Придя домой, вы стоите перед дверью и нащупываете ключи, а затем используете их, чтобы отпереть вход. Вы не набираете код, не разговариваете с дверью и не отвечаете на загадки, как будто разговариваете со сфинксом. Это относительно безопасно, но при этом не вызывает у вас сильной головной боли.
Интернет-версия по сути представляет собой ключ U2F. Хотя вам все равно придется вводить пароль, дополнительная работа, которую вам придется выполнять при двухфакторной аутентификации, исчезает, поскольку все, что вам нужно сделать, это вставить физический ключ в разъем USB. Но является ли этот метод хотя бы таким же безопасным, как другие методы аутентификации? И, что еще важнее, касается ли он чего-то нового?
Краткий курс аутентификации U2F
Чтобы объяснить, как работает U2F, вы уже должны понимать двухфакторную аутентификацию. Если вы не знакомы с такой концепцией, давайте использовать Google Authenticator в качестве рабочего примера: вы вводите свои данные для входа в Google, а затем их сервер просит вас открыть приложение Google Authenticator на вашем телефоне, чтобы получить шестизначный ключ. цифровой одноразовый пароль. Этот последний ша
Краткий курс аутентификации U2F
ашу учетную запись, является тем же человеком, который владеет телефоном, на котором была установлена GA (предположительно, это вы!). Некоторые организации (например, банки) отправляют SMS на номер телефона, связанный с вашей учетной записью, с шести-восьмизначным кодом для достижения того же результата. Другие (также обычно банки) предоставят вам жетон, который генерирует эти числа.Хорошо, для входа в систему при двухфакторной аутентификации будут использоваться две вещи (отсюда и название): ваш пароль и дополнительный код, связанный с чем-то физическим, которым вы владеетеи который можно использовать только один раз..
Теперь, когда мы разобрались с этим, я расскажу, как работает U2F в нескольких простых словах: он делает все это за вас в виде физического ключа, подобного тому, который вы используете, чтобы открыть дверь. Ключ вставляется в USB-разъем, и вы нажимаете кнопку, чтобы завершить вход в систему. Нажатие этой кнопки запускает алгоритм, который генерирует внутренний код и автоматически отправляет его на сервер аутентификации.
Достаточно просто, правда?
Почему U2F?
Если вы можете использовать двухфакторную аутентификацию прямо из коробки, не покупая ничего дополнительно, почему люди должны изо всех сил стараться получить физический ключ? Для бизнеса ответ очевиден: вам не обязательно покупать своим сотрудникам дорогие токены. Но каковы преимущества для потребителей? Давайте посмотрим на них:
- Вам никогда не придется вводить коды, что очень удобно.
- Поскольку вам не нужно вводить коды, внутренний код, автоматически передаваемый ключом, может быть длиннее (обычно около 32 символов).
- Вам не нужно зависеть от телефона. (Что, если у вас сломается телефон или вы поменяете номер?)
Предупреждения
Причина, по которой я не вижу столь широкого применения U2F, заключается в том, что двухфакторная аутентификация уже стала стандартом. Он легко доступен и достаточно прост для внедрения поставщиками услуг. В настоящее время совместимостью могут похвастаться только основные сервисы, такие как Google, Facebook, Dropbox и GitHub.
Помимо этой проблемы, есть еще вопрос, на что она направлена. Проще говоря, это будет рассматриваться как прославленная версия двухфакторной аутентификации, которая немного более удобна в использовании. Неважно, что U2F более эффективно обращается к Человек посередине атакует (хотя это спорно, и мы к этому еще вернемся). Восприятие важнее, когда вы пытаетесь продать идею.
Возможно, более важным предостережением является тот факт, что U2F очень мало делает для предотвращения перехвата хакером вашего трафика и выдачи себя за вас путем подмены вашего пользовательского агент
Почему U2F?
Уже один этот факт делает аргумент «более высокой безопасности» в пользу U2F спорным.Вывод
Хотя U2F не обязательно более безопасен, чем двухфакторная аутентификация, стоит отметить, что он делает несколько шагов в положительном направлении (например, увеличение длины ключа, устранение неприятных барьеров аутентификации для конечных пользователей и т. д.). Как технология, возможно, она и не является «революционной», но она определенно выполняет свою работу более удобным для людей, которые в нее инвестируют. U2F может быть привлекательным для бизнеса, но потребители могут не найти цену в 50 долларов на эти маленькие устройства.
Давайте обсудим кое-что интересное. Что убедит вас купить ключ U2F? Или ты уже убедился? Расскажите нам об этом в комментариях!