Czym jest i jak działa klucz U2F

W odcinku 12345 to nie hasło. Zadbaj o swoje dane! rozmawialiśmy z Krzyśkiem o tym, w jaki sposób podwyższyć bezpieczeństwo swoich danych w Internecie. Metodą, która znacznie podwyższa bezpieczeństwo naszych haseł nosi nazwę 2FA, czyli dwuskładnikowe uwieżytelnianie. W skrócie mówiąc, oprócz podania loginu i hasła, należy zrobić coś jeszcze. Przeanalizujmy poniższy scenariusz.

Przestępcy nie próżnują.

W dziejszych czasach, w związku z tym, że praktycznie całe swoje życie przenieśliśmy do Internetu, przestępcy muszą dopasować się do nowych regół gry. Jednym z najczęstrzych atakaów, wycelowanych w internautów jest atak o nazwie phishing, który ma na celu wyłudzić w ten, lub inny sposób poufne informacje. Atak ten ma na celu tak zmanipulować ofiarę, aby ta zrobiła to, o co wręcz prosi przestępca.

Wektor ataku.

Najbardziej powrzechnym rodzajem tego ataku jest zwabienie ofiary na fałszywy formularz logowania. Ofiara dostaje przykładowo spreparowaną przez przestępcę wiadomość e-mail, w którym czyta, że jej konto w serwisie XYZ zostało zablokowane. Instrukcje mówią, że po kliknięciu w link i przejściu procedur, konto można odzyskać. Ofiara klika w fałszywy link.

Po wejściu na podrobioną stronę, która również może mieć tzw. zieloną kłódkę w pasku adresu ukazuje się formularz do logowania, praktycznie identyczny jak ten na oryginalnej stronie. Co robi ofiara? Próbuje się logować. Podaje swój login, podaje swoje bardzo-trudne-do-zapamiętania-hasło, zapisane w menadżerze hasłeł i po wciśnięciu w przycisk ZALOGUJ, dane wędrują do przestępcy. Ten z kolei na swoim komputerze loguje się danymi ofiary (bo przecież przed chwilą nieświadomie mu je wysłała) do oryginalnego serwisu. Jeśli mamy włączone dwuskładnikowe uwieżytelnianie, przestępca zobaczy prośbę o podanie dodaktowego kodu. Co wówczas zrobi nasz haker? Poprosi Ciebie dokładnie o to samo. Ty (dalej nieświadomy) dostaniesz na maila lub SMS kod (bo przestępca przecież loguje się Twoimi danymi na prawdziwej stronie), a następnie przepiszesz go na fikcyjnym formularzu i wyślesz do przestępcy.

Czy jest jakiś lepszy sposób?

Jest. Metodą, która w 100% zabezpieczy Cię przed tego typem ataku jest klucz U2F czyli zaawansowane dwuskładnikowe uwieżytelnienie. Jest to urządzenie elektroniczne, które w trakcie logowania podpinasz do swojego komputera, autoryzując tym samym logowanie. Czym się w takim razie różni klucz U2F od popularnych kodów SMS?

O tym można byłoby napisać dobrą książkę, w której byłoby bardzo dużo technicznego bełkotu. Ograniczę się jednak do napisania w skrócie najważniejszych rzeczy. Klucz U2F należy skonfigurować z serwisem, w którym chcemy go używać. Podczas konfiguracji klucz i serwis wymieniają się bardzo sekretnymi i poważnie szyfrowanymi informacjami, dzięki czemu to wszystko ma sens. Jedną z tych informacji jest domena, czyli adres internetowy, z którym klucz jest właśnie konfigurowany. Przypomnijmy powyższy wektor ataku. Dla przykładu, podrobniona stronia niech nosi nazwę alegro.pl (przez jedno l w środku). Oryginalna i prawdziwa strona to allegro.pl i z taką domeną został skonfigurowany klucz. Logując się na fikcyjnym formularzu, nawet jeśli wyskoczy informacja z prośbą o włożenie klucza, nic się nie wydaży! Dlaczego? Bo klucz został skonfigurwoany z inną domeną. Dlatego właśnie klucz U2F daje 100% zabezpieczenie przed tego typu atakiem.

Czy są jakieś wady tego rozwiązania?

Ja na własnej skórze przekonałem się, że tak. Któregoś razu popsułem swój klucz. Normalny użytkownik raczej nie byłby wstanie tego zrobić, ale ja się uparłem i go zresetowałem (oczywiście niechcący). Efekt tego zabiegu był taki, że nie mogłem się zalogować do żadnego serwisu, z którym miałem skonfigurowany klucz. Katastrofa. Na szczęście jakoś wybrnąłem z tej sytuacji, ale ta przygoda pokazuje wprost, że należy kupić najlepiej dwa klucze. Jeden używać wtedy, gdy jest potrzebny, a drugi trzymać w sejfie, skarpecie lub innym, bezpiecznym miejscu. Alternatywą do drugiego klucza są tzw. kody bezpieczeństwa, które generują się podczas konfiguracji klucza. Należy te kody wydrukować i również gdzieś bezpiecznie schować.

Czy jest to mi potrzebne?

Na to pytanie musisz odpowiedzieć sobie sam. Przypomnijmy pewne fakty. Jeśli z sewisu X wyciekły loginy i hasła użytkowników (co dzieje się dosyć często), to jeśli mamy włączoną jakąkolwiek metodę 2FA – jesteśmy bezpieczni. Pomimo dostępu do naszego loginu i hasła, nikt do naszego konta się nie włamie. Jeśli jednak wejdziesz na spreparowaną przez przestępcę, fikcyjną stronę logowania, zwykłe 2FA Ci nie pomoże, gdyż w podrobionym formularzu podasz dodatkowy kod 2FA. Jeśli to Cię przeraża, lub jesteś tzw. łakomym kąskiem dla przestępcy, kup klucz U2F, który zabezpieczy cię w 100% przed phishingiem.