Når du kommer hjem, står du foran døren og fumler rundt for nøklene dine, og bruk dem for å låse opp inngangen din. Du skriver ikke en kode, du snakker ikke til døren, og du svarer ikke gåter som om du snakket med en sfinx. Det er relativt trygt mens du ikke gir deg en massiv hodepine.

Internett-versjonen av dette er i utgangspunktet U2F-nøkkelen. Selv om du fortsatt må skrive inn passordet ditt, forsvinner det ekstra arbeidet du har med tofaktorautentisering fordi alt du trenger å gjøre er å sette inn din fysiske nøkkel i et USB-spor. Men er denne metoden minst like sikker som andre godkjenningsmetoder? Og kanskje viktigere, adresserer det noe nytt?

En hurtigkrasjkurs på U2F-godkjenning

For å forklare hvordan U2F fungerer, må du allerede forstå tofaktorautentisering. Hvis du ikke er kjent med et slikt konsept, la oss bruke Google Authenticator som et fungerende eksempel: Du skriver inn innloggingsdetaljer for å komme inn i Google, og da spør serveren deg om å åpne Google Authenticator-appen på telefonen din for å få en seks- siffer engangspassord. Dette siste trinnet sikrer at personen som logger på kontoen din, er den samme personen som eier telefonen som GA ble installert i (antagelig, det er du!). Noen enheter (for eksempel banker) sender en SMS til telefonnummeret som er knyttet til kontoen din med en seks til åtte sifferkode for å oppnå det samme resultatet. Andre (også vanligvis banker) vil gi deg en token-enhet som genererer disse tallene.

Ok, så tofaktorautentisering vil bruke to ting for å logge deg på (dermed navnet): ditt passord og en ekstra kode knyttet til noe fysisk som du har som bare kan brukes en gang.

Nå som vi fikk det ut av veien, så virker U2F i noen få enkle ord: Det gjør alt dette for deg i form av en fysisk nøkkel, som den du bruker til å åpne en dør. Nøkkelen er satt inn i et USB-spor, og du trykker på en knapp for å fullføre påloggingen. Ved å trykke på den knappen utløses en algoritme som genererer en kode internt og sender den automatisk til autentiseringsserveren.

Enkelt nok, ikke sant?

Hvorfor U2F?

Hvis du kan bruke tofaktorautentisering uten å måtte kjøpe noe ekstra, hvorfor skal folk gå ut av veien for å få en fysisk nøkkel? For bedrifter er svaret åpenbart: du trenger ikke å kjøpe dine ansatte dyre token-enheter. Men hva er fordelene for forbrukerne? La oss se på disse:

  • Du må aldri skrive koder, noe som er veldig praktisk.
  • Siden du ikke trenger å skrive inn koder, kan den interne koden som overføres automatisk med nøkkelen, være lengre (vanligvis rundt 32 tegn).
  • Du trenger ikke å stole på telefonen din. (Hva om telefonen din bryter eller du endrer nummeret ditt?)

The Caveats

Grunnen til at jeg ikke ser at U2F blir brukt så bredt er at tofaktorautentisering allerede har satt standarden. Det er lett tilgjengelig og er tilstrekkelig enkelt for tjenesteleverandører å implementere. For tiden er det kun store tjenester som Google, Facebook, Dropbox og GitHub som er kompatible.

Bortsett fra dette problemet, er det også spørsmålet om hva det adresserer. Enkelt sagt, det vil bli sett på som en forherlig versjon av tofaktorautentisering som er marginalt mer praktisk å bruke. Det spiller ingen rolle at U2F adresserer Mann i Midtøsten angrep mer effektivt (selv om det er diskutabelt, og vi kommer til det). Oppfattelsen er viktigere når du prøver å selge en ide.

Sannsynligvis er den viktigste ulempen det faktum at U2F gjør svært lite for å forhindre hacker fra å kapre trafikken din og forkaste deg ved å forfalske brukeragenten din i nettleseren din. Dette faktum alene gjør argumentet for "høyere sikkerhet" for U2F diskutabelt.

Takeaway

Selv om U2F ikke nødvendigvis er sikrere enn tofaktorautentisering, er det verdt å merke seg at det tar noen skritt i en positiv retning (for eksempel økt nøkkellengde, eliminering av frustrerende autentiseringsbarrierer for sluttbrukere, etc.). Som en teknologi kan det ikke være "revolusjonerende", men det gjør sikkert jobben sin på en måte som er mer praktisk for de som investerer i den. U2F kan være attraktivt for bedrifter, men forbrukerne finner kanskje ikke $ 50 prislappen på disse små enhetene som er verdt prisen.

La oss diskutere noe interessant. Hva ville overbevise deg om å kjøpe en U2F-nøkkel? Eller er du allerede overbevist? Fortell oss alt om det i en kommentar!