Beveiligen U2F-beveiligingssleutels u echt?
Als je thuiskomt, sta je voor de deur en zoek je naar je sleutels. Gebruik ze dan om je toegang te ontgrendelen. Je typt geen code, je praat niet tegen de deur en je neemt geen raadsels op alsof je met een sfinx praat. Het is relatief veilig terwijl je geen enorme hoofdpijn krijgt.
De internetversie hiervan is eigenlijk de U2F-sleutel. Hoewel u nog steeds uw wachtwoord moet invoeren, verdwijnt het extra werk dat u met de tweefactorauthenticatie moet doen, omdat u alleen uw fysieke sleutel in een USB-sleuf hoeft te steken. Maar is deze methode minstens zo veilig als andere authenticatiemethoden? En misschien nog belangrijker: is er iets nieuws aan de orde?
Een snelle crashcursus over U2F-authenticatie
Om uit te leggen hoe U2F werkt, moet u de twee-factorenauthenticatie al begrijpen. Als u niet bekend bent met een dergelijk concept, laten we Google Authenticator dan als een werkend voorbeeld gebruiken: u typt uw inloggegevens in om bij Google binnen te komen en hun server vraagt u om de Google Authenticator-app op uw telefoon te openen om een cijfer eenmalig wachtwoord. Deze laatste stap zorgt ervoor dat de persoon die zich bij uw account aanmeldt, dezelfde persoon is als de eigenaar van de telefoon waarop GA was geïnstalleerd (vermoedelijk is dat u!). Sommige entiteiten (banken bijvoorbeeld) verzenden een sms naar het telefoonnummer dat aan uw account is gekoppeld met een code van zes tot acht cijfers om hetzelfde resultaat te bereiken. Anderen (ook meestal banken) zullen u een token-apparaat geven dat deze nummers genereert.
Oké, dus twee-factorenauthenticatie gebruikt twee dingen om u in te loggen (vandaar de naam): uw wachtwoord en een extra code die is gekoppeld aan iets fysieks dat u bezit en dat maar één keer kan worden gebruikt.
Nu we dat uit de weg hebben geruimd, is dit hoe U2F in een paar eenvoudige woorden werkt: het doet dit alles voor u in de vorm van een fysieke sleutel, zoals degene die u gebruikt om een deur te openen. De sleutel wordt in een USB-sleuf geplaatst en u drukt op een knop om uw aanmelding te beëindigen. Het indrukken van die knop activeert een algoritme dat intern een code genereert en deze automatisch naar de authenticerende server stuurt.
Eenvoudig genoeg, toch?
Waarom U2F?
Als u de two-factor-authenticatie uit de doos kunt gebruiken zonder iets extra's te kopen, waarom zouden mensen zich dan inspannen om een fysieke sleutel te krijgen? Voor bedrijven ligt het antwoord voor de hand: u hoeft geen dure token-apparaten van uw medewerkers te kopen. Maar wat zijn de voordelen voor consumenten? Laten we naar die kijken:
- U hoeft nooit codes in te voeren, wat erg handig is.
- Aangezien u geen codes hoeft te typen, kan de interne code die automatisch door de sleutel wordt verzonden langer zijn (meestal rond de 32 tekens).
- U hoeft niet afhankelijk te zijn van uw telefoon. (Wat als uw telefoon breekt of u uw nummer wijzigt?)
De kanttekeningen
De reden waarom ik U2F niet zo breed zie toepassen, is dat tweefactorauthenticatie al de standaard heeft bepaald. Het is direct beschikbaar en is voldoende gemakkelijk voor serviceproviders om te implementeren. Op dit moment beschikken alleen belangrijke services zoals Google, Facebook, Dropbox en GitHub over compatibiliteit.
Afgezien van dit probleem, is er ook de kwestie van wat het adres. Simpel gezegd, het zal worden gezien als een veredelde versie van tweefactorauthenticatie die iets handiger in gebruik is. Het doet er niet toe dat U2F Man in The Middle efficiënter aanpakt (hoewel dat betwistbaar is en we komen daar aan). Perceptie is belangrijker wanneer je een idee probeert te verkopen.
Waarschijnlijk is de belangrijkere kanttekening dat U2F heel weinig doet om te voorkomen dat een hacker uw verkeer kaapt en u imiteert door uw user-agent in uw browser te vervalsen. Dit feit alleen al maakt het argument "hogere veiligheid" voor U2F omstreden.
De afhaalmaaltijden
Hoewel U2F niet noodzakelijkerwijs veiliger is dan verificatie met twee factoren, is het de moeite waard om op te merken dat het een paar stappen in een positieve richting neemt (bijvoorbeeld het verhogen van de sleutellengte, het elimineren van frustrerende authenticatiebarrières voor eindgebruikers, enz.). Als technologie is het misschien niet "revolutionair", maar het doet zeker zijn werk op een manier die handiger is voor de mensen die erin investeren. U2F is misschien aantrekkelijk voor bedrijven, maar consumenten vinden het prijskaartje van $ 50 op deze kleine apparaten misschien niet de moeite waard.
Laten we iets interessants bespreken. Wat zou u overtuigen om een U2F-sleutel te kopen? Of ben je al overtuigd? Vertel ons er alles over in een opmerking!