Wielokrotnie przedstawialiśmy korzyści z posiadania klucza bezpieczeństwa Yubikey firmy Yubico. Pewną barierą przed używaniem tego świetnego tokenu sprzętowego jest jego cena. Najubożej wyposażone wersje kosztują około 140zł. W zamian użytkownik otrzymuje fizyczny klucz z portem USB typu A. Droższe wersje to koszt w granicach 200-400zł i w zależności od modelu, klucz jest wyposażony np. w technologię NFC lub port USB typu C. Dostępne są też klucze Yubikey z portami Lightning dla smartfonów i komputerów Apple, a nawet dwukierunkowe klucze z portem USB typu C i z drugiej strony z portem Lightning (to tzw. Yubkkey 5Ci). Niedawno zaprezentowano Yubikey BIO — jest to wersja klucza bezpieczeństwa, która będzie rozpoznawała odcisk palca użytkownika, korzystając z technologii rozpoznawania linii papilarnych. Data wprowadzenia na rynek Yubikey BIO nie jest znana.
Yubikey od środka
Yubikey to nazwa klucza z portem USB-A, USB-C i Lightning, wymyślonego przez firmę Yubico. W środku znajduje się technologia o nazwie FIDO U2F — tak było z kluczami do wersji Yubikey 4.
Nowa, „piąta generacja” tokenu, wprowadza ulepszoną obsługę standardu o nazwie FIDO2 WebAuth, którego nie posiadały Yubikey’e „czwórki”. Proces uwierzytelniania za pomocą klucza nie został zmodyfikowany. Wciąż wystarczy dotknąć podłączonego klucza do portu USB lub przyłożyć klucz do telefonu z NFC w odpowiednim momencie, czyli dokładnie wtedy, kiedy ten „mruga” do użytkownika diodą powiadomień.
W starszych i nowszych modelach logowanie wciąż jest takie same:
Podczas rejestrowania tokena w serwisie tworzona jest para kluczy kryptograficznych — prywatny i publiczny. Klucz publiczny jest przechowywany na serwerze, a prywatny w czipie Secure Element, który jest sercem tokena U2F i nigdy nie opuszcza urządzenia.
Klucz prywatny szyfruje dane logowania, które są przesyłane do serwera i mogą zostać odszyfrowane przy użyciu klucza publicznego. Jeśli osoba podszywająca się pod właściciela spróbuje przesłać potwierdzenie logowania zaszyfrowane przy użyciu nieodpowiedniego klucza prywatnego, odszyfrowanie go przy użyciu klucza publicznego nie uda się, a serwis nie zezwoli na dostęp do konta.
FIDO U2F => FIDO2 WebAuthn
Do tej pory użytkownicy korzystali z protokołu U2F (Universal 2nd Factor authentication), który został stworzony przez FIDO Alliance, do którego należy m.in. Yubico — producent sprzętowych kluczy, najprawdopodobniej najskuteczniejszego rozwiązania zapobiegającego atakom phishingowym, nieautoryzowanym przejęciom kont internetowych oraz poświadczeń logowania.
W lutym 2013 roku powstało stowarzyszenie FIDO Alliance, którego misją jest opracowywanie i promowanie standardów uwierzytelniania, które pomagają zmniejszyć nadmierne poleganie na hasłach.
Obsługę protokołu U2F (to taki drugi składnik logowania, ale jego działanie opiera się na silnej kryptografii przy użyciu zewnętrznego klucza bezpieczeństwa) pomyślnie wdrożono na bardzo dużą skalę np. przez rząd Wielkiej Brytanii, Turcji, firmę Canoncial, liczne banki za granicą, a nawet Departament Obrony USA.
Ten sposób uwierzytelnienia gwarantuje jeden z najbezpieczniejszych sposobów logowania do serwisów internetowych, serwerów, menadżerów haseł, systemów produkcyjnych i wiele więcej. U2F wdrożyło nawet Google jako własną odmianę, bo ich kluczem bezpieczeństwa jest smartfon z Androidem 7+, i jak się okazało, od tego czasu (podobno) żaden z pracowników Google nie padł ofiarą ataku phishingowego.
U2F jest rozwiązaniem dwuskładnikowym, ciągle bazującym na nazwie użytkownika i haśle jako pierwszym czynniku. Wiele organizacji i internetowych aplikacji np. Facebook i Gmail, pozwala ustawić drugi czynnik 2FA (second factor authentication), który może być kodem SMS, kluczem bezpieczeństwa (czyli dostajemy U2F), aplikacją na smartfonie.
FIDO2 WebAuthn to druga generacja U2F. Tutaj użytkownik może zostać zidentyfikowany i uwierzytelniony bez podawania hasła w pierwszym kroku przy logowaniu.
FIDO2 WebAuthn obsługuje silne jednoskładnikowe uwierzytelnianie, które jest wstecznie kompatybilne z U2F, a więc wspiera dwuskładnikowe i wieloczynnikowe logowanie.
Otwarty standard uwierzytelniania FIDO2 WebAuthn składa się z dwóch komponentów:
- Web API (Web Authentication, stąd skrót WebAuthn).
- Protokołu Client to Authenticator (CTAP).
Te elementy współpracują ze sobą i są wymagane do zalogowania się bez hasła. Czyli po stronie np. serwera Facebooka, deweloperzy muszą wdrożyć obsługę protokołu CTAP, który umożliwi logowanie użytkownika w przeglądarce za pomocą WebAuthn. Do tego celu trzeba używać klucza bezpieczeństwa osadzonego w porcie USB lub klucza wspierającego NFC / Bluetooth. FIDO2 WebAuthn jest obecnie wspierane przez wszystkie przeglądarki. Aby z tego skorzystać, portale internetowe muszą wdrożyć ten sposób logowania.
Google idzie o krok dalej z „kluczem bezpieczeństwa”
Google też posiada własny klucz bezpieczeństwa. Jest nim sprzętowy token Google Titan Security Keys, a także logowanie wspierające U2F za pomocą smartfonu z Androidem od wersji 7.
Oba te rozwiązania bazowały na zastrzeżonym sprzęcie i oprogramowaniu, ale już teraz Google ujawniło swoją implementację typu open source o nazwie OpenSK. Jest to oprogramowanie, które (nie)każdy może zainstalować na własnym pandrive USB, zamieniając go w przydatny klucz FIDO U2F. Są pewne zastrzeżenia:
- Google wspomina, że na razie jest to projekt badawczy dla ciekawskich i hakerów, a nie oficjalna alternatywa dla produkowanych kluczy bezpieczeństwa. Może zawierać luki.
- Testy odbywały się na dwóch płytkach: nRF52840-DK i nRF52840-dongle, dlatego instalowanie nowego firmware OpenSK na czymś innym (własnym pendrive), nie musi być łatwe i zakończyć się powodzeniem.
- OpenSK nie posiada certyfikatu zgodności od FIDO Alliance.
- Nie ma gotowej implementacji dla nietechnicznych użytkowników. Trzeba się pomęczyć lub kupić gotowe rozwiązanie od Yubico.
Google, wydając własną wersję oprogramowania FIDO typu open source, ma nadzieję przyśpieszyć przyjęcie standardu bezpieczniejszego logowania. Za firmą Google stoją ogromne pieniądze, które można zainwestować w kampanię uświadamiającą. Sprzętowe klucze, chociaż bardzo bezpieczne i polecane przez ekspertów, nie zdobyły dużej popularności.
Na AVLab staramy się promować dobre rozwiązania. Takim są bez wątpienia klucze Yubikey. Cena klucza bezpieczeństwa na pewno nie jest zaporowa. Takie urządzenie kupuje się tylko raz, ponieważ wystarczy na wiele lat. Problemem nie jest kwota, ale uświadomienie zwykłego użytkownika i nietechnicznych pracowników, że istnieje sposób, aby w 100% ochronić się przed przejmowaniem kont online.
