האם מפתח האבטחה של U2F באמת שומר עליך בטוח?
כאשר אתה מגיע הביתה, אתה עומד מול הדלת ומסתובבים סביב המפתחות שלך, ואז להשתמש בהם כדי לפתוח את הכניסה שלך. אתה לא מקליד קוד, אתה לא מדבר עם הדלת, ואתה לא עונה חידות כאילו כאילו אתה מדבר ספינקס. זה יחסית מאובטח בזמן שאתה לא נותן לך כאב ראש מסיבי.
גירסת האינטרנט של זה הוא בעצם מפתח U2F. למרות שעדיין יש להקליד את הסיסמה שלך, העבודה הנוספת שאתה צריך לעשות עם אימות שני גורמים נעלמת כי כל שעליך לעשות הוא להכניס את המפתח הפיזי שלך לתוך חריץ USB. אבל האם שיטה זו לפחות בטוחה כמו שיטות אימות אחרות? ואולי חשוב יותר, האם זה כתובת משהו חדש?
קורס מהיר על ההתרסקות U2F אימות
כדי להסביר כיצד U2F עובד, אתה חייב כבר להבין אימות שני גורמים. אם אינך מכיר רעיון כזה, נשתמש במאמת של Google כדוגמה פעילה: אתה מקליד את פרטי הכניסה שלך כדי להיכנס אל Google, ולאחר מכן השרת שלהם מבקש ממך לפתוח את היישום 'מאמת החשבונות של Google' בטלפון שלך, סיסמה חד פעמית. השלב האחרון מבטיח שהאדם שנכנס לחשבון שלך הוא אותו אדם שבבעלותו הטלפון ש- GA הותקן בו (ככל הנראה, זה אתה!). ישויות (בנקים, למשל) לשלוח SMS למספר הטלפון המשויך לחשבון שלך עם שישה עד שמונה ספרות קוד כדי להשיג את אותה תוצאה. אחרים (גם בדרך כלל הבנקים) ייתן לך מכשיר אסימון שיוצר מספרים אלה.
אוקיי, אז אימות שני גורמים ישתמש בשני דברים כדי להיכנס לך (ומכאן השם): הסיסמה שלך קוד נוסף המשויך משהו פיזי שיש לך כי ניתן להשתמש רק פעם אחת.
עכשיו, כשיצאנו מהדרך, זה איך U2F עובד בכמה מילים פשוטות: הוא עושה את כל זה בשבילך בצורה של מפתח פיזי, כמו זה שאתה משתמש כדי לפתוח את הדלת. המפתח מוכנס לתוך חריץ USB, ואתה לוחץ על כפתור כדי לסיים את הכניסה שלך. לחיצה על כפתור זה מפעילה אלגוריתם שיוצר קוד פנימי ושולח אותו באופן אוטומטי לשרת האימות.
פשוט מספיק, נכון?
למה U2F?
אם אתה יכול להשתמש בשני גורמים אימות מחוץ לקופסה מבלי לקנות משהו נוסף, למה אנשים צריכים לצאת מגדרם כדי לקבל מפתח פיזי? עבור עסקים, התשובה היא ברורה: אתה לא צריך לקנות את העובדים שלך התקנים יקרים יקר. אבל מה היתרונות עבור הצרכנים? בואו נסתכל על אלה:
- אתה לעולם לא צריך להקליד קודים, וזה מאוד נוח.
- מכיוון שאינך צריך להקליד קוד, הקוד הפנימי המועבר אוטומטית על ידי המפתח יכול להיות ארוך יותר (בדרך כלל בסביבות 32 תווים).
- אתה לא צריך לסמוך על הטלפון שלך. (מה אם הטלפון שלך שובר או שאתה משנה את המספר שלך?)
אזהרות
הסיבה שאני לא רואה U2F להיות מוחל באופן רחב כל כך כי אימות שני גורמים כבר להגדיר את הסטנדרט. זה זמין וקל מספיק עבור ספקי שירות ליישם. כרגע רק שירותים מרכזיים כמו גוגל, פייסבוק, Dropbox, ו GitHub להתפאר תאימות.
מלבד סוגיה זו, יש גם את הנושא של מה הוא מתייחס. במילים פשוטות, היא תיראה כגרסה מפוארת של אימות דו-גורמי, שיותר נוח להשתמש בה באופן שולי. זה לא משנה כי U2F כתובות האדם במתקפות התקפות בצורה יעילה יותר (אם כי זה שנוי במחלוקת, ואנו נגיע לזה). תפיסה חשובה יותר כאשר אתה מנסה למכור רעיון.
קרוב לוודאי שהאזהרה החשובה יותר היא העובדה ש- U2F עושה מעט מאוד כדי למנוע מהאקר לחטוף את התנועה שלך ולהתחזות אליך על ידי זיוף סוכן המשתמש שלך בדפדפן שלך. עובדה זו לבדה עושה את הטיעון "אבטחה גבוהה" עבור U2F להתווכח.
הטיקאוואי
למרות ש- U2F אינו בהכרח בטוח יותר מאשר אימות של שני גורמים, ראוי לציין כי הוא לוקח כמה צעדים בכיוון חיובי (כגון הגדלת אורך המפתח, ביטול מחסומי אימות מתסכלים עבור משתמשי קצה וכו '). כטכנולוגיה, זה לא יכול להיות "מהפכני", אבל זה בהחלט עושה את עבודתה בצורה נוחה יותר עבור אנשים להשקיע בו. ייתכן ש- U2F יהיה אטרקטיבי עבור עסקים, אך הצרכנים עשויים שלא למצוא את תג המחיר של $ 50 על מכשירים קטנים אלה שווים את המחיר.
בואו נדבר על משהו מעניין. מה ישכנע אותך לקנות מפתח U2F? או שאתה כבר משוכנע? ספר לנו הכל על זה הערה!