U2F giải thích cách Google và các công ty khác tạo mã thông báo bảo mật toàn cầu
U2F là một tiêu chuẩn mới cho mã thông báo xác thực hai yếu tố phổ quát. Các mã thông báo này có thể sử dụng USB, NFC hoặc Bluetooth để cung cấp xác thực hai yếu tố trên nhiều dịch vụ khác nhau. Nó đã được hỗ trợ trong các tài khoản Chrome, Firefox và Opera cho các tài khoản Google, Facebook, Dropbox và GitHub.
Tiêu chuẩn này được hỗ trợ bởi liên minh FIDO, bao gồm Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America và nhiều công ty lớn khác. Hy vọng mã thông báo bảo mật U2F sẽ sớm xuất hiện ở mọi nơi.
Một cái gì đó tương tự sẽ sớm trở nên phổ biến hơn với API xác thực web. Đây sẽ là API xác thực tiêu chuẩn hoạt động trên tất cả các nền tảng và trình duyệt. Nó sẽ hỗ trợ các phương thức xác thực khác cũng như các phím USB. API xác thực web ban đầu được gọi là FIDO 2.0.
Nó là gì?
Xác thực hai yếu tố là một cách thiết yếu để bảo vệ các tài khoản quan trọng của bạn. Theo truyền thống, hầu hết các tài khoản chỉ cần một mật khẩu để đăng nhập - đó là một yếu tố, một cái gì đó bạn biết. Bất cứ ai biết mật khẩu đều có thể vào tài khoản của bạn.
Xác thực hai yếu tố đòi hỏi một cái gì đó bạn biết và một cái gì đó bạn có. Thông thường, đây là tin nhắn được gửi đến điện thoại của bạn qua SMS hoặc mã được tạo qua ứng dụng như Google Authenticator hoặc Authy trên điện thoại của bạn. Ai đó cần cả mật khẩu của bạn và truy cập vào thiết bị vật lý để đăng nhập.
Nhưng xác thực hai yếu tố không dễ như mong muốn và nó thường liên quan đến việc nhập mật khẩu và tin nhắn SMS vào tất cả các dịch vụ bạn sử dụng. U2F là một tiêu chuẩn chung để tạo mã thông báo xác thực vật lý có thể hoạt động với bất kỳ dịch vụ nào.
Nếu bạn quen thuộc với Yubikey - một khóa USB vật lý cho phép bạn đăng nhập vào LastPass và một số dịch vụ khác - bạn sẽ quen với khái niệm này. Không giống như các thiết bị Yubikey tiêu chuẩn, U2F là một tiêu chuẩn phổ quát. Ban đầu, U2F được tạo bởi Google và Yubico hợp tác.
Làm thế nào nó hoạt động?
Hiện tại, các thiết bị U2F thường là các thiết bị USB nhỏ mà bạn cắm vào cổng USB của máy tính. Một số trong số chúng có hỗ trợ NFC để chúng có thể được sử dụng với điện thoại Android. Nó dựa trên công nghệ bảo mật thẻ thông minh hiện có của người dùng. Khi bạn cắm nó vào cổng USB của máy tính hoặc chạm vào điện thoại, trình duyệt trên máy tính của bạn có thể giao tiếp với khóa bảo mật USB bằng công nghệ mã hóa bảo mật và cung cấp phản hồi chính xác cho phép bạn đăng nhập vào trang web.
Bởi vì điều này chạy như một phần của chính trình duyệt, điều này mang đến cho bạn một số cải tiến bảo mật tốt so với xác thực hai yếu tố điển hình. Đầu tiên, trình duyệt kiểm tra để đảm bảo nó liên lạc với trang web thực bằng mã hóa, do đó người dùng sẽ không bị lừa nhập mã hai yếu tố của họ vào các trang web lừa đảo giả mạo. Thứ hai, trình duyệt gửi mã trực tiếp đến trang web, vì vậy kẻ tấn công ngồi giữa không thể nắm bắt mã hai yếu tố tạm thời và nhập mã trên trang web thực để có quyền truy cập vào tài khoản của bạn.
Trang web cũng có thể đơn giản hóa mật khẩu của bạn - ví dụ: một trang web hiện có thể yêu cầu bạn nhập mật khẩu dài và sau đó là mã hai yếu tố, cả hai đều phải nhập. Thay vào đó, với U2F, một trang web có thể yêu cầu bạn nhập mã PIN gồm bốn chữ số mà bạn phải nhớ và sau đó yêu cầu bạn nhấn một nút trên thiết bị USB hoặc chạm vào điện thoại để đăng nhập.
Liên minh FIDO cũng đang làm việc trên UAF, không yêu cầu mật khẩu. Ví dụ: nó có thể sử dụng cảm biến vân tay trên điện thoại thông minh hiện đại để xác thực bạn với các dịch vụ khác nhau.
Bạn có thể đọc thêm về tiêu chuẩn trên trang web của liên minh FIDO.
Nó được hỗ trợ ở đâu?
Google Chrome, Mozilla Firefox và Opera (dựa trên Google Chrome) là những trình duyệt duy nhất hỗ trợ U2F. Nó hoạt động trên Windows, Mac, Linux và Chromebook. Nếu bạn có mã thông báo U2F vật lý và sử dụng Chrome, Firefox hoặc Opera, bạn có thể sử dụng nó để bảo mật tài khoản Google, Facebook, Dropbox và GitHub của mình. Các dịch vụ lớn khác chưa hỗ trợ U2F.
U2F cũng hoạt động với trình duyệt Google Chrome trên Android, giả sử bạn có khóa USB tích hợp hỗ trợ NFC. Apple không cho phép ứng dụng truy cập vào phần cứng NFC, do đó, điều này sẽ không hoạt động trên iPhone.
Mặc dù các phiên bản ổn định hiện tại của Firefox có hỗ trợ U2F, mặc định nó bị vô hiệu hóa. Bạn sẽ cần kích hoạt tùy chọn Firefox ẩn để kích hoạt hỗ trợ U2F vào lúc này.
Hỗ trợ cho các khóa U2F sẽ trở nên phổ biến hơn khi API Xác thực Web tắt. Nó thậm chí sẽ hoạt động trong Microsoft Edge.
Làm thế nào bạn có thể sử dụng nó
Bạn chỉ cần một mã thông báo U2F để bắt đầu. Google hướng dẫn bạn tìm kiếm trên Amazon để tìm FIDO U2F Security Key khóa để tìm chúng. Chiếc đầu có giá 18 đô la và được sản xuất bởi Yubico, một công ty có lịch sử chế tạo các khóa bảo mật USB vật lý. Yubikey NEO đắt hơn bao gồm hỗ trợ NFC để sử dụng với các thiết bị Android.
Sau đó, bạn có thể truy cập cài đặt Tài khoản Google của mình, tìm trang xác minh 2 bước và nhấp vào tab Khóa bảo mật. Nhấp vào Thêm Khóa bảo mật và bạn sẽ có thể thêm khóa bảo mật vật lý mà bạn cần đăng nhập vào tài khoản Google của mình. Quá trình này sẽ tương tự đối với các dịch vụ khác hỗ trợ U2F - hãy xem hướng dẫn này để biết thêm.
Đây không phải là một công cụ bảo mật mà bạn có thể sử dụng ở mọi nơi, nhưng nhiều dịch vụ cuối cùng sẽ hỗ trợ thêm cho nó. Mong đợi những điều lớn lao từ API xác thực web và các khóa U2F này trong tương lai.