info@econgo.eu

(PL+48) 531 808 081

  1. pl
  2. en
  3. de

KLUCZ U2F

22 September 2023

Klucz U2F to forma ochrony przed phishingiem, czyli metodą oszustwa stosowaną przez cyberprzestępców. Za jego pomocą można zabezpieczyć się przed ryzykiem wyłudzenia i przechwycenia poufnych informacji, takich jak np. dane karty kredytowej czy loginy i hasła do bankowości internetowej.

Klucz bezpieczeństwa U2F ma postać niedużego urządzenia zewnętrznego, które z wyglądu przypina zwykły pendrive. Jego zastosowanie jest elementem uwierzytelniania wieloskładnikowego.

Aby zalogować się do bankowości internetowej czy innego serwisu, użytkownik podaje hasło i w jednym z portów urządzenia umieszcza klucz sprzętowy U2F celem dodatkowej weryfikacji.

Czym jest klucz bezpieczeństwa U2F?

Klucz bezpieczeństwa U2F to tak naprawdę bardzo nieskomplikowane urządzenie, a jego zastosowanie znacząco upraszcza cały proces uwierzytelniania dwuskładnikowego.

Niweluje on konieczność generowania dodatkowych PIN-ów czy haseł, a także ogranicza podejmowane działania do jedynie kilkusekundowego podęcia urządzenia przez port USB. Klucze sprzętowe tego typu często nazywane są również tokenami.

Zastosowanie U2F jest jedyną metodą uwierzytelniania dwuskładnikowego, której nie da się wyłudzić. Jeżeli użytkownik trafi na fałszywą stronę internetową, klucz bezpieczeństwa automatycznie to wykryje i uniemożliwi podanie danych niezbędnych do logowania.

Tokeny tego typu mogą obsługiwać zróżnicowane metody uwierzytelniania i komunikacji.

Większość z nich przeznaczona jest dla komputerów osobistych, laptopów, smartfonów oraz innych urządzeń mobilnych, do których należy je podłączyć przez kompatybilny port.

Niektóre modele pozwalają też na łączenie bezprzewodowe poprzez czytnik NFC. Klucze bezpieczeństwa U2F działają też offline, a tym samym nie wymagają połączenia z internetem do generowania haseł.

 

KLUCZ BEZPIECZEŃSTWA U2F - BANKI
Pierwszym polskim bankiem planującym wdrożenie takiego rozwiązania jest  ING Bank Śląski. Instytucja chce zapewnić klientom możliwość zabezpieczania logowania na rachunek bankowy zarówno w bankowości internetowej, jak i aplikacji mobilnej.

Jeżeli posiadacz konta będzie dysponował zarejestrowanym i aktywowanym kluczem sprzętowym, podczas logowania może zostać poproszony o jego użycie. ING Bank Śląski planuje wprowadzenie tego rozwiązania na przełomie drugiego i trzeciego kwartału 2023 roku.

 

Jak działa klucz bezpieczeństwa U2F?

Klucz bezpieczeństwa U2F wymaga jednorazowej konfiguracji, którą trzeba przeprowadzić z każdym wybranym serwisem. Obsługa tokenu ogranicza się tak naprawdę do wykonania połączenia z komputerem lub smartfonem.

Działanie to nie jest jednak konieczne przy wszystkich kolejnych próbach logowania na platformie, dla której urządzenie zostało już aktywowane.

Klucz sprzętowy będzie wymagany tylko przy podawaniu danych na nowym urządzeniu, bądź też nieużywanej wcześniej przeglądarce.

W większości serwisów użytkownik może bowiem wybrać opcję zapamiętania klucza U2F, dzięki czemu nie będzie on potrzebny aż do momentu samodzielnego wylogowania się z danej platformy.

Pod względem technologicznym, konstrukcja klucza sprzętowego przypomina komputer. Po jego podłączeniu do innego urządzenia lub zbliżeniu do czytnika NFC, narzędzie to może realizować wybrane operacje kryptograficzne.

Token generuje w ten sposób dwa klucze, czyli prywatny i publiczny.

Po konfiguracji z wybranym serwisem internetowym, klucz publiczny jest wgrywany jako drugi element weryfikacji wieloskładnikowej. Klucz prywatny z kolei nigdy nie opuszcza urządzenia U2F.

Operacja uruchomienia podpisu kryptograficznego jest aktywowana w momencie dotknięcia palcem tokena, co ma celu weryfikację tożsamości użytkownika.

Proces ten następuje w kluczu U2F, a nie w komputerze czy smartfonie. Z tego względu klucz prywatny nie może zostać skradziony.

Czy klucz bezpieczeństwa U2F zapewnia całkowitą ochronę przed phishingiem?

Jedną z najczęstszych praktyk cyberprzestępców jest tworzenie stron internetowych, które do złudzenia imitują serwisy bankowe, skrzynki poczty elektronicznej czy portale mediów społecznościowych.

Linki do takich witryn przesyłają swoim ofiarom, prosząc w wiadomości o zalogowanie się do nich pod określonym pretekstem – np. koniecznością dodatkowej weryfikacji konta. Jeżeli użytkownik poda na podrobionej stronie swój login i hasło, zostaną one przechwycone przez phisherów.

Dla takiej formy ataku hasło nie jest już wystarczającym zabezpieczeniem. Nawet w przypadku zastosowania złożonych kombinacji i wielu znaków specjalnych, dane do logowania wciąż mogą zostać przechwycone przez hakerów.

Wielu nieświadomych użytkowników udostępnia w ten sposób szereg poufnych informacji.

Dotyczy to najbardziej wrażliwych danych, takich jak chociażby informacje z dokumentów tożsamości, numery kart płatniczych czy dane logowania bankowości internetowej.

Sposobem ochrony przed phishingiem jest właśnie weryfikacja dwuetapowa, czyli uwierzytelnienie wieloskładnikowe. W jej przypadku tożsamość użytkownika musi być potwierdzona nie tylko hasłem, ale też dodatkowym elementem.

Jako zabezpieczenie drugiego poziomu stosuje się najczęściej kod wysłany SMS-em czy numer PIN generowany w aplikacji mobilnej.

W praktyce takie informacje również mogą zostać przekazane przestępcom, jeżeli użytkownik nieumyślnie poda je na stronie przechwytującej dane. Jedynym rozwiązaniem zapewniającym stuprocentowe bezpieczeństwo przed phishingiem jest właśnie klucz sprzętowy U2F.

Jakie zalety posiadają klucze bezpieczeństwa U2F?

Klucze bezpieczeństwa U2F zapewniają wiele korzyści użytkownikom. Obecnie ich stosowanie to jedyna metoda, która gwarantuje pełną ochronę przed zjawiskiem phishingu.

Za jej pomocą można weryfikować tożsamość w wielu różnych serwisach i aplikacjach mobilnych, w tym również najpopularniejszych mediach społecznościowych.

Klucze sprzętowe są łatwe w użyciu, niewielkie i poręczne. Z tego względu da się je zawsze nosić przy sobie, a ich obsługa zajmuje tylko kilka sekund. Klucz bezpieczeństwa U2F nie magazynuje przy tym żadnych danych.

Nawet jeżeli zostanie zgubiony lub skradziony, poufne informacje wciąż pozostają bezpieczne. W takiej sytuacji wystarczy po prostu kupić nowy egzemplarz.

Do zalet kluczy bezpieczeństwa U2F należy bez wątpienia ich uniwersalność. Za pomocą jednego takiego narzędzia można się łączyć z różnymi serwisami, a także wykonywać logowania na wszystkich posiadanych urządzeniach.

Sam wybór kluczy sprzętowych jest coraz większy, co pozwala na dostosowanie ich do indywidualnych potrzeb. Tokeny są projektowane z myślą o kompatybilności z różnymi metodami komunikacji, dzięki czemu nie trzeba się ograniczać wyłącznie do portu USB.

Klucze bezpieczeństwa U2F są również względnie niedrogie. Podstawowe i najprostsze modele zapewniające 100% ochrony kosztują już od 150-200 zł. Urządzenia te można kupić zarówno w sklepach internetowych, jak i stacjonarnych punktach oferujących sprzęt komputerowy.

Modele bardziej zaawansowane technologicznie są droższe, jednak dla większości użytkowników wystarczające będą tokeny z podstawowymi funkcjami.

Jak wybrać klucz bezpieczeństwa U2F?

Wybierając klucz sprzętowy U2F, należy zwrócić uwagę na dwa podstawowe czynniki. Pierwszym z nich jest rodzaj złącza dostępnego w komputerze lub smartfonie, a drugim zakres dostępnych funkcji.

Tokeny występują w wersjach odpowiednich dla portów USB, USB-C oraz lightning. Jeżeli klucz ma być stosowany do kilku urządzeń z różnymi złączami, można zastosować przejściówkę.

Dodatkowe funkcje również mogą być dość zróżnicowane. Dotyczy to np. opcjonalnych zabezpieczeń biometrycznych, możliwości przechowywania kluczy PGP i SSH czy opcji logowania do systemu operacyjnego.

W wielu przypadkach warto pomyśleć o zakupie dwóch kluczy bezpieczeństwa U2F, aby posiadać jeden zapasowy. Obecnie większość serwisów pozwala na aktywowanie nawet kilku takich urządzeń.

Zapasowy token przechowywany w domu przyda się na wypadek zgubienia klucza podstawowego, który często użytkownicy noszą przy sobie.

Sama utrata U2F nie wiąże się z żadnym zagrożeniem dla kont w serwisach internetowych. W urządzeniu nie są przechowywane żadne dane, więc nawet jego kradzież nie daje możliwości przechwycenia haseł czy plików.

W takiej sytuacji trzeba będzie jednak usunąć utracony klucz z wszystkich platform, na których był on używany w procesie weryfikacji tożsamości. Po wykonaniu tej operacji, wystarczy skonfigurować serwis z nowym kluczem U2F i korzystać z niego na takich samych zasadach.

O czym warto pamiętać przy korzystaniu z klucza U2F?

Zastosowanie klucza sprzętowego jest konieczne przy każdym logowaniu się w nowej przeglądarce lub na nieznanym urządzeniu. Z tego względu opcja zapamiętywania U2F w wybranych serwisach to wygodne rozwiązanie.

Ogranicza ona konieczność każdorazowego korzystania z tokena, aż do samodzielnego wylogowania. Warto jednak pamiętać, że serwisy ze względów bezpieczeństwa automatycznie wylogowują użytkowników co jakiś czas.

Aby się wówczas zalogować, ponownie należy zastosować klucz U2F.

Obecnie coraz więcej serwisów wspiera taką metodę ochrony, a ich liczba nieustannie wzrasta. Z takiego rozwiązania korzystają takie platformy, jak chociażby Facebook, Twitter, GitHub, Microsoft, Onet czy WP.

Od dłuższego czasu klucze szyfrujące obsługuje też pakiet Google Workspace. W jego przypadku można skonfigurować instalację w taki sposób, aby wszyscy użytkownicy domeny logowali się do swoich kont z wykorzystaniem kluczy U2F.

Aby mieć pewność wsparcia udzielanego dla dwuetapowej weryfikacji przez wybrany serwis, warto sprawdzić jego regulamin.

Sama konfiguracja klucza bezpieczeństwa na poszczególnych platformach nieco się różni, ale zazwyczaj wygląda podobnie. Większość serwisów udostępnia opcję bezpośredniego podpięcia i aktywacji U2F w ustawieniach, a konkretnie w zakładce dotyczącej bezpieczeństwa.

Przy użytkowaniu takich urządzeń warto też pamiętać, że sprzętowe klucze bezpieczeństwa chronią jedynie przed atakami phishingowymi.

Nie stanową natomiast zabezpieczenia dla wielu innych zagrożeń, takich jak chociażby wycieki danych, złośliwe oprogramowanie czy wirusy.