Spiegazione di U2F In che modo Google e altre società stanno creando un token di sicurezza universale
U2F è un nuovo standard per i token di autenticazione a due fattori universali. Questi token possono utilizzare USB, NFC o Bluetooth per fornire l'autenticazione a due fattori su una varietà di servizi. È già supportato in Chrome, Firefox e Opera per gli account Google, Facebook, Dropbox e GitHub.
Questo standard è supportato dall'alleanza FIDO, che comprende Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America e molte altre grandi società. Aspettatevi presto i token di sicurezza U2F per essere dappertutto.
Qualcosa di simile diventerà presto molto più diffuso con l'API di autenticazione Web. Questa sarà un'API di autenticazione standard che funziona su tutte le piattaforme e i browser. Supporterà altri metodi di autenticazione e chiavi USB. L'API di autenticazione Web era originariamente nota come FIDO 2.0.
Che cos'è?
L'autenticazione a due fattori è un modo essenziale per proteggere i tuoi account importanti. Tradizionalmente, la maggior parte degli account ha bisogno solo di una password per accedere: questo è un fattore, qualcosa che sai. Chiunque conosca la password può accedere al tuo account.
L'autenticazione a due fattori richiede qualcosa che conosci e qualcosa che hai. Spesso, questo è un messaggio inviato al tuo telefono tramite SMS o un codice generato tramite un'app come Google Authenticator o Authy sul tuo telefono. Qualcuno ha bisogno sia della tua password che dell'accesso al dispositivo fisico per accedere.
Ma l'autenticazione a due fattori non è così semplice come dovrebbe essere, e spesso comporta la digitazione di password e messaggi SMS in tutti i servizi che usi. U2F è uno standard universale per la creazione di token di autenticazione fisici che possono funzionare con qualsiasi servizio.
Se hai familiarità con Yubikey, una chiave USB fisica che ti consente di accedere a LastPass e ad altri servizi, conoscerai questo concetto. A differenza dei dispositivi Yubikey standard, U2F è uno standard universale. Inizialmente, U2F è stato creato da Google e Yubico che lavorano in partnership.
Come funziona?
Attualmente, i dispositivi U2F sono in genere piccoli dispositivi USB inseriti nella porta USB del computer. Alcuni di loro hanno il supporto NFC in modo che possano essere utilizzati con i telefoni Android. Si basa sulla tecnologia di sicurezza "smart card" esistente. Quando lo inserisci nella porta USB del tuo computer o lo tocchi contro il tuo telefono, il browser del tuo computer può comunicare con la chiave di sicurezza USB utilizzando la tecnologia di crittografia sicura e fornire la risposta corretta che ti consente di accedere a un sito Web.
Poiché viene eseguito come parte del browser stesso, offre alcuni miglioramenti di sicurezza rispetto all'autenticazione a due fattori tipica. Innanzitutto, il browser verifica che stia comunicando con il sito Web reale utilizzando la crittografia, in modo che gli utenti non siano indotti a immettere i loro codici a due fattori in siti Web di phishing contraffatti. In secondo luogo, il browser invia il codice direttamente al sito Web, quindi un utente malintenzionato seduto in mezzo non può acquisire il codice temporaneo a due fattori e inserirlo nel sito Web reale per accedere al proprio account.
Il sito Web può anche semplificare la password, ad esempio un sito Web potrebbe richiedere una password lunga e quindi un codice a due fattori, entrambi i tipi da digitare. Invece, con U2F, un sito web potrebbe chiedervi un PIN di quattro cifre da ricordare e quindi richiedere di premere un pulsante su un dispositivo USB o di toccarlo con il telefono per accedere.
L'alleanza FIDO sta lavorando anche su UAF, che non richiede password. Ad esempio, potrebbe utilizzare il sensore di impronte digitali su uno smartphone moderno per autenticarti con vari servizi.
Puoi leggere di più sullo standard stesso sul sito web della FIDO Alliance.
Dove è supportato?
Google Chrome, Mozilla Firefox e Opera (basato su Google Chrome) sono gli unici browser che supportano U2F. Funziona su Windows, Mac, Linux e Chromebook. Se disponi di un token U2F fisico e utilizzi Chrome, Firefox o Opera, puoi utilizzarlo per proteggere i tuoi account Google, Facebook, Dropbox e GitHub. Altri grandi servizi non supportano ancora U2F.
U2F funziona anche con il browser Google Chrome su Android, supponendo che tu abbia una chiave USB con supporto NFC integrato. Apple non consente l'accesso alle app all'hardware NFC, quindi non funzionerà su iPhone.
Mentre le attuali versioni stabili di Firefox hanno il supporto U2F, sono disabilitate di default. È necessario abilitare una preferenza nascosta di Firefox per attivare il supporto U2F al momento.
Il supporto per le chiavi U2F diventerà più diffuso quando l'API di autenticazione Web decollerà. Funzionerà anche in Microsoft Edge.
Come puoi usarlo
Hai solo bisogno di un token U2F per iniziare. Google ti indirizza a cercare in Amazon "FIDO U2F Security Key" per trovarli. Quello superiore costa $ 18 ed è prodotto da Yubico, una società con una storia di creazione di chiavi di sicurezza USB fisiche. Il più costoso Yubikey NEO include il supporto NFC per l'utilizzo con dispositivi Android.
Puoi quindi visitare le impostazioni del tuo account Google, trovare la pagina di verifica in due passaggi e fare clic sulla scheda Chiavi di sicurezza. Fai clic su Aggiungi una chiave di sicurezza e sarai in grado di aggiungere la chiave di sicurezza fisica, che dovrai accedere al tuo account Google. Il processo sarà simile per gli altri servizi che supportano U2F: consulta questa guida per ulteriori informazioni.
Questo non è uno strumento di sicurezza che puoi usare ovunque, ma molti servizi dovrebbero eventualmente aggiungerne il supporto. Aspettatevi grandi cose dall'API di Web Authentication e da queste chiavi U2F in futuro.
