YubiKey i FIDO U2F elektroniczny klucz do przelewów bankowych

YubiKeys to fizyczne urządzenia zabezpieczające, które pomagają chronić konta użytkowników. Tego rodzaju urządzenia są często określane jako sprzętowy klucz bezpieczeństwa lub token sprzętowy. Obsługują różnorodne aplikacje i standardy kryptograficzne. Często są używane jako dodatkowa warstwa zabezpieczeń kont i systemów online, umożliwiając uwierzytelnianie dwuskładnikowe (2FA) lub uwierzytelnianie wieloskładnikowe (MFA).

YubiKey utrudnia atakującym ponowne wykorzystanie danych uwierzytelniających uzyskanych w wyniku phishingu, wprowadzając drugi czynnik uwierzytelniania, który jest trudny do sfałszowania ze względu na mechanizm wyzwanie-odpowiedź.

W jakim celu używać tokena sprzętowego do uwierzytelniania wieloskładnikowego?

Zwiększone bezpieczeństwo: MFA zapewnia wyższe gwarancje bezpieczeństwa niż uwierzytelnianie jednoskładnikowe. Tokeny sprzętowe są mniej podatne na zagrożenia i mogą wytrzymać szerszy zakres zagrożeń w porównaniu do haseł.

Poziom pewności uwierzytelnienia: Tokeny sprzętowe są często zalecane w przypadku wyższych AAL , takich jak AAL3 dla systemów o podwyższonych wymaganiach bezpieczeństwa.

Zgodność: Tokeny sprzętowe zaprojektowano tak, aby bezproblemowo współpracowały z różnymi systemami operacyjnymi obsługującymi standardy FIDO U2F i FIDO2, w tym Windows, macOS, Linux, Android i iOS, a także dużymi platformami internetowymi, takimi jak Google, Apple, AWS, Azure.

Przenośność: tokeny sprzętowe są małe i lekkie.

Rozszerzalność: tokeny sprzętowe obsługują wiele protokołów i można ich używać na różne sposoby za pośrednictwem USB, NFC i Bluetooth. Dzięki temu są one wysoce rozszerzalne w zakresie tworzenia i zabezpieczania niestandardowych rozwiązań do uwierzytelniania i zarządzania tożsamością.

Poleganie na kryptografii: Tokeny sprzętowe opierają się na kryptografii w celu ochrony wrażliwych danych i zaawansowanych środkach bezpieczeństwa fizycznego w celu ochrony przechowywanych kluczy.

Yubikey: Architektura i możliwości

Architektura YubiKey została zaprojektowana tak, aby zapewnić wysoki poziom bezpieczeństwa i być kompatybilna z szeroką gamą urządzeń i aplikacji. Na poziomie podstawowym YubiKey jest mikrokomputerem obsługującym wiele protokołów transportowych. Posiada bezpieczny element odporny na manipulacje (koprocesor kryptograficzny), który może przechowywać ograniczoną ilość danych i wykonywać operacje kryptograficzne.

Rodzina protokołów uwierzytelniania FIDO: FIDO U2F, FIDO2 (bez hasła)

Rodzina protokołów uwierzytelniania FIDO to zestaw otwartych standardów, zaprojektowanych w celu poprawy bezpieczeństwa i wygody uwierzytelniania online. Dwa najbardziej znane protokoły FIDO to FIDO U2F i FIDO2

Protokół FIDO2 jest ewolucją FIDO U2F, zaprojektowaną w celu usunięcia niektórych jego ograniczeń. Na przykład FIDO U2F może być używane tylko jako drugi czynnik, podczas gdy FIDO2 może być używane jako główna metoda uwierzytelniania, eliminując w ten sposób potrzebę zapamiętywania i wpisywania hasła.

Uwierzytelnianie dwuskładnikowe w FIDO U2F

Jak działa FIDO U2F:

Uwierzytelniacz FIDO: token sprzętowy, który generuje asymetryczną parę kluczy i wystawia podpisy kryptograficzne.
Klient FIDO: Często przeglądarka, która przekazuje i weryfikuje komunikaty między wystawcą uwierzytelnienia a stroną uzależnioną.
Strona uzależniona: Usługa, do której użytkownik chce uzyskać dostęp. Należy pamiętać, że w rzeczywistości może istnieć wiele usług uwierzytelniających użytkowników i weryfikujących autentyczność tokenów.

FIDO U2F można wykorzystać jedynie jako drugi czynnik, ponieważ usługa musi już znać tożsamość użytkownika przed rozpoczęciem uwierzytelniania.

FIDO U2F wykorzystuje token sprzętowy do generowania podpisów kryptograficznych w celu uwierzytelnienia. Podczas rejestracji użytkownik generuje parę kluczy i wysyła klucz publiczny do usługi. Następnie podczas procesu uwierzytelniania usługa wysyła wyzwanie do użytkownika, który podpisuje je tokenem i odsyła podpis do usługi. Usługa weryfikuje podpis za pomocą klucza publicznego użytkownika.

Budowanie bezpiecznego uwierzytelniania za pomocą FIDO U2F i YubiKey

Polegając na FIDO U2F i YubiKey do tworzenia bezpiecznego uwierzytelniania, należy pamiętać o kilku ważnych kwestiach podczas korzystania z YubiKey FIDO U2F:

U2F nie chroni użytkowników przed ujawnieniem hasła: na przykład użytkownik może zostać przekierowany na stronę phishingową, gdzie ujawni swoje hasło. Próba phishingu zostanie wykryta na etapie uwierzytelnienia U2F.

U2F nie jest odporny na kradzież urządzenia: Skradzione urządzenie U2F może zostać wykorzystane przez atakującego, jeśli protokół U2F wymaga jedynie „testu obecności użytkownika” w celu przeprowadzenia operacji rejestracji i uwierzytelnienia. W takim przypadku nie jest zapewniona weryfikacja uchwytu urządzenia U2F. Jednakże w przypadku YubiKey istnieje możliwość podania kodu PIN w celu weryfikacji użytkownika.

Użytkownicy są odpowiedzialni za utworzenie kopii zapasowej swojego urządzenia, aby móc uwierzytelnić się w przypadku utraty głównego urządzenia. Na przykład użytkownicy powinni mieć możliwość zarejestrowania co najmniej dwóch urządzeń U2F u każdego usługodawcy. Bezpieczne wdrażanie innych metod awaryjnych powinno zostać odpowiednio zaprojektowane i przeanalizowane.