Τα κλειδιά ασφαλείας U2F πραγματικά σας κρατούν ασφαλή;
Όταν φτάσετε στο σπίτι, στέκεστε μπροστά από την πόρτα και μπείτε στα κλειδιά σας, στη συνέχεια χρησιμοποιήστε τα για να ξεκλειδώσετε την είσοδό σας. Δεν πληκτρολογείτε έναν κωδικό, δεν μιλάτε στην πόρτα και δεν απαντάτε σε αινίγματα σαν να μιλούσατε σε μια σφίγγα. Είναι σχετικά ασφαλές, ενώ δεν σας δίνει ένα τεράστιο πονοκέφαλο.
Η έκδοση του Internet αυτού είναι βασικά το κλειδί U2F. Παρόλο που πρέπει να πληκτρολογήσετε τον κωδικό πρόσβασής σας, η επιπλέον εργασία που έχετε να κάνετε με τον έλεγχο ταυτότητας δύο παραγόντων εξαφανίζεται επειδή το μόνο που έχετε να κάνετε είναι να εισάγετε το φυσικό σας κλειδί σε υποδοχή USB. Αλλά αυτή η μέθοδος είναι τουλάχιστον εξίσου ασφαλής με άλλες μεθόδους πιστοποίησης; Και ίσως το πιο σημαντικό, αντιμετωπίζει κάτι νέο;
Ένα μάθημα γρήγορης σύγκρουσης για έλεγχο ταυτότητας U2F
Για να εξηγήσετε πώς λειτουργεί το U2F, πρέπει να κατανοήσετε ήδη τον έλεγχο ταυτότητας δύο παραγόντων. Εάν δεν είστε εξοικειωμένοι με μια τέτοια ιδέα, ας χρησιμοποιήσουμε το Google Authenticator ως παράδειγμα εργασίας: Πληκτρολογείτε τα στοιχεία σύνδεσης για να μπείτε στο Google και στη συνέχεια ο διακομιστής σας σας ζητά να ανοίξετε την εφαρμογή Google Authenticator στο τηλέφωνό σας, ψηφιακό κωδικό μιας χρήσης. Αυτό το τελευταίο βήμα διασφαλίζει ότι το άτομο που θα συνδεθεί στο λογαριασμό σας είναι το ίδιο άτομο που κατέχει το τηλέφωνο στο οποίο ήταν εγκατεστημένο το GA (πιθανώς, εσείς!). Ορισμένες οντότητες (τράπεζες, για παράδειγμα) στέλνουν ένα SMS στον αριθμό τηλεφώνου που σχετίζεται με το λογαριασμό σας με έναν κώδικα έξι έως οκτώ ψηφίων για να επιτευχθεί το ίδιο αποτέλεσμα. Άλλες (επίσης συνήθως τράπεζες) θα σας δώσουν μια συσκευή συμβολισμών που δημιουργεί αυτούς τους αριθμούς.
Εντάξει, ο έλεγχος ταυτότητας δύο παραγόντων θα χρησιμοποιήσει δύο πράγματα για να συνδεθείτε (εξ ου και το όνομα): ο κωδικός πρόσβασής σας και ένας επιπλέον κωδικός που σχετίζεται με κάτι φυσικό που διαθέτετε και το οποίο μπορεί να χρησιμοποιηθεί μόνο μία φορά.
Τώρα που το έχουμε ξεπεράσει, έτσι λειτουργεί το U2F με λίγα απλά λόγια: Κάνει όλα αυτά για εσάς με τη μορφή ενός φυσικού κλειδιού, όπως αυτό που χρησιμοποιείτε για να ανοίξετε μια πόρτα. Το πλήκτρο εισάγεται σε μια υποδοχή USB και πατάτε ένα κουμπί για να ολοκληρώσετε τη σύνδεσή σας. Η ώθηση αυτού του κουμπιού ενεργοποιεί έναν αλγόριθμο που δημιουργεί εσωτερικό κώδικα και τον αποστέλλει αυτόματα στον διακομιστή ελέγχου ταυτότητας.
Αρκετά απλά, σωστά;
Γιατί U2F;
Εάν μπορείτε να χρησιμοποιήσετε έλεγχο ταυτότητας δύο παραγόντων έξω από το κιβώτιο χωρίς να χρειάζεται να αγοράσετε τίποτα επιπλέον, γιατί οι άνθρωποι πρέπει να βγουν από το δρόμο τους για να πάρουν ένα φυσικό κλειδί; Για τις επιχειρήσεις, η απάντηση είναι προφανής: δεν χρειάζεται να αγοράσετε τους εργαζόμενους σας ακριβά συσκευές συμβολισμού. Αλλά ποια είναι τα πλεονεκτήματα για τους καταναλωτές; Ας δούμε αυτά:
- Ποτέ δεν θα χρειαστεί να πληκτρολογείτε κωδικούς, κάτι που είναι πολύ βολικό.
- Δεδομένου ότι δεν χρειάζεται να πληκτρολογείτε κωδικούς, ο εσωτερικός κώδικας που μεταδίδεται αυτόματα από το κλειδί μπορεί να είναι μεγαλύτερος (συνήθως γύρω στους 32 χαρακτήρες).
- Δεν χρειάζεται να εξαρτάται από το τηλέφωνό σας. (Τι γίνεται αν το τηλέφωνο σπάσει ή αλλάξετε τον αριθμό;)
Οι προειδοποιήσεις
Ο λόγος για τον οποίο δεν βλέπω ότι το U2F εφαρμόζεται τόσο ευρέως είναι ότι ο έλεγχος ταυτότητας δύο παραγόντων έχει ήδη ορίσει το πρότυπο. Είναι άμεσα διαθέσιμη και είναι αρκετά εύκολη για τους παρόχους υπηρεσιών να εφαρμόσουν. Επί του παρόντος, μόνο μεγάλες υπηρεσίες όπως το Google, το Facebook, το Dropbox και το GitHub διαθέτουν συμβατότητα.
Εκτός από αυτό το ζήτημα, υπάρχει και το θέμα αυτού που απευθύνεται. Με απλά λόγια, θα θεωρηθεί ως δοξασμένη έκδοση ελέγχου ταυτότητας δύο παραγόντων που είναι οριακά πιο βολική στη χρήση. Δεν έχει σημασία το γεγονός ότι το U2F απευθύνεται πιο αποτελεσματικά στις επιθέσεις του Man in The Middle (αν και αυτό είναι αμφισβητήσιμο και θα το καταφέρουμε). Η αντίληψη είναι πιο σημαντική όταν προσπαθείτε να πουλήσετε μια ιδέα.
Πιθανώς η πιο σημαντική προειδοποίηση είναι το γεγονός ότι το U2F κάνει πολύ λίγα για να αποτρέψει έναν χάκερ να πειραματιστεί την κυκλοφορία σας και να σας παρασταθεί με την παραποίηση του παράγοντα χρήστη σας στο πρόγραμμα περιήγησής σας. Αυτό το γεγονός και μόνο καθιστά το επιχείρημα της "υψηλότερης ασφάλειας" για το U2F αμφισβητήσιμο.
Το Takeaway
Αν και το U2F δεν είναι αναγκαστικά πιο ασφαλές από τον έλεγχο ταυτότητας δύο παραγόντων, αξίζει να σημειωθεί ότι χρειάζονται μερικά βήματα προς μια θετική κατεύθυνση (π.χ. αύξηση του μήκους του κλειδιού, εξάλειψη των απογοητευτικών φραγμών ελέγχου ταυτότητας για τους τελικούς χρήστες κ.λπ.). Ως τεχνολογία, μπορεί να μην είναι "επαναστατική", αλλά σίγουρα κάνει τη δουλειά της με τρόπο που είναι πιο βολικό για τους ανθρώπους που επενδύουν σε αυτήν. Το U2F μπορεί να είναι ελκυστικό για τις επιχειρήσεις, αλλά οι καταναλωτές μπορεί να μην βρουν την τιμή των 50 $ σε αυτές τις μικρές συσκευές που αξίζει το κόστος.
Ας συζητήσουμε κάτι ενδιαφέρον. Τι θα σε πείσει να αγοράσεις ένα κλειδί U2F; Ή είστε ήδη πεισμένοι; Πες μας όλα αυτά σε ένα σχόλιο!