Fido u2f: FIDO U2F — Универсальная Двухфакторная Аутентификация. Введение / Хабр
FIDO U2F — Универсальная Двухфакторная Аутентификация. Введение / Хабр
Ни для кого не секрет, что сегодня существует большая проблема с безопасностью в интернете. Пользователи используют легкие пароли и переиспользуют их на других ресурсах. Парольные менеджеры все еще в новинку для обычного пользователя, и вашу бабушку вы вряд ли заставите использовать случайные одноразовые пароли с высокой энтропией. Жизнь тлен и боль…
На заре веб2.0 мы стали понимать, что паролей недостаточно и изобрели двухфакторную аутентификацию или 2FA.
Что из себя представляют 2FA решения сегодня?
SMS — одноразовые пароли отправленные с помощью SMS.
OTP(TOTP/HOTP) — одноразовые пароли, сгенерированные на основе мастер ключей. Примеры: Google Authenticator, Yubikey, банковские OTP токены.
- Криптографические Токены — аппаратные средства для многофакторной аутентификации пользователей. Примеры: RSA SecureID, Рутокен.
При большом выборе решений, у пользователей до сих пор уводят аккаунты. Так почему существующие технологии не решили проблему?
Причин много:
Фишинг — практически все перечисленные решения уязвимы к MITM (человек посередине) атакам, и соответственно фишингу. Что остановит пользователя, который уже ввел свой логин и пароль, от введения одноразового пароля?
Безопасность — в данном случае я буду говорить именно про SMS. SMS на данный момент самое популярное решение 2FA на рынке. Истории о перевыпуске сим карты случались не только в России, но и в США, ЮАР, Великобритании и других странах. Почти все провайдеры предоставляют возможность восстановления сим-карт, и методы социальной инженерии еще никто не отменял.
Стоимость — если вы швейцарский банк, и ваш клиент хранит семизначные суммы иностранной валюты, то RSA токены это мизерная цена для обеспечения безопасности аккаунтов ваших клиентов. А если вы Twitter или Facebook, то выдавать недешевые токены каждому пользователю просто невозможно. SMS тоже стоит денег, и если вы держите любительский аниме форум о дискуссиях про то как пропатчить KDE под FreeBSD, то вы вряд ли сможете позволить себе SMS.
Совместимость — никто не любит возиться с драйверами, и это одна из причин того, что RSA и Рутокен все еще не завоевали мир.
- Удобство использования — вводить одноразовые пароли это морока. Разблокируй экран, открой сообщения, прочитай код, ошибись, сожги телефон и компьютер — это стандартный алгоритм взаимодействия пользователя и двухфакторной аутентификации.
Этот список можно еще долго продолжать, но я думаю что мысль донесена. Сегодняшние решения не в состоянии надежно защитить пользователя, сложны в применении, дороги и не универсальны.
FIDO U2F — Универсализируем второй фактор
В 2013 году в Кремниевой Долине был организован FIDO (Fast IDentity Online) альянс для того, чтобы адресовать проблемы легкой и безопасной аутентификации в интернете. На данный момент FIDO имеет более трёхсот ассоциативных членов и тридцать членов правления. В список членов правления входят такие компании как Google, Yubico, Microsoft, Visa, Mastercard, American Express, Paypal и другие.
Основные цели, которые FIDO ставит перед собой, это простые в использовании, безопасные, приватные и стандартизированные решения.
На данный момент FIDO представили два стандарта: U2F (Universal Second Factor) — универсальный второй фактор, UAF (Universal Authentication Framework) — универсальный аутентификационный фреймворк для биометрической аутентификации. Сегодня мы поговорим о U2F. Если тема будет интересна, то в будущем я могу написать статью по UAF.
U2F это открытый, бездрайверный протокол для двухфакторной аутентификации, основанный на вызов-ответной аутентификации с помощью электронной цифровой подписи.
У U2F протокола три уровня абстракции: Пользователь, Браузер(тех. Клиент) и сам Протокол.
Пользователь
Для пользователя все достаточно просто. Пользователь вводит логин и пароль, вставляет U2F устройство, нажимает кнопку и успешно проходит аутентификацию. Собственно об этом ранее уже писали на ХабраХабре.
Браузер
Алгоритм взаимодействия с U2F на стороне браузера такой:
Пользователь проходит верификацию логина и пароля
Зависимая сторона, Google например, через U2F JS API запрашивает подпись вызова(challenge)
- Браузер пересылает запрос устройству
Если пользователь подтвердил, например с помощью нажатия кнопки или иным образом, свое желание произвести двухфакторную аутентификацию, то устройство возвращает подпись вызова
Шаг первый — Вызов-Ответ
Для начала мы производим простой вызов-ответ. Сервер посылает нам случайный вызов. Наше устройство подписывает вызов и возвращает подпись серверу, после чего сервер сверяет подпись.
Шаг второй — Защита от фишинга
Подписываем оригинальный URL и Channel ID
Сам по себе вызов-ответ не решает проблемы фишинга, так как если вы залогинились на rnail.ru вместо mail.ru, то ваша подпись все еще может быть использована для входа в ваш аккаунт. Для защиты от этого браузер к вызову добавляет URL, с которого был произведен запрос на подпись, и ID канала TLS, после чего зависимая сторона сверяет эти данные.
Шаг третий — Приватность или регистрационно-зависимая пара ключей
Генерируем регистрационно-зависимую пару
На данный момент наше устройство подписывает все одной парой ключей. Это создает проблему для приватности, в связи с тем что публичный ключ будет везде одинаковый. Для примера скажем если бы вы были зарегистрированы на печально известном AshleyMadison.com, то атакующий мог бы связать слитый публичный ключ и ваши другие аккаунты и потенциально причинить физический и моральный вред.
Чтобы сохранить приватность при регистрации, зависимая сторона передает ID приложения (AppID) и семя (случайное число). На основе этих данных устройство генерирует уникальную регистрационно-зависимую пару ключей. Как устройство генерирует пару не описано в протоколе, а полностью отдано на усмотрение изготовителя устройства. Например, каждый Yubikey имеет свой мастер ключ, который в связке с HMAC и ГПСЧ (Генератор псевдослучайных чисел) генерирует новую пару.
https://developers.yubico.com/U2F/Protocol_details/Key_generation.html
За счет того, что пара ключей уникальна для каждой регистрации, становится возможным использовать совместно одно U2F устройство для множества аккаунтов.
Шаг четвертый — Защита от клонирования
Так как U2F это только протокол, то он может иметь разные имплементации, в железе и ПО. Некоторые имплементации могут быть не устойчивыми к клонированию. Для защиты от этого U2F устройство имеет встроенный счетчик. Каждая подпись и регистрация увеличивает состояние счетчика на единицу. Состояние счетчика подписывается и возвращается зависимой стороне. Если U2F устройство было склонировано, то состояние счетчика клонированного устройства скорее всего будет меньше чем состояние счетчика оригинального устройства, что вызовет ошибку во время верификации.
Шаг пятый— Аттестация Ключа
Разные имплементации протокола могут быть быть небезопасны. Чтобы избежать этого, каждое U2F устройство имеет встроенный партийный сертификат, который устанавливается приблизительно на каждые сто тысяч устройств. Каждая подпись и регистрация дополнительно подписывается сертификатом, публичный ключ которого находится в публичной директории.
Зачем это надо? Например, если вы — форум о котятах, то вы возможно не сильно волнуетесь о том, насколько безопасны U2F устройства ваших пользователей, а если вы банк, то возможно вы разрешите только устройства, выполненные в железе, и только если они сертифицированы FIDO альянсом.
Шаг шесть с половиной — Защита от перебора
В ситуации, когда пользователь находится вдали от своего устройства, вредоносное программное обеспечение может попытаться атаковать устройство методом полного перебора или другими видами атак. Для защиты от этого U2F стандарт требует чтобы все имплементации, в железе и ПО, активировались пользователем. Пользователь обязан подтвердить свое решение на двухфакторную аутентификацию. Этим действием может быть простое нажатие на кнопку, ввод пин-кода, снятие отпечатка пальца или другое.
Сервисы с множественными точками входа
Возьмем для примера Gmail.
В Gmail можно войти как с веб интерфейса, так и с мобильного. Как можно произвести авторизацию пользователя с андроид приложения, если AppID нашего приложения и AppID сервиса будут различаться?
Для этого есть фасеты (facets).
Фасеты — это JSON файл со списком всех ID, которым разрешается производить аутентификацию для выбранного сервиса. Для примера, вот фасеты Google:
{
"trustedFacets": [{
"version": { "major": 1, "minor" : 0 },
"ids": [
"https://accounts.google.com",
"https://myaccount.google.com",
"https://security.google.com",
"android:apk-key-hash:FD18FA800DD00C0D9D7724328B6...",
"android:apk-key-hash:Rj6gA3QDA2ddyQyi21JXly6gw9...",
"ios:bundle-id:com.google.SecurityKey.dogfood"
]
}]
}Фасеты должны быть в том же доменном пространстве что и AppID. Например, если наше AppID это https://example.com/facets.json, то https://**security**.example**.com пройдет проверку, а https://security.example.net **нет.
Для мобильных приложений фасеты имеют URI схему вида “OS:TYPE:ID”. Для андроида вычисляется SHA-1 сертификата подписи apk. Для IOS это bundle ID.
Фасеты обязаны раздаваться по HTTPS!
Спецификации
На данный момент готовы спецификации для USB, NFC и Bluetooth LE.
Поддержка браузерами
Chrome поддерживает U2F из коробки с начала 2015. U2F поддержка в Firefox в данный момент в активной разработке. Microsoft анонсировала поддержку U2F как для Windows 10 так и для Edge как часть FIDO2.0 стека, и она уже доступна в Insider Build.
Кто использует?
Google, Github, WordPress, Dropbox, Evernote. Правительство Великобритании недавно ввело поддержку U2F для своих государственных сайтов, что немало доставляет.
Что нужно учесть при переходе на U2F?
HTTPS ОБЯЗАТЕЛЕН —мало того, что если вы не предоставляете HTTPS своим пользователям, то вас не заботит их безопасность, и U2F вам будет мало интересен. Firefox, Chrome, и Edge требуют HTTPS соединения для использования U2F API.
Попробуйте TLS SessionID.
- U2F это второй фактор. Не будьте как банки. Не используйте 2FA как основной фактор.
Подводим итоги
U2F это хорошо продуманная, сильная, открытая и стандартизированная технология. Она была успешно протестирована Google на своих сотрудниках, кои используют U2F на данный момент в качестве основного метода двухфакторной аутентификации.
U2F всего лишь протокол, что влечет за собой создание огромного рынка решений на основе его. От крипто-ключей с безопасным элементом, JavaCard имплементаций, до мобильных приложений и биометрически-защищенных U2F устройств, U2F дает свободу вашей фантазии втом, где его можно применить.
Примечания
Если вы хотели бы больше узнать о U2F и его внедрении, а так же о других решениях FIDO альянса, пишите в комментариях.
Физические U2F ключи безопасности — Что это?
Автор Исхаков Максим На чтение 4 мин. Просмотров 171 Опубликовано Обновлено
Физические U2F ключи безопасности пока не являются очень популярным способом аутентификации личности пользователя на веб-сайтах и во многих службах. Однако, в сочетании с двухэтапной проверкой, они являются лучшим способом защиты учетных записей во многих службах от несанкционированного доступа.
Главное – безопасность
Нужно помнить, что основой онлайн-безопасности является надежный пароль, состоящий из большого количества случайных символов (букв, цифр, символов). Но запомнить их нелегко, особенно если вы используете уникальный пароль в каждой услуге. Во многих службах и на веб-сайтах вы также можете активировать двухэтапную проверку на годы. Благодаря этому, помимо стандартного логина и пароля для входа в систему, пользователю нужно каждый раз вводить генерируемый токен, который обычно отправляется в виде текстового сообщения, но может быть сгенерирован мобильными приложениями, такими как Google Authenticator или LastPass Authenticator.
Дополнительные уровни безопасности повысили безопасность учетных записей пользователей, особенно если по разным причинам (чаще всего лень) они не использовали надежные пароли. Однако необходимость предоставления дополнительного кода многим людям может показаться настолько обременительной, поэтому они все еще не используют двухэтапную проверку. И это ошибка, которая может иметь плачевные последствия.
Киберпреступники не спят
Киберпреступники изобретают все новые способы обмана для кражи конфиденциальной информации о пользователях интернета. Наиболее желательными являются входные данные в систему электронных банковских услуг, но кража личных данных также используется для вымогательства денег у жертвы и его друзей. Фишинг, атаки на незащищенные беспроводные сети и вредоносные программы – это лишь часть арсенала киберпреступников.
Поэтому включение двухэтапной проверки чрезвычайно важно и ее использование может быть упрощено с помощью физических ключей безопасности U2F. Это, конечно, не освобождает от необходимости использовать надежные пароли, но благодаря такому решению, нет необходимости создавать и перезаписывать коды, подтверждающие личность пользователей.
На видео: Как защитить аккаунт Google c помощью Рутокен U2F?
Ключ защиты
Физические ключи безопасности являются очень эффективной формой защиты учетных записей на веб-сайтах и сервисах от нежелательного доступа. В то же время, они очень удобны в использовании. Подавляющее большинство из них похожи на обычные флешки, поэтому их легко носить с собой. Такие устройства не требуют установки драйверов и программного обеспечения. Просто подключите их к USB-порту компьютера, чтобы иметь возможность входить на веб-сайты и сервисы. Некоторые модели также поддерживают технологию NFC, которая позволяет использовать их совместно со смартфоном.
Физические U2F ключи безопасности позволяют войти во многие службы, включая Facebook, Gmail, Twitter, Onet Mail, Dropbox и многое другое.
U2F (Universal 2nd Factor) – это открытый стандарт, используемый многими производителями ключей безопасности. Он обеспечивает очень высокий уровень безопасности, благодаря использованию кодов, генерируемых современными алгоритмами шифрования. Они генерируют специальные коды при настройке ключа на выбранном сайте. Такие ключи уникальны для каждой услуги и хранятся исключительно на устройстве (они передаются только с целью проверки личности пользователя).
Использование U2F ключей чрезвычайно удобно и безопасно. Однако это связано с некоторыми неудобствами. Самыми большими из них являются цена и доступность. Такие ключи редко можно встретить в популярных магазинах, поэтому необходимо посетить магазины, специализирующиеся на безопасности. Перед использованием U2F ключа, вы также должны убедиться, что используемая вами служба практикует различные формы двухэтапной проверки. Это гарантирует, что в случае утери устройства вы сможете войти в систему.
Ключ Keydo Fido U2F
Ключ Keydo Fido U2F – это компактное устройство для более эффективной защиты данных. Просто используйте ключ Keydo при каждом входе на сайт. Двухэтапный процесс верификации работает значительно быстрее, чем ввод одноразового кода доступа, а сам ключ не требует подключения к интернету. Это позволит защитить пользователя от наиболее распространенного вида атак, например, фишинг.
U2F для диванного тролля | GeekBrains
Как двухфакторная аутентификация добралась до пользователей мобильных девайсов.
https://d2xzmw6cctk25h.cloudfront.net/post/178/og_cover_image/25009bf356d470796eca90a398d80fce
Источник изображения: telemundo.com.
В начале октября известный российский поставщик продуктов в области информационной безопасности (ИБ) «Аладдин Р.Д.» представил широкой общественности свой новый продукт – USB-токен Jacarta U2F для двухфакторной аутентификации. Нельзя сказать, что разработка и выпуск продуктов подобного функционала для этой компании что-то новое, скорее, наоборот: в ее портфеле уже находится внушительный список решений, ориентированных, прежде всего, на корпоративных пользователей.
И вот из недр её лабораторий выдан на-гора продукт, предназначенный для персонального использования владельцами стационарных и мобильных устройств. Трудно сказать, первое это предложение для российского рынка на базе стандарта U2F или нет. Но Jacarta станет в силу рыночного авторитета «Аладдин Р.Д.» и по своим потребительским свойствам востребована. И дело здесь даже не в том, что обычно безалаберные и беспечные пользователи вдруг озаботились своей безопасностью при работе с веб-сервисами.
Отечественная действительность говорит об обратном – пока очень известная птица не клюнет в не менее известное место, менять свой привычный образ действий в сети мало кто станет. Должно произойти что-то экстраординарное (взлом интернет-банка, фишинговая атака, кража паролей и т.д.), чтобы диванный тролль стал вникать в тему ИБ. А элементарная безграмотность приводит к тому, что им нечего возразить господам Сноудену и Ассанджу и они покорно принимают на веру то, что информационная безопасность – это пустой звук.
Но практический опыт ИБ-специалистов, полученный при защите государственных тайн и коммерческих секретов, говорит – свои приватные данные можно и нужно охранять. И как театр начинается с вешалки, безопасность начинается с идентификации и аутентификации. А еще точнее с того, как офицеры безопасности обучили персонал хранить идентификационные данные.
В любом офисе всего пару лет назад можно было найти монитор, увешанный стикерами с логинами и паролями. Этот уникальный опыт борьбы со склерозом пользователь перенимал и приносил домой. Но если периметр корпоративной ИТ-инфраструктуры был надежно защищен (хотя защиты от дурака еще так никто и не создал), то небрежное отношение к безопасности персональных устройств приводило от вымогательства денег за разблокировку накопителя до визита спецслужб по поводу проведения DDoS атаки с этого IP-адреса.
Но, хорошо ли это или плохо, времена меняются. Победа мобильной революции уже никем не обсуждается. В бизнесе уже стало хорошим тоном принятие концепции BYOD – «принеси на рабочее место своё мобильное устройство». И дело здесь не столько в заботе о владельцах гаджетов, сколько в том, что это позволяет предпринимателям экономить деньги и развивать совершенно новые бизнес-процессы. И вот тут выяснилось, что никакого периметра безопасности вокруг офиса уже нет. Офис там, где мобильный сотрудник вышел в сеть.
В самом начале триумфа BYOD мобильные гаджеты выдавались сотрудникам после обучения и установки на устройство специализированных средств безопасности. Наличие такого защищенного смартфона, как BlackBerry, тогда было признаком статусности, как сейчас – появление в офисе с открытым всем угрозам, но пафосным планшетом от сами знаете кого.
Как показывает мировой опыт, попытки установить на подобные устройства элементарные средства ИБ — шифрование накопителя или систему PKI, встречались сотрудниками в штыки. Для большинства из них это было слишком сложно и непривычно. При этом в каждой организации существовал свой набор средств безопасности, а для обучения и приучения людей требуется что-то простое и унифицированное. Причем, бизнес готов поддержать всё это своими инвестициями.
Удачным выходом из ситуации стала активность публичных веб-сервисов, не входящих в корпоративные сети – Google, PayPal и т.д., страдающих от вала хакерских атак.
Им стал стандартный протокол U2F, разработанный альянсом Fast IDentity Online (FIDO, образован в 2013 г.) для безопасной строгой аутентификации пользователя без ручного ввода паролей. На сегодняшний день FIDO объединяет ведущие технологические компании-разработчики (Google, Microsoft, RSA, Samsung и др.), крупные финансовые и платёжные структуры (Bank of America, MasterCard, VISA, PayPal и др.), поставщиков популярных онлайновых услуг (Google, Microsoft, Alibaba и др.).
В принципе, любой веб-ресурс, на стороне которого развернут сервер, поддерживающий стандарты FIDO. Токен JaCarta U2F обеспечивает безопасную аутентификацию владельца к определенным онлайн-ресурсам. При первом обращении к ресурсу пользователь должен пройти регистрацию, введя логин и пароль. Затем токен генерирует ключевую пару для аутентификации на данном ресурсе и передает открытый ключ на U2F-сервер сервиса. Сервер формирует идентификатор ресурса и идентификатор ключевой пары аутентификации и передает их токену.
При подключении к веб-сервису, где его U2F-токен уже зарегистрирован, после ввода логина и пароля (единых для всех ресурсов) U2F-сервер ресурса cформирует дополнительный запрос к токену. Нажатием на кнопку, пользователь подтвердит обращение к ресурсу и токен выбирает нужную ключевую пару, на закрытом ключе подписывает запрос и отправляет его U2F-серверу, который проверяет подпись и предоставляет или запрещает доступ.
На словах это кажется несколько сложно, но на практике обычно проблем не возникает. Устройство надежно работает и защищает от целого набора специфических угроз. При этом не требуется никаких разрешений от ФСБ, что серьезно ограничивает применение иных средств аутентификации.
Нет необходимости в инфраструктуре открытых ключей (PKI), сертификатах, удостоверяющих центрах и всяческом администрировании. Если все элементы, от операционной системы до конкретного веб-сервиса, поддерживают U2F, процедура двухэтапной авторизации очень проста и не требует стороннего вмешательства. Jacarta U2F можно использовать и с мобильными устройствами. В Android для этого требуется поддержка USB OTG, соединение осуществляется через OTG-кабель (также есть версии Jacarta U2F с коннектором Micro-USB). В iOS можно использовать Camera Connection Kit.
Вот таким неожиданным образом объединились усилия грандов мировой ИТ- и Интернет-индустрии, производителей оборудования и служб корпоративной безопасности. Появляются все условия для того, чтобы совместными усилиями приучить владельцев как персональных устройств, так мобильных систем к довольно простым манипуляциям со стандартными токенами как при работе с публичными сервисами, так и корпоративными ресурсами.
А дальше дело пойдет как с бумажными стикерами. Получив опыт использования токенов, владельцы устройств начнут популяризировать свои навыки, и технология уйдет в массы. И на определенном этапе двухфакторная идентификация станет единственно возможной, как в корпоративном, так и в публичном секторах. К чему однажды привык, от того трудно отказаться.
Тем, кто хочет разрабатывать под мобильные устройства, рекомендуем профессию «Разработчик мобильных приложений».
Аутентификация Fido U2f Универсальный 2-й Фактор
FIDO U2F универсальная 2-я факторная аутентификация
Описание продукта:
ESECU FIDO U2F универсальная 2-я факторная аутентификация
ESECU USB U2F ключ безопасности является аппаратным аутентификатором, соответствующим универсальному стандарту второго фактора (U2F). Добавив такой ключ к логину пользователя, онлайн-услуги значительно повышают безопасность существующей паролей. Пользователи меньше беспокоятся о том, что их учетная запись украдена фишингом, взломом или вирусами. Просто нажав на кнопку, пользователи могут легко аутентифицировать все свои U2F-enabled сервисы и приложения (например, приложения Google) с одним устройством.
Особенности
LFIDO U2F Сертифицированный
LОпределяет как стандартное USB HID устройство
LНе требуется устанавливать клиентское программное обеспечение или драйверы
LМаленький, легкий и водостойкий
LНа основе открытого ключа шифрования кода коррекции ошибок p256
LПоддерживает браузер Chrome на Windows, Mac и Linux
LРаботает с любым сервисом, поддерживающим FIDO U2F, таким как Gmail, Dropbox, GitHub, Dashlane……
Фото
Как работает FIDO U2F универсальная 2-я факторная аутентификация?
Регистр
1)Войдите в веб-службы, которые поддерживают FIDO U2F с вашим именем пользователя и паролем, как обычно.
2)ВставкаEsecu FIDOКлюч в usb-порте.
3)Добавьте ключ безопасности для того, чтобы Ваш аккаунт по у
Как реализовать FIDO U2F с помощью API Webauthn?
Переполнение стека
- Около
Продукты
- Для команд
Переполнение стека
Общественные вопросы и ответыПереполнение стека для команд
Где разработчики и технологи делятся частными знаниями с коллегамиВакансии
Программирование и связанные с ним технические возможности карьерного ростаТалант
Нанимайте технических специалистов и создавайте свой бренд работодателяРеклама
Обратитесь к разработчикам и технологам со всего мира- О компании
.
новых вопросов о ‘fido-u2f’ — qaru
Переполнение стека
- Около
Продукты
- Для команд
Переполнение стека
Общественные вопросы и ответыПереполнение стека для команд
Где разработчики и технологи делятся частными знаниями с коллегамиВакансии
Программирование и связанные с ним технические возможности карьерного ростаТалант
Нанимайте технических специалистов и создавайте свой бренд работодателяРеклама
Обратитесь к разработчикам и технологам со всего мира- О компании
Загрузка…
- Авторизоваться
.