Uniwersalny drugi czynnik - Universal 2nd Factor
Universal 2nd Factor ( U2F ) to otwarty standard, który wzmacnia i upraszcza uwierzytelnianie dwuskładnikowe (2FA) przy użyciu wyspecjalizowanych urządzeń Universal Serial Bus (USB) lub komunikacji bliskiego zasięgu (NFC) opartych na podobnej technologii zabezpieczeń stosowanej w kartach inteligentnych . Jest on następcą Projektu FIDO2 , który obejmuje W3C uwierzytelniania internetowego ( WebAuthn ) standardowego i FIDO Alliance „s klienta do uwierzytelnienia protokołu 2 (CTAP2).
Chociaż początkowo został opracowany przez Google i Yubico , przy udziale firmy NXP Semiconductors , standard jest obecnie obsługiwany przez FIDO Alliance.
Projekt
Urządzenia USB komunikować się z komputerem hosta stosując ludzką urządzenia obsługującego protokół (HID), zasadniczo naśladuje klawiatury. Pozwala to uniknąć konieczności instalowania przez użytkownika specjalnego oprogramowania sterownika sprzętu na komputerze głównym i umożliwia oprogramowaniu aplikacyjnemu (takiemmu jak przeglądarka) bezpośredni dostęp do funkcji zabezpieczeń urządzenia bez wysiłku użytkownika innego niż posiadanie i wkładanie urządzenia. Po nawiązaniu komunikacji aplikacja przeprowadza uwierzytelnianie typu wyzwanie-odpowiedź z urządzeniem przy użyciu metod kryptografii klucza publicznego i tajnego, unikalnego klucza urządzenia wyprodukowanego w urządzeniu.
Luki
Klucz urządzenia jest podatny na złośliwe powielanie producenta .
W 2020 roku niezależni analitycy bezpieczeństwa znaleźli metodę wyodrębniania kluczy prywatnych z Google Titan Key, popularnego sprzętowego tokena zabezpieczającego U2F. Metoda ta wymagała fizycznego dostępu do klucza przez kilka godzin, sprzętu wartego kilka tysięcy euro i była destrukcyjna dla plastikowej obudowy klucza. Napastnicy doszli do wniosku, że trudność ataku oznaczała, że ludzie nadal bezpieczniej są używać kluczy niż nie. Atak był możliwy dzięki luce w mikrochipie A700X wyprodukowanym przez NXP Semiconductors , który jest również wykorzystywany w tokenach bezpieczeństwa Feitian i Yubico , co oznacza, że te tokeny również są podatne na ataki. Luka została w sposób odpowiedzialny ujawniona producentom, których dotyczy, aby mogła zostać naprawiona w przyszłych produktach.
Wsparcie i użytkowanie
Klucze bezpieczeństwa U2F są obsługiwane przez Google Chrome od wersji 38 i Operę od wersji 40. Klucze bezpieczeństwa U2F mogą być wykorzystywane jako dodatkowa metoda weryfikacji dwuetapowej w serwisach internetowych obsługujących protokół U2F, m.in. Google, Azure , Dropbox , GitHub , GitLab , Bitbucket , Nextcloud , Facebook i inne.
Chrome, Firefox i Opera były od 2015 roku jedynymi przeglądarkami obsługującymi natywnie U2F. Microsoft umożliwił Fido 2.0 wsparcie dla systemu Windows 10 „s Okna Witam platformy logowania. Przeglądarka Microsoft Edge zyskała wsparcie dla U2F w Windows Update z października 2018 roku. Konta Microsoft , w tym Office 365 , OneDrive i inne usługi Microsoft, nie mają jeszcze obsługi U2F. Mozilla zintegrowała go z Firefoksem 57 i domyślnie włączyła go w Firefoksie 60 i Thunderbird 60. Microsoft Edge od kompilacji 17723 obsługuje FIDO2. Od iOS i iPadOS 13.3 Apple obsługuje teraz U2F w przeglądarce Safari na tych platformach.
Specyfikacje
Standard U2F przeszedł dwie główne zmiany:
- Proponowany standard U2F 1.0 (9 października 2014 r.)
- Proponowany standard U2F 1.2 (11 kwietnia 2017 r.)
Dodatkowe dokumenty specyfikacji można uzyskać ze strony internetowej FIDO.
Proponowany standard U2F 1.0 (9 października 2014 r.) był punktem wyjścia dla krótkotrwałej specyfikacji znanej jako proponowany standard FIDO 2.0 (4 września 2015 r.). Ten ostatni został formalnie zgłoszony do konsorcjum World Wide Web Consortium (W3C) w dniu 12 listopada 2015 r. Następnie pierwszy roboczy projekt standardu W3C Web Authentication ( WebAuthn ) został opublikowany 31 maja 2016 r. Standard WebAuthn był wielokrotnie zmieniany razy od tego czasu, stając się Rekomendacją W3C 4 marca 2019 r.
W międzyczasie proponowany standard U2F 1.2 (11 kwietnia 2017 r.) stał się punktem wyjścia dla proponowanego standardu protokołu Client to Authenticator (CTAP), który został opublikowany 27 września 2017 r. FIDO CTAP uzupełnia W3C WebAuthn, które są w zakresie Projekt FIDO2 .
WebAuthn i CTAP zapewniają kompletny zamiennik dla U2F, którego nazwa została zmieniona na „CTAP1” w najnowszej wersji standardu FIDO2. Protokół WebAuthn jest zgodny wstecz (przez rozszerzenie AppID) z kluczami zabezpieczeń tylko U2F, ale protokół U2F nie jest zgodny z uwierzytelniaczem tylko WebAuthn . Niektóre uwierzytelnienia obsługują zarówno U2F, jak i WebAuthn, podczas gdy niektórzy klienci WebAuthn obsługują klucze utworzone za pomocą starszego interfejsu API U2F.