• admin@kibc
• 22 marca 2023
• Brak komentarzy

Zacznijmy od tego czym tak naprawdę jest klucz U2F? Z ang. Universal 2nd Factor to fizyczny klucz uwierzytelniający z wtykiem USB, który można nosić w kieszeni. To najlepszy i najtańszy do tej pory sposób na uwierzytelnianie danych logowania podkreślają specjaliści ds. cyberbezpieczeństwa. Używa się go jako drugi krok podczas uwierzytelniania dwuskładnikowego. Wystarczy podczas logowania włożyć klucz do portu USB. Urządzenie komunikuje się z komputerem protokołem HID, który upraszcza przesyłanie danych z zewnętrznych urządzeń na komputer. Po rozpoczęciu komunikacji pomiędzy komputerem, a kluczem mechanizm uwierzytelniania wysyła prywatny klucz do klucza publicznego na komputerze w celu jego odblokowania. Tym samym U2F zastępuje kod sms lub biometrię jako kolejny element po podaniu loginu i hasła.

Nowe, fizyczne narzędzie wydaje się krokiem w tył, biorąc pod uwagę obecne technologie, jednak eksperci podkreślają, że jest to właśnie jego największy atut. Biometria, która szturmem zdobyła rynek okazuje się nie tylko szybkim i wygodnym sposobem weryfikacji przy logowaniu, ale także łatwym celem dla hakerów. Biometryczne hakerstwo bez problemu oszukuje algorytmy rozpoznawania obrazu za pomocą zdjęć, z kolei czytnik linii papilarnych obchodzi za pomocą wydrukowanego modelu 3D palca. Głośnym echem odbił się atak hakerski w 2014 roku, w którym ofiarą ataku padła szefowa KE Ursula Von den Leyer. Przestępcy, na konferencji prasowej, wykonali kilka zdjęć jej dłoni pod różnym kątem, by następnie przygotować model 3D jej palców.

Wiarygodność i bezpieczeństwo straciła również inna metoda – uwierzytelnianie wieloskładnikowe (MFA), ponieważ cyberprzestępcy także znaleźli sposób na przechwytywanie danych, niezależnie od tego, na ilu i na którym konkretnie urządzeniu są dostarczane.

Specjaliści ds. cyberbezpieczeństwa wymieniają również inne atuty nowego rozwiązania. Klucze U2F pasują zarówno do laptopów, jak i urządzeń mobilnych, mogą również działać offline. Minusem jest fakt, że cały proces wdrażania klucza jest czasochłonny ze względu na to, że trzeba go skonfigurować z każdym serwisem osobno. Klucz wymagany jest przy każdym logowaniu do danego serwisu na nowym urządzeniu lub świeżej przeglądarce. Dopiero po zatwierdzeniu opcji “zapamiętaj mnie” podczas logowania używanie U2F nie będzie konieczne.

Istotną kwestią wpływającą na bezpieczeństwo jest wypięcie innych metod uwierzytelniania, takich jak kod sms, e-mail czy kod, brak tego kroku może spowodować, że hakerzy obejdą zabezpieczenia.

Producenci oferują różne modele kluczy, a ich cena uzależniona jest od konkretnego modelu, funkcji oraz sposobu łączenia się z komputerem. Dziś, U2F wykorzystuje wiele czołowych platform na świecie, w Polsce tematem interesują się banki.

Swoje rozwiązanie w tym temacie niebawem ma zaprezentować ING, który – jako pierwszy bank w Polsce – ma umożliwić swoim klientom rejestrowanie swoich kluczy w usłudze Moje ING zarówno w przeglądarce, jak i wersji mobilnej. Usługa ma trafić na rynek w drugim lub trzecim kwartale tego roku.

Czy U2F to rozwiązanie idealne? Oczywiście nie, chroni nas bowiem przed phishingiem, przed wirusami czy złośliwym oprogramowaniem już nie. Nawet jeśli cyberprzestępca przechwyci nasz login i hasło do autoryzacji potrzebny mu będzie jeszcze fizyczny klucz, a jego zdobycie wydaje się być mało prawdopodobne. Co jednak w sytuacji, gdy właściciel zgubi klucz? Tu robią się schodki, ponieważ użytkownik nie zaloguje się wówczas do wszystkich platform i aplikacji, do których wprowadził ten konkretny klucz. Trzeba go więc usunąć jako metodę uwierzytelniania i dodać nowy klucz. Cenna rada producentów mówi więc, aby mieć zapasowy klucz w domu, ponieważ możliwe jest podpięcie więcej, niż jednego klucza.