Når du kommer hjem står du foran døren og fumler rundt for dine nøgler, så brug dem til at låse op for din indgang. Du skriver ikke en kode, du taler ikke med døren, og du svarer ikke gåder som om du selv talte med en sfinx. Det er relativt sikkert, mens det ikke giver dig massiv hovedpine.

Internetens version af dette er stort set U2F-nøglen. Selv om du stadig skal skrive din adgangskode, forsvinder det ekstra arbejde, du har at gøre med tofaktorautentificering, fordi du kun skal indsætte din fysiske nøgle i en USB-slot. Men er denne metode mindst lige så sikker som andre godkendelsesmetoder? Og måske vigtigere, adresserer det noget nyt?

Et hurtigcrash kursus på U2F-godkendelse

For at forklare, hvordan U2F fungerer, skal du allerede forstå tofaktors godkendelse. Hvis du ikke er bekendt med et sådant koncept, lad os bruge Google Authenticator som et fungerende eksempel: Du indtaster dine loginoplysninger for at komme ind i Google, og derefter beder deres server dig om at åbne Google Authenticator-appen på din telefon for at få en seks- cifret engangsadgangskode. Dette sidste trin sikrer, at den person, der logger ind på din konto, er den samme person, der ejer den telefon, som GA var installeret i (formodentlig det er du!). Nogle enheder (f.eks. Banker) sender en SMS til telefonnummeret, der er knyttet til din konto, med en seks til ottecifret kode for at opnå det samme resultat. Andre (også normalt banker) vil give dig en token enhed, der genererer disse tal.

Okay, så tofaktorautentificering bruger to ting til at logge dig ind (dermed navnet): Dit kodeord og en ekstra kode er forbundet med noget fysisk, som du besidder, der kun kan bruges én gang.

Nu da vi fik det ud af vejen, så virker U2F i et par enkle ord: Det gør alt dette for dig i form af en fysisk nøgle som den, du bruger til at åbne en dør. Nøglen er indsat i en USB-slot, og du trykker på en knap for at afslutte dit login. Skubningen af ​​den knap udløser en algoritme, der genererer en kode internt og sender den automatisk til den autentificerende server.

Enkelt nok, ikke?

Hvorfor U2F?

Hvis du kan bruge tofaktorautentificering ud af kassen uden at skulle købe noget ekstra, hvorfor skal folk gå ud af deres vej for at få en fysisk nøgle? For virksomheder er svaret indlysende: Du behøver ikke købe dine medarbejdere dyre token-enheder. Men hvad er fordelene for forbrugerne? Lad os se på dem:

  • Du behøver aldrig at skrive koder, hvilket er meget praktisk.
  • Da du ikke behøver at skrive koder, kan den interne kode, der overføres automatisk med nøglen, være længere (normalt omkring 32 tegn).
  • Du behøver ikke at stole på din telefon. (Hvad hvis din telefon bryder eller du ændrer dit nummer?)

Caveats

Grunden til, at jeg ikke ser, at U2F anvendes så bredt, er at tofaktorautentificering allerede har sat standarden. Det er let tilgængeligt og er tilstrækkeligt nemt for tjenesteydere at implementere. I øjeblikket er det kun store tjenester som Google, Facebook, Dropbox og GitHub, der er kompatible.

Bortset fra dette problem er der også spørgsmålet om, hvad det adresserer. Enkelt sagt vil det blive set som en forherlig version af tofaktorautentificering, der er marginalt mere praktisk at bruge. Det er ligegyldigt, at U2F adresserer Man i Mellemøsten angriber mere effektivt (selv om det er diskutabelt, og vi kommer til det). Opfattelsen er vigtigere, når du forsøger at sælge en ide.

Sandsynligvis den mere vigtige advarsel er, at U2F gør meget lidt for at forhindre en hacker fra at kapre din trafik og udgive dig ved at forfalske din brugeragent i din browser. Denne kendsgerning alene gør debatten om "højere sikkerhed" for U2F diskutabelt.

Takeaway

Selvom U2F ikke nødvendigvis er mere sikker end tofaktorautentificering, er det værd at bemærke, at det tager nogle få skridt i en positiv retning (fx øget nøglelængde, eliminering af frustrerende godkendelsesbarrierer for slutbrugere osv.). Som en teknologi er det måske ikke "revolutionerende", men det gør bestemt sit arbejde på en måde, der er mere praktisk for de mennesker, der investerer i det. U2F kan være attraktivt for virksomheder, men forbrugerne finder måske ikke prisen på $ 50 på disse små enheder, der koster prisen.

Lad os diskutere noget interessant. Hvad ville overbevise dig om at købe en U2F-nøgle? Eller er du allerede overbevist? Fortæl os alt om det i en kommentar!