaktorsautentisering som är marginellt bekvämare att använda. Det spelar ingen roll att U2F adresserar Man i Mellanöstern attackerar mer effektivt (även om det är diskutabelt, och vi kommer till det). Uppfattningen är viktigare när du försöker sälja en idé.
Förmodligen är den viktigaste varningen det faktum att U2F gör väldigt lite för att förhindra en hackare från att kapa din trafik och förgäma dig genom att spoofa din användaragent i din webbläsare. Detta faktum ensamt gör argumentet för "högre säkerhet" för U2F diskutabelt.
Takeaway
Även om U2F inte nödvändigtvis är säkrare än tvåfaktorsautentisering är det värt att notera att det tar några steg i positiv riktning (t.ex. ökad nyckellängd, eliminering av frustrerande autentiseringsbarriärer för slutanvändare etc.). Som en teknik kan det inte vara "revolutionerande", men det gör verkligen sitt jobb på ett sätt som är mer lämpligt för de människor som investerar i det. U2F kan vara attraktivt för företagen, men konsumenterna kanske inte hittar priset på $ 50 på dessa lilla enheter som är värda kostnaden.
Låt oss diskutera något intressant. Vad skulle övertyga dig om att köpa en U2F-nyckel? Eller är du redan övertygad? Berätta allt om det i en kommentar!