W moim pierwszym wpisie na tej stronie wspominałem, że każdy z nas powinien kupić sobie parę kluczy sprzętowych do zabezpieczenia swoich danych. I że powinniśmy używać ich wszędzie, gdzie to jest możliwe. Ale dlaczego klucze U2F są lepsze od innych metod uwierzytelniania?
Zasada działania
W tym miejscu będzie trochę technicznego bełkotu, ale niestety tego nie unikniemy. Skrót U2F pochodzi od angielskiego universal second factor, czyli po prostu uniwersalny drugi składnik. W sumie proste do zapamiętania i dobrze oddające rzeczywistość 🙂
Klucze U2F korzystają z kryptografii asymetrycznej, która korzysta z pary kluczy kryptograficznych – publicznego i prywatnego. Ten pierwszy, jak sama nazwa wskazuje, przekazujemy drugiej stronie, aby mogła ona dla nas zaszyfrować informacje. Ale tylko osoba znająca klucz prywatny (czyli my) możemy tę wiadomość odszyfrować. Dlatego możemy być prawie pewni, że nikt niepowołany nie odczyta tej wiadomości (lub nie przechwyci naszych danych logowania). Nawet superkomputerom taka faktoryzacja zajmuje lata, a raczej żadne nasze dane nie są tyle warte, aby do ich odszyfrowania używać superkomputerów 😉
Dodatkowo, w kluczach U2F wykorzystuje się pamięć write only (czyli tylko do zapisu). Klucza prywatnego nie można więc ani odczytać, ani skopiować.
Klucze U2F – na co zwrócić uwagę?
Pomimo niepozornego wyglądu klucze te są skomplikowanymi mechanizmami. Wyposażone są też w różne funkcje, dlatego przed zakupem trzeba się dobrze zastanowić. Zwróćcie uwagę przede wszystkim na 2 aspekty:
Bezpieczeństwo
Czy klucz posiada dodatkowe zabezpieczenia, np. konieczność wpisania numeru PIN lub użycia odcisku palca przy uwierzytelnianiu. Wtedy nawet gdy klucz zgubimy lub zostanie nam skradziony, mamy duże szanse, że nikomu nie uda się dobrać do naszych danych.
Uniwersalność
Korzystamy z różnych portali na różnych urządzeniach. Dlatego też zwróćcie uwagę, czy można podłączyć klucz do urządzenia na różne sposoby, nie tylko poprzez USB, ale na przykład także przez NFC (near-field communication, używana np. przy płatnościach zbliżeniowych smartfonem).
Plusy i minusy
Jak mawiał klasyk, to rozwiązanie ma swoje zady i walety.
Zacznijmy od wad. Jest to klucz fizyczny, więc jak sama nazwa wskazuje, trzeba go mieć przy sobie, żeby go użyć. Poza tym wciąż niewiele jest platform, które umożliwiają jego użycie. Ale ta liczba rośnie z dnia na dzień, a najważniejsi gracze, jak Google, Facebook, Instagram, Twitter czy Dropbox mają taką opcję.
Zaletą jest to klucz fizyczny, więc jak sama nazwa wskazuje, trzeba go mieć przy sobie, żeby go użyć.* Poza tym są banalnie proste w użytkowaniu – wystarczy wpiąć je do komputera lub zbliżyć do smartfona i po sprawie. Plusem jest też cena – za 150-200 złotych możemy kupić sobie święty spokój 🙂
Słowem podsumowania
Już w pierwszym wpisie na tym blogu mówiłem, że jest to jedyny składnik uwierzytelniania, którego nie można zphishować. Klucze sprzętowe chronią nas przed naszą nieuwagą i łatwowiernością 😉 Nawet jeśli przekażemy niechcący nasze dane logowania przestępcom, musieliby oni także wejść w posiadanie klucza i naszego palca. Nie chroni nas to oczywiście w 100% przed kradzieżą w internecie, ale przynajmniej przed phishingiem.
Druga sprawa wymagająca wyjaśnienia to to, że na obrazku wyróżniającym ten wpis jest widoczny klucz firmy Yubico. Nie płacą mi za reklamę. Pewnie nawet nie wiedzą, że prowadzę tego bloga i że o nich piszę 😛 Ale jest to lider rynku tworzący najlepszy sprzęt i współpracujący z największymi. Także jeśli kupicie sobie klucze Yubico, to nie będziecie zawiedzeni.
Trzecia sprawa, i piszę o tym na samym końcu, bo to bardzo ważne i konieczne do zapamiętania. Kupcie dwa klucze. Jeden może być tańszy i bez wodotrysków, bo będzie tylko kluczem zapasowym. Jeśli zgubicie swój jedyny klucz, stracicie dostęp do konta. A kojarząc z kontem dwa klucze od razu i chowając ten zapasowy w bezpiecznym miejscu, zawsze macie furtkę bezpieczeństwa.
Dlaczego w ogóle powstał ten wpis?
Od dawna wszystkim doradzam, żeby sobie pokupowali takie klucze i szkic tego tekstu wisiał w poczekalni od kilku tygodni. Ale, jak to mówią, szewc bez butów chodzi i do niedawna używałem tylko aplikacji uwierzytelniającej.
Moja małżonka wpadła więc na pomysł, że mi taki sprezentuje. Ale zastrzegła, że mam napisać o tym, jakie dobre prezenty robi. Co też niniejszym czynię 😉
* To samo pisze w wadach i w zaletach? Nienormalny czy głupi? Ale zadajcie sobie pytanie, dlaczego to jest jednocześnie i plus, i minus 🙂
Odkryj więcej z Bezpieczny Blog
Zapisz się, aby otrzymywać najnowsze wpisy na swój adres e-mail.
1 komentarz do “Klucze U2F”