U2F uitgelegd hoe Google en andere bedrijven een universele beveiligingstoken maken
U2F is een nieuwe standaard voor universele two-factor authenticatietokens. Deze tokens kunnen USB, NFC of Bluetooth gebruiken om tweefactorauthenticatie te bieden voor verschillende services. Het wordt al ondersteund in Chrome, Firefox en Opera voor Google, Facebook, Dropbox en GitHub-accounts.
Deze standaard wordt ondersteund door de FIDO-alliantie, waaronder Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America en vele andere grote bedrijven. Verwacht dat U2F-beveiligingstokens binnenkort overal zullen zijn.
Iets dergelijks zal binnenkort algemener worden met de Web Authentication API. Dit is een standaardverificatie-API die op alle platforms en browsers werkt. Het ondersteunt andere authenticatiemethoden en USB-sleutels. De Web Authentication API was oorspronkelijk bekend als FIDO 2.0.
Wat is het?
Twee-factor-authenticatie is een essentiële manier om uw belangrijke accounts te beschermen. Traditioneel hebben de meeste accounts gewoon een wachtwoord nodig om in te loggen - dat is één factor, iets wat u weet. Iedereen die het wachtwoord kent, kan toegang krijgen tot uw account.
Twee-factor authenticatie vereist iets dat je weet en iets dat je hebt. Vaak is dit een bericht dat via sms naar uw telefoon wordt verzonden of een code die is gegenereerd via een app zoals Google Authenticator of Authy op uw telefoon. Iemand heeft zowel uw wachtwoord als toegang tot het fysieke apparaat nodig om in te loggen.
Maar tweefactorauthenticatie is niet zo eenvoudig als het zou moeten zijn, en het gaat vaak om het typen van wachtwoorden en sms-berichten in alle services die u gebruikt. U2F is een universele standaard voor het maken van fysieke authenticatietokens die met elke dienst kunnen werken.
Als u bekend bent met Yubikey, een fysieke USB-sleutel waarmee u zich bij LastPass en een aantal andere services kunt aanmelden, bent u bekend met dit concept. In tegenstelling tot standaard Yubikey-apparaten, is U2F een universele standaard. Aanvankelijk werd U2F gemaakt door Google en Yubico in samenwerking.
Hoe werkt het?
Momenteel zijn U2F-apparaten meestal kleine USB-apparaten die u in de USB-poort van uw computer plaatst. Sommigen van hen hebben NFC-ondersteuning, zodat ze kunnen worden gebruikt met Android-telefoons. Het is gebaseerd op bestaande "smart card" -beveiligingstechnologie. Wanneer u het in de USB-poort van uw computer steekt of tegen uw telefoon tikt, kan de browser op uw computer communiceren met de USB-beveiligingssleutel met behulp van veilige encryptietechnologie en de juiste reactie bieden waarmee u zich op een website kunt aanmelden.
Omdat dit onderdeel is van de browser zelf, biedt dit u een aantal aardige beveiligingsverbeteringen ten opzichte van typische twee-factorenauthenticatie. Ten eerste controleert de browser of deze met versleuteling communiceert met de echte website, zodat gebruikers niet in de val gelokt worden om hun tweefactorcodes in te voeren in nep-phishing-websites. Ten tweede verzendt de browser de code rechtstreeks naar de website, zodat een aanvaller die er tussendoor zit de tijdelijke code van twee factoren niet kan vastleggen en deze op de echte website kan invoeren om toegang te krijgen tot uw account.
De website kan ook uw wachtwoord vereenvoudigen, bijvoorbeeld dat een website u op dit moment om een lang wachtwoord en vervolgens een twee-factorcode vraagt, die u allebei moet typen. In plaats daarvan zou een website u bij U2F kunnen vragen om een viercijferige pincode die u moet onthouden en vervolgens moet u op een knop op een USB-apparaat drukken of op de telefoon tikken om in te loggen.
De FIDO-alliantie werkt ook aan UAF, waarvoor geen wachtwoord vereist is. Het kan bijvoorbeeld de vingerafdruksensor op een moderne smartphone gebruiken om u te authenticeren met verschillende services.
Je kunt meer over de standaard zelf lezen op de website van de FIDO-alliantie.
Waar wordt het ondersteund??
Google Chrome, Mozilla Firefox en Opera (gebaseerd op Google Chrome) zijn de enige browsers die U2F ondersteunen. Het werkt op Windows, Mac, Linux en Chromebooks. Als u een fysiek U2F-token hebt en Chrome, Firefox of Opera gebruikt, kunt u dit gebruiken om uw Google-, Facebook-, Dropbox- en GitHub-accounts te beveiligen. Andere grote services ondersteunen U2F nog niet.
U2F werkt ook met de Google Chrome-browser op Android, ervan uitgaande dat je een USB-sleutel hebt met ingebouwde NFC-ondersteuning. Apple staat geen apps toe tot de NFC-hardware, dus dit werkt niet op iPhones.
Terwijl de huidige stabiele versies van Firefox U2F-ondersteuning hebben, is deze standaard uitgeschakeld. U moet een verborgen Firefox-voorkeur inschakelen om de U2F-ondersteuning op dit moment te activeren.
Ondersteuning voor U2F-sleutels zal meer verspreid raken als de Web Authentication API van start gaat. Het werkt zelfs in Microsoft Edge.
Hoe je het kunt gebruiken
U hebt alleen een U2F-token nodig om te beginnen. Google geeft u de opdracht om Amazon te zoeken naar 'FIDO U2F-beveiligingssleutel' om ze te vinden. De bovenste kost $ 18 en is gemaakt door Yubico, een bedrijf met een geschiedenis van het maken van fysieke USB-beveiligingssleutels. De duurdere Yubikey NEO bevat NFC-ondersteuning voor gebruik met Android-apparaten.
Ga vervolgens naar de instellingen van je Google-account, zoek de authenticatiepagina met twee stappen op en klik op het tabblad Beveiligingssleutels. Klik op Een beveiligingssleutel toevoegen en u kunt de fysieke beveiligingssleutel toevoegen, die u moet aanmelden bij uw Google-account. Het proces zal vergelijkbaar zijn voor andere services die U2F ondersteunen. Raadpleeg deze handleiding voor meer informatie.
Dit is geen beveiligingshulpmiddel dat u overal kunt gebruiken, maar veel services zouden er uiteindelijk ondersteuning voor moeten toevoegen. Verwacht in de toekomst grote dingen van de Web Authentication API en deze U2F-sleutels.