Zdecydowana większość naruszeń danych w wyniku włamań jest wynikiem złamanych haseł. Hasła nie są bezpieczne i nie można na nich polegać. Uwierzytelnianie wieloskładnikowe jest teraz koniecznością.
Główni dostawcy usług online doświadczyli naruszeń bezpieczeństwa danych, ujawniając wiele milionów haseł użytkowników. Ponowne używanie tych samych lub podobnych haseł w wielu usługach znacznie zwiększyło ryzyko złośliwego dostępu i przejęcia kont. Coraz bardziej wyrafinowane i wiarygodne ataki phishingowe nakłaniają ludzi do ujawnienia swoich danych logowania, a złośliwe programy na telefonach, tabletach i laptopach są powszechnie wykorzystywane do kradzieży haseł. Ofiarą hakerów padły nawet usługi zarządzania hasłami, zaprojektowane z myślą o pomocy osobom z wieloma unikalnymi hasłami logowania do kont.
Rozwiązanie FIDO
Wykazano, że próby wzmocnienia bezpieczeństwa logowania za pomocą kodów przesyłanych SMS-em i lokalnie generowanych kodów OTP mają luki (wiadomości tekstowe mogą być przechwytywane w sieci telefonicznej, a kody OTP przekazywane podczas ataków phishingowych „time-of-use”). Sojusz FIDO (Fast Identity Online), którego członkami są Google, Microsoft, Mozilla, MasterCard, Visa i PayPal, opracował nowy powszechny standard FIDO2.
Standardy FIDO są wysoce bezpieczne – wykorzystują (asymetryczne) pary kluczy publicznych i prywatnych, przy czym klucz prywatny nigdy nie jest udostępniany i może być dokładnie chroniony w dedykowanym sprzęcie zabezpieczającym.
FIDO pokonuje ataki typu phishing i man-in-the-middle – ponieważ protokół uwierzytelniania FIDO wymusza weryfikację pochodzenia wiadomości, więc fałszywe strony internetowe nie zostaną rozpoznane.
FIDO jest skalowalny – zaprojektowany do bezpiecznego uwierzytelniania do wielu kont za pomocą jednego uwierzytelniacza. Dla każdego konta z tokena uwierzytelniającego generowane są unikalne i anonimowe kody uwierzytelniające.
U2F (Universal 2nd Factor) to oryginalna specyfikacja FIDO, która, jak sama nazwa wskazuje, miała na celu zapewnienie powszechnie stosowanych środków silnego uwierzytelniania oprócz nazwy użytkownika i hasła. Dzięki bezpośredniemu wykorzystaniu powszechnie stosowanych standardowych interfejsów (USB, NFC, Bluetooth) autoryzatory FIDO nie wymagają dodatkowego sprzętu czytnika.
FIDO2 to nowszy standard, który oprócz obsługi uwierzytelniania wieloskładnikowego zapewnia również bezpieczne uwierzytelnianie wieloskładnikowe bez hasła. Specyfikacje U2F są teraz częścią FIDO2 dla wstecznej kompatybilności standardu.
Firma Microsoft obsługuje logowanie bez hasła FIDO2, oprócz funkcji Window Hello, dla systemu Windows 10 z usługą Azure AD. FIDO2 umożliwia mobilne logowanie bez hasła bez konieczności konfigurowania przez użytkownika korzystania z Windows Hello na wybranej maszynie z systemem Windows 10.
FIDO2 został przyjęty przez World Wide Web Consortium (W3C) w ramach specyfikacji WebAuthn i został już wdrożony przez wielu wiodących dostawców usług w chmurze. Odpowiedni protokół FIDO2 Client-to-Authenticator Protocol (CTAP2) wraz z WebAuthn jest również obsługiwany przez najpopularniejsze przeglądarki.
Klucze FIDO U2F-only nie są obsługiwane przez system Windows do logowania.
Klucze FIDO2, które implementują określone funkcje i rozszerzenia protokołu Client-to-Authenticator (specyfikacja CTAP2), w tym sposoby uwierzytelniania użytkowników, takie jak weryfikacja odcisków palców, są obsługiwane przez system Windows.
Klucze FIDO2 zgodne z Microsoft przechowują poświadczenia użytkowników w kluczu bezpieczeństwa, umożliwiając użytkownikom mobilnym logowanie się na dowolnym współdzielonym komputerze z systemem Windows 10 należącym do przedsiębiorstwa – bez konieczności wcześniejszego wprowadzania nazwy użytkownika i hasła lub konfigurowania funkcji Windows Hello.
Niektóre klucze uwierzytelniania FIDO2 zgodne z Microsoft są również urządzeniami kompatybilnymi z Windows Hello – umożliwiając użytkownikom skonfigurowanie logowania bez hasła Windows Hello na ich konkretnym komputerze z systemem Windows 10. Poświadczenia użytkownika przechowywane na komputerze z systemem Windows 10 uwierzytelniają się w usłudze Azure AD.
Produkty z kluczem bezpieczeństwa FIDO firmy KEY-ID
Wsparcie klucza U2F Key dla następujących aplikacji:
Google
Gmail
Dysk Google
Dokumenty Google
1Password
Facebook
Twitter
bitwarden
okta
Github
aws
Opera
Oracle
Ubuntu
Edge
Brave
Firefox
Chrome
Dropbox
Youtube
Google Cloud
yahoo
onelogin
Fedora
RSA
ebay
cloudflare
GitLab
ElectronicArts
Fastmail
Blogger
IBM
LInux
Klucze KEY-ID można zakupić tu: smartcardfocus
Produkty z kluczem bezpieczeństwa FIDO firmy Yubico
Seria kluczy bezpieczeństwa Yubico Series składa się z jednego klucza – klucza bezpieczeństwa NFC – który łączy uwierzytelnianie sprzętowe, kryptografię klucza publicznego oraz protokoły U2F i FIDO2/WebAuthn.
- Działa z Gmailem, Facebookiem i setkami innych aplikacji
- Obsługuje FIDO2/WebAuthn, U2F
- Wodoodporny i odporny na zginanie
- Podwójne złącza USB-A i NFC
Wsparcie niebieskiego klucza dla następujących aplikacji:
Google
Gmail
Dysk Google
Dokumenty Google
1Password
Facebook
Twitter
bitwarden
okta
Github
aws
Opera
Oracle
Ubuntu
Edge
Brave
Firefox
Chrome
Dropbox
Youtube
Google Cloud
yahoo
onelogin
Fedora
RSA
ebay
cloudflare
GitLab
ElectronicArts
Fastmail
Blogger
IBM
LInux
Seria YubiKey 5
Seria YubiKey 5 Seria ta zapewnia szereg opcji uwierzytelniania, w tym silne uwierzytelnianie dwuskładnikowe, wieloskładnikowe i bezhasłowe oraz bezproblemowe podpisywanie przez dotknięcie.
- Zabezpiecza przed przejęciem kont
- Obsługa wielu protokołów; FIDO2/WebAuthn, U2F, karta inteligentna, OpenPGP, OTP
- USB-A, USB-C, NFC
Wsparcie klucza YubiKey 5 jest takie samo jak niebieskiego klucza plus aplikacje wymienione niżej:
debian
redhat
centOS
TeamViewer
Drupal
eset
Jomala
KeePass
macOS
Safari
Trello
twitch
windows
Klucze Yubikey kupimy tu:yubico
Podsumowanie
Podsumowując, nosząc się z zamiarem zakupu kluczy U2F musimy przeanalizować nasze potrzeby. Nie każdym kluczem zabezpieczymy wszystkie dostępne na rynku usługi. Jeśli chcemy zabezpieczyć logowanie do systemu windows lub macOS klucz niebieski Yubico czy U2F Key KEY-ID nie wystarczy. Dużo prościej mają tutaj użytkownicy systemu Linux który wspiera logowanie do systemu przy użyciu podstawowych a więc najtańszych kluczy. Kluczem z NFC zabezpieczymy wygodnie aplikacje na smartfonie. Ponadto należy mieć świadomość że trzeba kupić 2 klucze – jeden na wypadek zniszczenia lub zagubienia pierwszego.
żródła: yubico.com, key-id.com