Khóa bảo mật của U2F có thực sự giúp bạn an toàn không?
Khi bạn về nhà, bạn đứng trước cửa và mò mẫm tìm chìa khóa, sau đó sử dụng chúng để mở khóa lối vào của bạn. Bạn không gõ mã, bạn không nói chuyện với cánh cửa, và bạn không trả lời câu đố như thể bạn đang nói chuyện với một nhân sư. Nó tương đối an toàn trong khi không cho bạn đau đầu dữ dội.
Phiên bản Internet của điều này về cơ bản là khóa U2F. Mặc dù bạn vẫn phải nhập mật khẩu, công việc phụ bạn phải làm với xác thực hai yếu tố biến mất vì tất cả những gì bạn phải làm là chèn khóa vật lý của bạn vào khe cắm USB. Nhưng phương pháp này ít nhất là an toàn như các phương pháp xác thực khác? Và có lẽ quan trọng hơn, liệu nó có giải quyết bất cứ điều gì mới?
Khóa học nhanh về xác thực U2F
Để giải thích cách U2F hoạt động, bạn phải hiểu được xác thực hai yếu tố. Nếu bạn không quen thuộc với khái niệm như vậy, hãy sử dụng Google Authenticator làm ví dụ: Bạn nhập chi tiết đăng nhập của mình để truy cập vào Google và sau đó máy chủ yêu cầu bạn mở ứng dụng Google Authenticator trên điện thoại của bạn để nhận được sáu mật khẩu một lần. Bước cuối cùng này đảm bảo rằng người đăng nhập vào tài khoản của bạn là cùng một người sở hữu điện thoại mà GA đã được cài đặt trong (có lẽ, đó là bạn!). Ví dụ: một số thực thể (ví dụ như ngân hàng) gửi SMS đến số điện thoại được liên kết với tài khoản của bạn với mã từ sáu đến tám chữ số để đạt được kết quả tương tự. Những người khác (cũng thường là ngân hàng) sẽ cung cấp cho bạn một thiết bị mã thông báo tạo ra những con số này.
Được rồi, do đó xác thực hai yếu tố sẽ sử dụng hai thứ để bạn đăng nhập (do đó tên): mật khẩu của bạn và mã bổ sung được liên kết với nội dung nào đó mà bạn sở hữu chỉ có thể sử dụng một lần.
Bây giờ chúng tôi đã nhận ra rằng trên đường đi, đây là cách U2F hoạt động trong một vài từ đơn giản: Nó thực hiện tất cả điều này cho bạn dưới dạng một khóa vật lý, giống như cái bạn sử dụng để mở cửa. Phím được lắp vào khe cắm USB và bạn nhấn một nút để hoàn tất đăng nhập của mình. Việc đẩy nút đó kích hoạt một thuật toán tạo mã trong nội bộ và gửi nó tự động đến máy chủ xác thực.
Đủ đơn giản, phải không?
Tại sao chọn U2F?
Nếu bạn có thể sử dụng xác thực hai yếu tố ra khỏi hộp mà không phải mua thêm bất kỳ thứ gì, tại sao mọi người nên ra khỏi con đường của họ để lấy khóa vật lý? Đối với các doanh nghiệp, câu trả lời là hiển nhiên: bạn không cần phải mua nhân viên của bạn đắt tiền thiết bị mã thông báo. Nhưng những lợi thế cho người tiêu dùng là gì? Hãy nhìn vào chúng:
- Bạn sẽ không bao giờ phải gõ mã, rất thuận tiện.
- Vì bạn không phải nhập mã, mã nội bộ được truyền tự động bằng khóa có thể dài hơn (thường là khoảng 32 ký tự).
- Bạn không cần phải phụ thuộc vào điện thoại của bạn. (Nếu điện thoại của bạn bị hỏng hoặc bạn thay đổi số điện thoại thì sao?)
Các Caveats
Lý do tại sao tôi không thấy U2F được áp dụng rộng rãi như vậy là xác thực hai yếu tố đã thiết lập tiêu chuẩn. Nó có sẵn và đủ dễ dàng cho các nhà cung cấp dịch vụ thực hiện. Hiện tại chỉ các dịch vụ chính như Google, Facebook, Dropbox và GitHub mới có khả năng tương thích.
Ngoài vấn đề này, cũng có vấn đề về địa chỉ của nó. Nói một cách đơn giản, nó sẽ được xem như là một phiên bản được xác thực của việc xác thực hai yếu tố thuận tiện hơn để sử dụng. Nó không quan trọng là U2F giải quyết Man trong các cuộc tấn công ở giữa hiệu quả hơn (mặc dù điều đó có thể gây tranh cãi, và chúng ta sẽ nhận được điều đó). Nhận thức là quan trọng hơn khi bạn đang cố gắng bán một ý tưởng.
Có lẽ điều quan trọng hơn là việc U2F thực hiện rất ít để ngăn chặn tin tặc tấn công lưu lượng truy cập của bạn và mạo danh bạn bằng cách giả mạo tác nhân người dùng trong trình duyệt của bạn. Thực tế này một mình làm cho đối số “bảo mật cao hơn” cho U2F gây tranh cãi.
Mang đi
Mặc dù U2F không nhất thiết phải an toàn hơn xác thực hai yếu tố, đáng lưu ý rằng phải mất một vài bước theo hướng tích cực (ví dụ: tăng độ dài khóa, loại bỏ rào cản xác thực bực bội cho người dùng cuối, v.v.). Là một công nghệ, nó có thể không phải là "cách mạng", nhưng nó chắc chắn thực hiện công việc của mình theo cách thuận tiện hơn cho những người đầu tư vào nó. U2F có thể hấp dẫn đối với các doanh nghiệp, nhưng người tiêu dùng có thể không tìm thấy thẻ giá 50 đô la trên các thiết bị nhỏ này đáng giá.
Hãy thảo luận điều gì đó thú vị. Điều gì sẽ thuyết phục bạn mua một khóa U2F? Hay bạn đã bị thuyết phục? Hãy cho chúng tôi biết tất cả về nó trong một bình luận!