Denne standarden støttes av FIDO alliansen, som inkluderer Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America og mange andre store selskaper. Forvent at U2F-sikkerhetstokener skal være over alt snart.
Noe lignende vil bli mer utbredt snart med Web Authentication API. Dette vil være en standard autentiserings-API som fungerer på alle plattformer og nettlesere. Den vil støtte andre autentiseringsmetoder, samt USB-nøkler. Webgodkjennings API var opprinnelig kjent som FIDO 2.0.
Hva er det?
Tofaktorautentisering er en viktig måte å beskytte dine viktige kontoer på. Tradisjonelt trenger de fleste kontoer bare et passord for å logge inn - det er en faktor, noe du vet. Alle som kjenner passordet, kan komme inn på kontoen din.
Tofaktorautentisering krever noe du vet og noe du har. Ofte er dette en melding sendt til telefonen via SMS eller en kode generert via en app som Google Authenticator eller Authy på telefonen. Noen trenger både passordet ditt og tilgang til den fysiske enheten for å logge inn.
Men tofaktorautentisering er ikke så enkelt som det burde være, og det innebærer ofte å skrive inn passord og sms-meldinger i alle tjenestene du bruker. U2F er en universell standard for å opprette fysiske godkjennings tokens som kan fungere med enhver tjeneste.
Hvis du er kjent med Yubikey-en fysisk USB-nøkkel som lar deg logge på LastPass og noen andre tjenester, vil du være kjent med dette konseptet. I motsetning til standard Yubikey-enheter, er U2F en universell standard. I utgangspunktet ble U2F laget av Google og Yubico som arbeider i partnerskap.
Hvordan virker det?
For tiden er U2F-enheter vanligvis små USB-enheter som du setter inn i datamaskinens USB-port. Noen av dem har NFC-støtte, slik at de kan brukes sammen med Android-telefoner. Den er basert på eksisterende "smart card" -teknologi. Når du setter den inn i datamaskinens USB-port eller klikker den mot telefonen, kan nettleseren på datamaskinen kommunisere med USB-sikkerhetsnøkkelen ved hjelp av sikker krypteringsteknologi og gi den riktige responsen som lar deg logge deg på et nettsted.
Nettstedet kan også forenkle passordet ditt, for eksempel kan et nettsted for tiden spørre deg om et langt passord og deretter en tofaktorkode, som du begge må skrive. I stedet, med U2F, kan en nettside spørre deg om en firesifret PIN-kode du må huske og kreve at du trykker på en knapp på en USB-enhet, eller klikker den mot telefonen for å logge på.
FIDO-alliansen jobber også med UAF, som ikke krever noe passord. For eksempel kan det bruke fingeravtrykkssensoren på en moderne smarttelefon for å autentisere deg med ulike tjenester.
Du kan lese mer om standarden selv på FIDO alliansens nettsted.
Hvor er det støttet?
Google Chrome, Mozilla Firefox og Opera (som er basert på Google Chrome) er de eneste nettleserne som støtter U2F. Den fungerer på Windows, Mac, Linux og Chromebooks. Hvis du har en fysisk U2F-token og bruker Chrome, Firefox eller Opera, kan du bruke den til å sikre Google, Facebook, Dropbox og GitHub-kontoer. Andre store tjenester støtter ennå ikke U2F.
U2F fungerer også sammen med Google Chrome-nettleseren på Android, forutsatt at du har en USB-nøkkel med NFC-støtte innebygd. Apple tillater ikke apptilgang til NFC-maskinvaren, slik at dette ikke fungerer på iPhone.
Mens nåværende stabile versjoner av Firefox har U2F-støtte, er den deaktivert som standard. Du må aktivere en skjult Firefox-preferanse for å aktivere U2F-støtten for øyeblikket.
Støtte for U2F-nøkler vil bli mer utbredt når Web Authentication API starter. Det vil til og med fungere i Microsoft Edge.
Hvordan du kan bruke den
Du trenger bare et U2F-token for å komme i gang. Google retter deg om å søke Amazon for "FIDO U2F Security Key" for å finne dem. Den øverste koster $ 18 og er laget av Yubico, et selskap med en historie om å lage fysiske USB-sikkerhetsnøkler. Jo dyrere Yubikey NEO inkluderer NFC-støtte for bruk med Android-enheter.
Du kan deretter besøke innstillingene for Google-kontoen din, finne 2-trinns bekreftelsessiden, og klikk kategorien Sikkerhetstaster. Klikk på Legg til en sikkerhetsnøkkel, og du vil kunne legge til den fysiske sikkerhetsnøkkelen, som du må logge deg på Google-kontoen din. Prosessen vil være lik for andre tjenester som støtter U2F-sjekken ut denne veiledningen for mer.
Dette er ikke et sikkerhetsverktøy du kan bruke overalt enda, men mange tjenester bør til slutt legge til støtte for det. Forvent store ting fra Web Authentication API og disse U2F-nøklene i fremtiden.
