Klucze bezpieczeństwa U2F – co to właściwie jest?

Większość z nas na pewno pamięta atak hakerski na serwery należące do PlayStation Network. W 2011 roku doszło do jednego z największych tego typu ataków w historii: szacuje się, że ofiarami ataku mogło paść ok.77 milionów kont, na których znajdowały się dane użytkowników takie jak m.in. numery kart bankowych czy adresy, podane przez użytkowników w trakcie zakładania konta. I choć ataki na taką skalę zdarzają się rzadko, coraz częściej jesteśmy ofiarami przestępstw internetowych. Kradzież wrażliwych danych, haseł, czy przejęcie konta na Facebooku to powszechny problem osób, żyjących w XXI wieku.

Hasło do jakiegokolwiek serwisu przestaje być dobrym zabezpieczeniem. Nawet jeśli w procesie zakładania konta użyjemy znaków specjalnych, małych i wielkich liter nie będziemy mieć pewności, że nie zostanie ono złamane. Podczas logowania wciąż wpisujemy ten sam ciąg znaków, a proces ten zostawia ślad w sieci. Może się więc okazać, że wymyślone przez nas najlepsze hasło świata zostanie złamane przez hakera, który uzyska dostęp do wszystkich informacji o nas – począwszy od zdjęć z wakacji, poprzez wrażliwe dane naszych klientów jak również numery naszych kart. Nikt z nas nie chce obudzić się rano i odkryć, że nasz Facebookowy profil przejęła osoba z Chin. Jednak istnieje prosty sposób, który pozwoli Ci zabezpieczyć proces logowania przed potencjalnymi atakami hakerskimi. Klucze bezpieczeństwa – wiesz, co to jest?

Klucze bezpieczeństwa U2F– co to właściwie jest?

Google jak również setki innych stron i serwisów oferują swoim użytkownikom opcje dwuetapowej weryfikacji podczas logowania się na poszczególne serwery. Taki rodzaj logowania jest dwuczęściowy: najpierw podajemy login i hasło, a później potwierdzamy logowanie za pomocą zewnętrznego tokenu. Tokenem może być bardzo popularne hasło sms, wysyłane na nasz numer telefonu (niezbyt bezpieczna opcja, łatwo ulegająca atakom) lub zastosowanie kluczy U2F. Stosowanie kluczy bezpieczeństwa przyda się każdemu z nas w życiu codziennym, choć jest polecana przede wszystkim grupom zawodowym szczególnie narażonym na ataki online (są to m.in. dziennikarze, aktywiści, politycy). Dwuetapowa weryfikacja połączona z zastosowaniem kluczy bezpieczeństwa pomoże nam skutecznie zabezpieczyć się przed phishingiem i innymi atakami hakerskimi.

Nazwa „klucz bezpieczeństwa U2F” większości z nas kojarzy się z kosmiczną i wielce skomplikowaną technologią NASA, stosowaną do badań kosmosu. Enigmatyczna nazwa nie jest jednak w pełni adekwatna do przedmiotu, który bez problemu zmieści się w naszej kieszeni. Klucz bezpieczeństwa z wyglądu przypomina pendrive. To małe urządzenie, które skutecznie (i szybko!) pomoże Ci zabezpieczyć się przed atakami online. Klucze bez problemu kupimy w internecie (pamiętaj, żeby wybrać sprawdzony sklep!), a ich używanie, wbrew skomplikowanej nazwie, w żaden sposób nie wpłynie na nasze codzienne funkcjonowanie. Istnieje nawet prawdopodobieństwo, że je przyspieszy – dzięki kluczom nie musisz każdorazowo wpisywać długich i skomplikowanych haseł, generują się one automatycznie po naciśnięciu przycisku na tokenie. Prościej (i bezpieczniej) naprawdę się już chyba nie da.

Na rynku dostępne są klucze obsługujące różne metody komunikacji i uwierzytelniania. Możemy kupić tokeny pasujące do laptopów czy urządzeń mobilnych (tak, możemy bez problemy podłączyć je do naszych smartfonów za pomocą NFC). Klucze działają offline: nie potrzebujemy połączenia z internetem, by wygenerować hasła.

Zalety korzystania z kluczy U2F

Skoro wiemy już czym są klucze bezpieczeństwa, warto zastanowić się chwilę nad zaletami korzystania z nich. Jasne, wiele z nich jest oczywista i sama nasuwa się automatycznie, część z nich warto jednak wypunktować i omówić osobno. Korzyści płynących z korzystania z kluczy bezpieczeństwa jest naprawdę wiele:

• Bezpieczeństwo: najważniejsza ze wszystkich zalet posiadania klucza U2F. Zastosowanie klucza bezpieczeństwa w połączeniu z weryfikacją dwuetapową ochroni nas przed phishingiem, przechwytywaniem sesji czy wyłudzeniem danych. Dodatkowo klucz nie zadziała podczas logowania na fałszywej domenie.
• Łatwe w użyciu: klucze są bardzo poręczne i małe, dlatego bez problemu zawsze możemy mieć je przy sobie. Samo ich użycie również nie sprawi problemu: wystarczy, że podepniemy je przez port USB do naszego komputera i przez naciśnięcie przycisku wygenerujemy hasła. Klucze nie magazynują danych, więc nawet jeśli zgubimy gdzieś token to nic się nie stanie, nasze dane nadal będą bezpieczne – wystarczy, że kupimy nowy egzemplarz.
• Pozwalają zachować prywatność: bez wątpienia wiąże się to z zachowaniem bezpieczeństwa. Dzięki używaniu kluczy mamy pełną kontrolę nad naszą tożsamością internetową: mamy pod kontrolą wszystkie hasła i kody, możemy też mieć pewność, że zalogujemy się tylko na oryginalnych i autoryzowanych witrynach.
• Wiele opcji wyboru: na rynku dostępne są różne rodzaje kluczy, dzięki którym na pewno uda nam się wybrać produkt w pełni dostosowany do naszych potrzeb. Tokeny zaprojektowane są tak, by odpowiadać wielu metodom uwierzytelniania i różnym metodom komunikacji (USB i NFC).
• Zróżnicowane cenowo: wiadomo, że bezpieczeństwo naszych danych jest bezcenne. Zakup klucza U2F nie nadwyręży jednak naszego portfela. Yubikey – czyli najpopularniejsze klucze na rynku zakupimy już w cenie 180zł. Mała kwota za spokojnie przespane noce, ochronę i bezpieczeństwo haseł, prawda?
• Ochrona tożsamości internetowej: tożsamość internetowa to nic innego jak dane które jako użytkownik portali i stron internetowych udostępniamy i zostawiamy podczas codziennych aktywności. Od nas zależy, czy będziemy występować pod pełnym imieniem, nazwiskiem czy nickiem. Stosowanie kluczy bezpieczeństwa pomoże nam świadomie zarządzać danymi, które udostępniamy w sieci.

Zobacz też inne artykuły na naszym blogu, które rozwijają temat bezpieczeństwa danych w chmurze:

• Czy chmura Google Workspace jest zgodna z prawem?
• Słabe punkty weryfikacji dwuetapowej
• 5 zasad dbania o bezpieczeństwo danych w firmie

Klucze U2F to nadal stosunkowo mało popularna metoda zabezpieczenia się przed atakami i kradzieżą tożsamości internetowej. Klucze współpracują z większością popularnych serwisów i stron, jak aplikacje Google Workspace, Dropbox, GitHub, czy Facebook. Listę wszystkich stron, które umożliwiają weryfikację dwuetapową znajdziesz w jednym miejscu https://www.dongleauth.info/