Wielu użytkowników nadal nie zdaje sobie sprawy z tego jak łatwo jest ukraść hasło. Dane logowania mogą wyciec z serwisów społecznościowych, sklepów internetowych czy innych miejsc w sieci. Wyciek haseł jest największym zagrożeniem dla użytkowników stosujących to samo hasło w różnych miejscach, a w szczególności dla tych, którzy jako identyfikator podali swój adres poczty elektronicznej. Cyberprzestępcy nierzadko korzystają z chmury publicznej, aby złamać hasło za pomocą metody brute-force (próbując wszystkich kombinacji znaków w haśle) czy słownikowej (opierając się na zasadach i słownictwie w danym języku).
Dużo trudniej jest ukraść telefon lub inne urządzenie pozwalające na uwierzytelnianie dodatkowym składnikiem. Takimi urządzeniami są również klucze bezpieczeństwa (security key) czyli urządzenia przenośne, które użytkownik podłącza np. do portu USB swojego komputera w trakcie procesu uwierzytelniania. Dzięki zastosowaniu MFA możemy czuć się dużo bardziej bezpieczni niż używając jedynie nazwy użytkownika i hasła logowania.
Na pewno spotkaliście się ze skrótami U2F czy WebAuth w podczas wertowania informacji związanych z bezpieczeństwem i uwierzytelnianiem. Czym właściwie są te pojęcia? Z czym się wiążą? Postaramy się rozwiać choć w części pytania z tego obszaru.
Universal 2nd Factor (U2F) jest otwartym standardem, który umożliwia i upraszcza uwierzytelnianie dwuskładnikowe (2FA) przy użyciu wyspecjalizowanych urządzeń USB lub urządzeń mogących komunikować się przez interfejs NFC. Podobne technologie zabezpieczeń można znaleźć w kartach inteligentnych (ang. smart cards). Urządzenia takie zwane są nierzadko kluczami bezpieczeństwa.
Następcą projektu U2F jest FIDO2, który obejmuje standard W3C Web Authentication (WebAuthn) i FIDO Alliance's Client to Authenticator Protocol 2 (CTAP2).
U2F został opracowany początkowo przez firmy Yubico i Google, a następnie standard włączono do FIDO Alliance. FIDO Alliance to stowarzyszenie założone w 2013 r., którego misją jest rozwijanie i promowanie standardów uwierzytelniania. Członkami założycielami tego stowarzyszenia są PayPal, Lenovo, Nok Nok Labs, Inc., Infineon, Validity Sensors Inc, Agnitio.
Protokół U2F został zaprojektowany jako drugi element wzmacniający bezpieczeństwo w logowaniu opartym na podstawowym zestawie danych: nazwie użytkownika i haśle. Opiera się na wynalezieniu przez Yubico takiego modelu klucza publicznego, w którym nowa para kluczy jest generowana dla każdej usługi, do której użytkownik chce się zalogować. Cała idea pozwala na obsługiwanie przez jedno urządzenie praktycznie nieograniczonej liczby usług przy zachowaniu najwyższego stopnia prywatności.
W wielkim skrócie i upraszczając: standard FIDO2 to ewolucja FIDO U2F bez używania hasła. Założeniem standardu FIDO2 jest zapewnienie rozszerzonego zestawu funkcji, przy czym głównym elementem są procesy pozwalające na logowanie do usługi (aplikacji) bez użycia hasła. Model U2F jest nadal podstawą dla FIDO2, a kompatybilność z istniejącymi wdrożeniami U2F jest zapewniona w specyfikacji FIDO2.
W ramach projektu W3C opracowano nowy interfejs programistyczny API uwierzytelniania internetowego, nazwany WebAuthn, który obsługuje istniejące założenia FIDO U2F i FIDO2.
Protokół po stronie klienta FIDO U2F został nazwany CTAP1, a natomiast protokół klient-dostawca metody uwierzytelnienia został określony jako CTAP2.
Protokół ten został opracowany, aby umożliwić zewnętrznym dostawcom narzędzi/metod uwierzytelniania (takich jak telefony, tokeny, karty inteligentne itp.) połączenie z obsługą FIDO2 przeglądarek i systemów operacyjnych.
Rublon (https://rublon.com) w pełni obsługuje klucze bezpieczeństwa pracujące w standardach WebAuthn i U2F. Niebawem możemy się spodziewać upowszechniania samodzielnych urządzeń, które dodatkowo weryfikować przy użyciu danych biometrycznych. Sfałszowanie czyjegoś odcisku palca (ba, może i wzoru siatkówki oka) jest bardzo trudne (ale nie niemożliwe). Podobne metody uwierzytelniania możemy odnaleźć w wielu modelach notebooków biznesowych, które pozwalają na logowanie się do systemu po weryfikacji odciska palca.
Stina Ehrensvard, What is FIDO2, https://www.yubico.com/blog/what-is-fido2/
Wikipedia, https://en.wikipedia.org/wiki/Universal_2nd_Factor
Ustawa z dnia 13 września 1996 roku o utrzymaniu czystości i porządku w gminach.
Ustawa z dnia 10 maja 2018 roku o ochronie danych osobowych.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
