MFA i biometria lekiem na słabość haseł

Dużo trudniej jest ukraść telefon lub inne urządzenie pozwalające na uwierzytelnianie dodatkowym składnikiem. Takimi urządzeniami są również klucze bezpieczeństwa (security key) czyli urządzenia przenośne, które użytkownik podłącza np. do portu USB swojego komputera w trakcie procesu uwierzytelniania. Dzięki zastosowaniu MFA możemy czuć się dużo bardziej bezpieczni niż używając jedynie nazwy użytkownika i hasła logowania.

Na pewno spotkaliście się ze skrótami U2F czy WebAuth w podczas wertowania informacji związanych z bezpieczeństwem i uwierzytelnianiem. Czym właściwie są te pojęcia? Z czym się wiążą? Postaramy się rozwiać choć w części pytania z tego obszaru.

Universal 2nd Factor (U2F) jest otwartym standardem, który umożliwia i upraszcza uwierzytelnianie dwuskładnikowe (2FA) przy użyciu wyspecjalizowanych urządzeń USB lub urządzeń mogących komunikować się przez interfejs NFC. Podobne technologie zabezpieczeń można znaleźć w kartach inteligentnych (ang. smart cards). Urządzenia takie zwane są nierzadko kluczami bezpieczeństwa.

U2F został opracowany początkowo przez firmy Yubico i Google, a następnie standard włączono do FIDO Alliance. FIDO Alliance to stowarzyszenie założone w 2013 r., którego misją jest rozwijanie i promowanie standardów uwierzytelniania. Członkami założycielami tego stowarzyszenia są PayPal, Lenovo, Nok Nok Labs, Inc., Infineon, Validity Sensors Inc, Agnitio.

Protokół U2F został zaprojektowany jako drugi element wzmacniający bezpieczeństwo w logowaniu opartym na podstawowym zestawie danych: nazwie użytkownika i haśle. Opiera się na wynalezieniu przez Yubico takiego modelu klucza publicznego, w którym nowa para kluczy jest generowana dla każdej usługi, do której użytkownik chce się zalogować. Cała idea pozwala na obsługiwanie przez jedno urządzenie praktycznie nieograniczonej liczby usług przy zachowaniu najwyższego stopnia prywatności.

W ramach projektu W3C opracowano nowy interfejs programistyczny API uwierzytelniania internetowego, nazwany WebAuthn, który obsługuje istniejące założenia FIDO U2F i FIDO2.

Protokół po stronie klienta FIDO U2F został nazwany CTAP1, a natomiast protokół klient-dostawca metody uwierzytelnienia został określony jako CTAP2.

Rublon (https://rublon.com) w pełni obsługuje klucze bezpieczeństwa pracujące w standardach WebAuthn i U2F. Niebawem możemy się spodziewać upowszechniania samodzielnych urządzeń, które dodatkowo weryfikować przy użyciu danych biometrycznych. Sfałszowanie czyjegoś odcisku palca (ba, może i wzoru siatkówki oka) jest bardzo trudne (ale nie niemożliwe). Podobne metody uwierzytelniania możemy odnaleźć w wielu modelach notebooków biznesowych, które pozwalają na logowanie się do systemu po weryfikacji odciska palca.