Сравните стандарты безопасности U2F и UAF

U2F (Universal Second Factor) — это двухуровневый стандарт безопасности аутентификации, в котором используется дополнительное внешнее оборудование (USB, браслет...), поэтому уровень безопасности будет выше, чем при отправке кодов по электронной почте или номеру телефона. Сегодня LuckyTemplates поможет вам изучить основы этой новой формы безопасности и сравнить ее со стандартом UAF (аналогично датчикам отпечатков пальцев на устройствах Apple и Samsung).

Представляем U2F

Двухуровневая безопасность — это основной способ защитить важные учетные записи в Интернете. Это может быть учетная запись электронной почты, учетная запись облачного хранилища, учетная запись онлайн-банкинга или учетная запись для входа на внутренний веб-сайт компании. Обычно приложения или службы, поддерживающие двухуровневую безопасность, потребуют входа в систему, выполнив следующие действия:

• Откройте веб-сайт/сервис, на который вам нужно войти, введите свое имя пользователя и пароль, как обычно.
• После этого вам будет отправлен код аутентификации разными способами: по SMS, по электронной почте, через чтение кода по телефону или с помощью некоторых специализированных приложений.
• Получив код аутентификации, вы продолжаете вводить этот код на веб-сайт/службу для успешного входа в систему.

По сути, второй уровень безопасности предотвращает несанкционированный доступ к вашей учетной записи, даже если все ваши данные для входа были раскрыты. Например, человек, у которого есть ваше имя пользователя и пароль для доступа к банковскому веб-сайту, не может получить код аутентификации, поскольку он отправляется только на ваш телефон или только на вашу электронную почту. В результате он все равно застрянет за пределами этого веб-сайта и больше ничего не сможет сделать. В лучшем случае он сможет просмотреть некоторые сведения о балансе, но не сможет совершить транзакцию денежного перевода.

Конечно, если бы он еще и телефон украл или знал, как войти в учетную запись электронной почты, это была бы другая история. Сегодня многие люди используют один и тот же пароль электронной почты для многих веб-сайтов и онлайн-сервисов, поэтому злоумышленники по-прежнему могут получить доступ к почтовому ящику и получить двухуровневый код безопасности. На этом этапе преимущества двухуровневого механизма безопасности полностью исчезают.

Точно так же телефоны очень легко украсть и открыть SMS, чтобы увидеть двухуровневый код безопасности. Даже без кражи злоумышленники все равно смогут увидеть код аутентификации, отправленный на ваш телефон, когда уведомление появится на экране блокировки. Это так просто, но чрезвычайно опасно, не так ли?

U2F был создан, чтобы решить эти ограничения. U2F использует АППАРАТНОЕ ОБЕСПЕЧЕНИЕ для создания кодов аутентификации, поэтому вам больше не придется беспокоиться, если кто-то взломает ваш почтовый ящик или заберет ваш телефон. Вход в систему должен осуществляться при наличии этого оборудования, его нельзя взломать или взломать удаленно, что снижает многие риски. В настоящее время самым популярным оборудованием U2F является USB-накопитель. Он имеет очень компактный размер, поэтому его легко носить с собой куда угодно. В будущем появится больше компаний, производящих устройства U2F в форме колец, ожерелий, браслетов, ключей и десятков других вещей.

U2F разработан альянсом под названием FIDO ( Fast IDentity Online ), в который входят Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America и многие другие крупные компании. По состоянию на июнь этого года в состав FIDO входило 200 членов из разных стран. FIDO в настоящее время очень активно продвигает U2F, от аппаратного обеспечения до программного обеспечения, и в будущем он появится повсюду.

Принцип действия

Когда вам нужно войти в онлайн-сервис, например Gmail, вам все равно придется вводить имя пользователя и пароль, как обычно. На следующем шаге вам будет предложено подключить USB-накопитель, совместимый с U2F, к вашему компьютеру. Браузер Chrome сразу определяет присутствие устройства и использует технологии шифрования для получения с него данных ( придется нажать кнопку на USB-накопителе ). Chrome продолжает подтверждать правильность данных или нет, и если все в порядке, вы авторизуетесь в Gmail.

Причина, по которой вам все равно придется вводить свое имя пользователя и пароль на первом этапе, заключается в том, чтобы не допустить проникновения кого-либо в вашу учетную запись, просто украв ключ. Это тоже верно, потому что это «2 класса», иначе это было бы то же самое, что и 1 класс.

В процессе аутентификации информации Chrome на самом деле происходит много вещей, обеспечивающих вашу безопасность. Сначала браузер проверит, общается ли он с реальным веб-сайтом по протоколу https. Это помогает избежать ситуации, когда вы используете двухуровневую безопасность на поддельном веб-сайте. Далее браузер отправит код, взятый с вашего USB-накопителя, прямо на сайт, поэтому теоретически злоумышленник не сможет получить этот код, пока данные находятся в пути.

Согласно конфигурации U2F, помимо обычного ввода полного пароля, веб-сайты также могут предоставить вам возможность ввести короткий PIN-код, а затем нажать кнопку на USB-устройстве, чтобы продолжить вход в систему. Таким образом вы сможете упростить запоминание паролей, а также сэкономить больше времени при использовании сервиса (потому что вам придется вводить меньше символов).

Какие сайты поддерживают U2F?

На момент написания этой статьи не многие веб-сайты, сервисы и программное обеспечение имели официальную поддержку U2F. Chrome в настоящее время является единственным браузером, интегрирующим U2F, и он доступен в Windows, Mac, Linux и Chrome OS. Firefox и Edge интегрируются, но неизвестно, когда они будут завершены. Некоторые веб-сайты, использующие U2F, включают веб-сайты Google, Dropbox и Github. Надеюсь, в будущем мы увидим больше крупных веб-сайтов, поддерживающих U2F.

И как уже говорилось выше, чтобы использовать U2F, вам придется использовать специальный USB-накопитель, вы не можете сразу взять имеющуюся у вас в руках USB-накопитель. Эти диски можно найти в Google, Amazon, и вы можете использовать ключевое слово FIDO U2F Security Key для поиска. Цены варьируются от нескольких до десятков долларов. В настоящее время этот тип USB не продается на вьетнамском рынке.

Предполагая, что вы уже приобрели USB-накопитель U2F, вы можете перейти на страницу конфигурации двухуровневой безопасности Google и следовать веб-инструкциям, чтобы начать его использовать.

А что насчет УАФ?

UAF ( Universal Authentication Framework ) — это еще один стандарт входа в систему, разработанный самой FIDO, но он не требует пароля. Вот почему UAF также называют беспарольным опытом . Для UAF требуется метод аутентификации, который находится на устройстве пользователя и не передается локально. Некоторыми примерами локальных методов аутентификации являются датчики отпечатков пальцев, датчики радужной оболочки глаза, распознавание лиц и даже использование микрофона для распознавания голоса. После регистрации в онлайн-сервисе каждый раз, когда пользователю необходимо войти в систему, он просто сканирует пальцем по сенсору или приближает лицо к камере.

Вы можете представить UAF так, как Apple использует датчик Touch ID, чтобы помочь нам войти в App Store, или как Samsung использует датчик отпечатков пальцев в Note 4, Note 5, S6, S6 Edge, чтобы помочь вам. покупки без ввода пароля. Каждый раз, когда вам нужно пройти аутентификацию, просто приложите палец к сенсору, и все остальное будет сделано автоматически.

UAF отличается от решения Apple и Samsung тем, что оно стандартизировано, поэтому любой веб-сайт или приложение сможет быстро и легко реализовать этот тип безопасности, без необходимости делать это с нуля и даже без зависимости от какой-либо платформы или операционной системы. Это поможет UAF стать более привлекательным и использоваться большим количеством сервисов, а также охватить больше пользователей в больших масштабах.

UAF также позволяет вам использовать комбинацию PIN-кода или пароля с локальной безопасностью, но тогда работа больше не будет полностью беспарольной, а превратится в двухуровневую безопасность.

Данные, используемые для аутентификации по стандарту UAF, такие как отпечаток пальца или образец голоса, всегда будут храниться только на вашем устройстве и, конечно, тщательно зашифрованы. Эти конфиденциальные данные не должны быть доступны внешнему миру, поскольку в этом случае существует риск кражи хакерами.

• Повысьте безопасность USB с помощью приложения USB Flash Security.
• Узнайте о перехвате DNS и о том, как его предотвратить!
• Теория. Что такое программы-вымогатели?

Удачи!