U2F è un nuovo standard per i token di autenticazione a due fattori universali. Questi token possono utilizzare USB, NFC o Bluetooth per fornire l'autenticazione a due fattori su una varietà di servizi. È già supportato in Chrome, Firefox e Opera per gli account Google, Facebook, Dropbox e GitHub.
Questo standard è supportato da the FIDO alliance , che include Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America e molte altre grandi aziende. Aspettatevi che i token di sicurezza U2F saranno presto ovunque.
Qualcosa di simile diventerà presto più diffuso con il API di autenticazione Web . Questa sarà un'API di autenticazione standard che funziona su tutte le piattaforme e browser. Supporterà altri metodi di autenticazione e chiavi USB. L'API di autenticazione Web era originariamente nota come FIDO 2.0.
Che cos'è?
RELAZIONATO: Che cos'è l'autenticazione a due fattori e perché ne ho bisogno?
Autenticazione a due fattori è un modo essenziale per proteggere i tuoi account importanti. Tradizionalmente, la maggior parte degli account necessita solo di una password per accedere: questo è un fattore, qualcosa che conosci. Chiunque conosca la password può accedere al tuo account.
L'autenticazione a due fattori richiede qualcosa che conosci e qualcosa che hai. Spesso, questo è un messaggio inviato al telefono tramite SMS o un codice generato tramite un'app come Google Authenticator o Authy sul tuo telefono. Qualcuno ha bisogno della tua password e dell'accesso al dispositivo fisico per accedere.
Ma l'autenticazione a due fattori non è così facile come dovrebbe essere e spesso comporta la digitazione di password e messaggi SMS in tutti i servizi che utilizzi. U2F è uno standard universale per la creazione di token di autenticazione fisici che possono funzionare con qualsiasi servizio.
Se hai familiarità con Giubileo —Una chiave USB fisica che consente di l e in LastPass e altri servizi: avrai familiarità con questo concetto. A differenza dei dispositivi Yubikey standard, U2F è uno standard universale. Inizialmente, U2F è stato realizzato da Google e Yubico che lavorano in collaborazione.
Come funziona?
Attualmente, i dispositivi U2F sono generalmente piccoli dispositivi USB che inserisci nella porta USB del tuo computer. Alcuni di loro lo hanno fatto NFC supporto in modo che possano essere utilizzati con i telefoni Android. Si basa sulla tecnologia di sicurezza "smart card" esistente. Quando lo inserisci nella porta USB del computer o lo tocchi sul telefono, il browser del computer può comunicare con la chiave di sicurezza USB utilizzando la tecnologia di crittografia sicura e fornire la risposta corretta che ti consente di accedere a un sito web.
Poiché questo viene eseguito come parte del browser stesso, questo offre alcuni bei miglioramenti della sicurezza rispetto alla tipica autenticazione a due fattori. Innanzitutto, il browser verifica che comunichi con il sito web reale utilizzando la crittografia, in modo che gli utenti non siano indotti a inserire i loro codici a due fattori in falsi siti di phishing. In secondo luogo, il browser invia il codice direttamente al sito Web, quindi un utente malintenzionato che si trova nel mezzo non può acquisire il codice temporaneo a due fattori e inserirlo nel sito Web reale per ottenere l'accesso al tuo account.
Il sito Web può anche semplificare la password: ad esempio, un sito Web potrebbe attualmente chiederti una password lunga e quindi un codice a due fattori, che devi digitare entrambi. Invece, con U2F, un sito Web potrebbe chiederti un PIN di quattro cifre che devi ricordare e quindi richiedere di premere un pulsante su un dispositivo USB o di toccarlo sul telefono per accedere.
L'alleanza FIDO sta lavorando anche su UAF, che non richiede password. Ad esempio, potrebbe utilizzare il sensore di impronte digitali su uno smartphone moderno per autenticarti con vari servizi.
Puoi leggere di più sullo standard stesso sul sito web dell'alleanza FIDO .
Dove è supportato?
Google Chrome, Mozilla Firefox e Opera (che è basato su Google Chrome) sono gli unici browser che supportano U2F. Funziona su Windows, Mac, Linux e Chromebook. Se disponi di un token U2F fisico e utilizzi Chrome, Firefox o Opera, puoi utilizzarlo per proteggere i tuoi account Google, Facebook, Dropbox e GitHub. Altri grandi servizi non supportano ancora U2F.
U2F funziona anche con Browser Google Chrome su Android , supponendo che tu abbia una chiave USB con supporto NFC integrato. Apple non consente alle app di accedere all'hardware NFC, quindi questo non funzionerà su iPhone.
Sebbene le attuali versioni stabili di Firefox abbiano il supporto U2F, è disabilitato per impostazione predefinita. Avrai bisogno di abilitare una preferenza nascosta di Firefox per attivare il supporto U2F al momento.
Il supporto per le chiavi U2F diventerà più diffuso quando l'API di autenticazione Web decollerà. Funzionerà anche in Microsoft Edge.
Come puoi usarlo
Hai solo bisogno di un token U2F per iniziare. Google ti indirizza a cercare su Amazon " Chiave di sicurezza FIDO U2F "Per trovarli. Quello in alto costa $ 18 ed è realizzato da Yubico, una società con una storia nella realizzazione di chiavi di sicurezza USB fisiche. Il più costoso Yovikek NUOVO include il supporto NFC per l'utilizzo con i dispositivi Android.
RELAZIONATO: Come proteggere i tuoi account con una chiave U2F o YubiKey
Puoi quindi visitare le impostazioni del tuo account Google, trovare la pagina della verifica in due passaggi e fai clic sulla scheda Chiavi di sicurezza. Fai clic su Aggiungi un token di sicurezza e sarai in grado di aggiungere il token di sicurezza fisico, che ti servirà per accedere al tuo account Google. Il processo sarà simile per altri servizi che supportano U2F— controlla questa guida per ulteriori informazioni .
Questo non è ancora uno strumento di sicurezza che puoi usare ovunque, ma molti servizi dovrebbero eventualmente aggiungere il supporto per esso. Aspettatevi grandi cose in futuro dall'API di autenticazione Web e da queste chiavi U2F.
