Cheile de securitate U2F vă păstrează cu adevărat în siguranță?

Schützen Sie U2F-Sicherheitsschlüssel wirklich?

⌛ Reading Time: 4 minutes

Wenn Sie nach Hause kommen, stehen Sie vor der Tür, fummeln an Ihren Schlüsseln herum und entsperren mit ihnen Ihren Eingang. Sie geben keinen Code ein, sprechen nicht mit der Tür und beantworten keine Rätsel, als würden Sie mit einer Sphinx sprechen. Es ist relativ sicher, ohne dass Sie massive Kopfschmerzen bekommen.

Die Internetversion davon ist im Grunde der U2F-Schlüssel. Obwohl Sie Ihr Passwort noch eingeben müssen, entfällt die zusätzliche Arbeit, die Sie mit der Zwei-Faktor-Authentifizierung erledigen müssen, da Sie lediglich Ihren physischen Schlüssel in einen USB-Steckplatz stecken müssen. Aber ist diese Methode mindestens so sicher wie andere Authentifizierungsmethoden? Und was vielleicht noch wichtiger ist, spricht es etwas Neues an?

Ein kurzer Crashkurs zur U2F-Authentifizierung

Um zu erklären, wie U2F funktioniert, müssen Sie die Zwei-Faktor-Authentifizierung bereits verstehen. Wenn Sie mit einem solchen Konzept nicht vertraut sind, verwenden wir Google Authenticator als Arbeitsbeispiel: Sie geben Ihre Anmeldedaten ein, um in Google zu gelangen, und der Server fordert Sie dann auf, die Google Authenticator-App auf Ihrem Telefon zu öffnen, um eine Sechs zu erhalten. einmaliges Passwort. Dieser letzte Schritt stellt sicher, dass die Person, die sich in Ihrem Konto anmeldet, dieselbe Person ist, der das Telefon gehört, auf dem GA installiert wurde (vermutlich sind Sie das!). Einige Unternehmen (z. B. Banken) senden eine SMS mit einem sechs- bis achtstelligen Code an die Ihrem Konto zugeordnete Telefonnummer, um das gleiche Ergebnis zu erzielen. Andere (normalerweise auch Banken) geben Ihnen ein Token-Gerät, das diese Nummern generiert.

Okay, die Zwei-Faktor-Authentifizierung verwendet zwei Dinge, um Sie anzumelden (daher der Name): Ihr Passwort und einen zusätzlichen Code verbunden mit etwas Körperlichem, das Sie besitzen das kann nur einmal verwendet werden.

Nachdem wir das aus dem Weg geräumt haben, funktioniert U2F in wenigen einfachen Worten: All dies erledigt dies für Sie in Form eines physischen Schlüssels, wie Sie ihn zum Öffnen einer Tür verwenden. Der Schlüssel wird in einen USB-Steckplatz eingesteckt und Sie drücken eine Taste, um die Anmeldung abzuschließen. Durch Drücken dieser Taste wird ein Algorithmus ausgelöst, der intern einen Code generiert und diesen automatisch an den Authentifizierungsserver sendet.

Einfach genug, oder?

Warum U2F?

Wenn Sie die Zwei-Faktor-Authentifizierung sofort verwenden können, ohne etwas extra kaufen zu müssen, warum sollten sich die Leute dann alle Mühe geben, um einen physischen Schlüssel zu erhalten? Für Unternehmen liegt die Antwort auf der Hand: Sie müssen Ihren Mitarbeitern keine teuren Token-Geräte kaufen. Aber was sind die Vorteile für die Verbraucher? Schauen wir uns diese an:

  • Sie müssen niemals Codes eingeben, was sehr praktisch ist.
  • Da Sie keine Codes eingeben müssen, kann der vom Code automatisch übertragene interne Code länger sein (normalerweise ca. 32 Zeichen).
  • Sie müssen nicht auf Ihr Telefon angewiesen sein. (Was ist, wenn Ihr Telefon kaputt geht oder Sie Ihre Nummer ändern?)

Die Vorbehalte

u2f-hacker

Der Grund, warum ich nicht sehe, dass U2F so weit verbreitet angewendet wird, ist, dass die Zwei-Faktor-Authentifizierung bereits den Standard gesetzt hat. Es ist leicht verfügbar und für Dienstanbieter ausreichend einfach zu implementieren. Derzeit sind nur wichtige Dienste wie Google, Facebook, Dropbox und GitHub kompatibel.

Abgesehen von diesem Problem gibt es auch das Problem, was es anspricht. Einfach ausgedrückt wird es als eine verherrlichte Version der Zwei-Faktor-Authentifizierung angesehen, die geringfügig bequemer zu verwenden ist. Es spielt keine Rolle, dass U2F Angriffe von Man in The Middle effizienter angeht (obwohl dies umstritten ist und wir darauf zurückkommen werden). Wahrnehmung ist wichtiger, wenn Sie versuchen, eine Idee zu verkaufen.

Die wahrscheinlich wichtigere Einschränkung ist die Tatsache, dass U2F sehr wenig unternimmt, um zu verhindern, dass ein Hacker Ihren Datenverkehr entführt und sich als Sie ausgibt, indem er Ihren Benutzeragenten in Ihrem Browser fälscht. Allein diese Tatsache macht das Argument der „höheren Sicherheit“ für U2F umstritten.

Das wegnehmen

Obwohl U2F nicht unbedingt sicherer ist als die Zwei-Faktor-Authentifizierung, ist es erwähnenswert, dass einige Schritte in eine positive Richtung unternommen werden (z. B. Erhöhung der Schlüssellänge, Beseitigung frustrierender Authentifizierungsbarrieren für Endbenutzer usw.). Als Technologie ist sie vielleicht nicht „revolutionär“, aber sie erledigt ihre Aufgabe auf eine Weise, die für die Menschen, die in sie investieren, bequemer ist. U2F mag für Unternehmen attraktiv sein, aber die Verbraucher finden den Preis von 50 US-Dollar für diese kleinen Geräte möglicherweise nicht wert.

Lassen Sie uns etwas Interessantes besprechen. Was würde Sie überzeugen, einen U2F-Schlüssel zu kaufen? Oder sind Sie schon überzeugt? Erzähl uns alles darüber in einem Kommentar!