U2F é um novo padrão para tokens de autenticação de dois fatores universais. Esses tokens podem usar USB, NFC ou Bluetooth para fornecer autenticação de dois fatores em uma variedade de serviços. Já é compatível com Chrome, Firefox e Opera para contas do Google, Facebook, Dropbox e GitHub.
Este padrão é apoiado por a aliança FIDO , que inclui Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America e muitas outras grandes empresas. Espere que os tokens de segurança U2F estejam em todos os lugares em breve.
Algo semelhante se tornará mais difundido em breve com o API de autenticação da web . Esta será uma API de autenticação padrão que funciona em todas as plataformas e navegadores. Ele suportará outros métodos de autenticação, bem como chaves USB. A API de autenticação da Web era originalmente conhecida como FIDO 2.0.
O que é isso?
RELACIONADOS: O que é autenticação de dois fatores e por que eu preciso dela?
Autenticação de dois fatores é uma forma essencial de proteger suas contas importantes. Tradicionalmente, a maioria das contas só precisa de uma senha para fazer login - isso é um fator, algo que você sabe. Qualquer pessoa que saiba a senha pode entrar em sua conta.
A autenticação de dois fatores requer algo que você conhece e algo que você possui. Muitas vezes, esta é uma mensagem enviada para o seu telefone por SMS ou um código gerado por um aplicativo como o Google Authenticator ou Authy no seu celular. Alguém precisa de sua senha e acesso ao dispositivo físico para fazer login.
Mas a autenticação de dois fatores não é tão fácil quanto deveria ser e muitas vezes envolve a digitação de senhas e mensagens SMS em todos os serviços que você usa. U2F é um padrão universal para a criação de tokens de autenticação física que podem funcionar com qualquer serviço.
Se você está familiarizado com Jubileu - uma chave USB física que permite que você e no LastPass e alguns outros serviços - você estará familiarizado com este conceito. Ao contrário dos dispositivos Yubikey padrão, U2F é um padrão universal. Inicialmente, o U2F era feito pelo Google e Yubico trabalhando em parceria.
Como funciona?
Atualmente, os dispositivos U2F são geralmente pequenos dispositivos USB que você insere na porta USB do seu computador. Alguns deles têm NFC suporte para que possam ser usados com telefones Android. É baseado na tecnologia de segurança de “cartão inteligente” existente. Quando você o insere na porta USB do computador ou encosta no telefone, o navegador do computador pode se comunicar com a chave de segurança USB usando a tecnologia de criptografia segura e fornecer a resposta correta que permite fazer login em um site.
Como isso é executado como parte do próprio navegador, isso oferece algumas melhorias de segurança interessantes em relação à autenticação típica de dois fatores. Primeiro, o navegador verifica para garantir que está se comunicando com o site real usando criptografia, para que os usuários não sejam enganados e insiram seus códigos de dois fatores em sites de phishing falsos. Em segundo lugar, o navegador envia o código diretamente para o site, para que um invasor não consiga capturar o código temporário de dois fatores e inseri-lo no site real para obter acesso à sua conta.
O site também pode simplificar sua senha - por exemplo, um site pode atualmente solicitar uma senha longa e, em seguida, um código de dois fatores, ambos os quais você precisa digitar. Em vez disso, com o U2F, um site pode pedir um PIN de quatro dígitos que você deve lembrar e exigir que você pressione um botão em um dispositivo USB ou encoste-o no telefone para fazer login.
A aliança FIDO também está trabalhando no UAF, que não requer senha. Por exemplo, ele pode usar o sensor de impressão digital em um smartphone moderno para autenticá-lo em vários serviços.
Você pode ler mais sobre o próprio padrão no site da aliança FIDO .
Onde é suportado?
Google Chrome, Mozilla Firefox e Opera (que é baseado no Google Chrome) são os únicos navegadores que suportam U2F. Funciona em Windows, Mac, Linux e Chromebooks. Se você tem um token U2F físico e usa o Chrome, Firefox ou Opera, pode usá-lo para proteger suas contas do Google, Facebook, Dropbox e GitHub. Outros grandes serviços ainda não são compatíveis com U2F.
U2F também funciona com o Navegador Google Chrome no Android , supondo que você tenha uma chave USB com suporte NFC integrado. A Apple não permite que aplicativos acessem o hardware NFC, então isso não funcionará em iPhones.
Embora as versões estáveis atuais do Firefox tenham suporte a U2F, ele está desabilitado por padrão. Você precisará habilite uma preferência oculta do Firefox para ativar o suporte U2F no momento.
O suporte para chaves U2F se tornará mais difundido quando a API de autenticação da Web decolar. Vai funcionar até no Microsoft Edge.
Como você pode usar isso
Você só precisa de um token U2F para começar. O Google direciona você a pesquisar na Amazon por “ Chave de segurança FIDO U2F ”Para encontrá-los. O de cima custa $ 18 e é feito pela Yubico, uma empresa com um histórico de fabricação de chaves de segurança USB físicas. O mais caro Yovikek NOVO inclui suporte NFC para uso com dispositivos Android.
RELACIONADOS: Como proteger suas contas com uma chave U2F ou YubiKey
Você pode então visitar as configurações da sua Conta do Google, encontrar a página de verificação em duas etapas e clique na guia Chaves de segurança. Clique em Adicionar uma chave de segurança e você poderá adicionar a chave de segurança física, necessária para fazer login em sua conta do Google. O processo será semelhante para outros serviços que suportam U2F— verifique este guia para mais .
Esta não é uma ferramenta de segurança que você pode usar em qualquer lugar ainda, mas muitos serviços devem, eventualmente, adicionar suporte para ela. Espere grandes coisas da API de autenticação da Web e dessas chaves U2F no futuro.
