Jump to content

Универсальный 2-й фактор

Universal 2nd Factor ( U2F ) — это открытый стандарт, который усиливает и упрощает двухфакторную аутентификацию (2FA) с использованием специализированных устройств универсальной последовательной шины (USB) или устройств ближней связи (NFC) на основе аналогичной технологии безопасности, используемой в смарт-картах . [1] [2] [3] [4] [5] На смену ему пришел проект FIDO2 , который включает в себя стандарт веб-аутентификации W3C ( WebAuthn ) и FIDO Alliance ( протокол 2 клиента для аутентификации CTAP2). [6]

Первоначально стандарт был разработан Google и Yubico при участии NXP Semiconductors , но сейчас он принят FIDO Alliance. [7] [8]

Преимущества и недостатки

[ редактировать ]

Хотя одноразовые пароли, основанные на времени (TOTP) (например, 6-значные коды, сгенерированные в Google Authenticator), были значительным улучшением по сравнению с кодами безопасности на основе SMS, все еще можно было использовать ряд уязвимостей безопасности, которые U2F стремилась улучшить. Конкретно:

Сравнение проблем безопасности между TOTP и U2F
Проблема ТОТП U2F
Общий секрет
  • Передача общего секрета между сервером и пользователем в виде открытого текста или QR-кода.
  • Общий секрет может храниться на сервере в виде открытого текста.
  • Передача запроса/ответа открытого ключа
  • Закрытый ключ хранится только на аппаратном устройстве пользователя.
Атака «человек посередине»
  • Ответ в виде открытого текста уязвим для перехвата и атаки MITM, если пользователь подвергся фишингу со стороны вредоносного веб-сайта.
  • Запрос/ответ подписывается (кодирование исходного домена/веб-сайта) для предотвращения перехвата и повторного использования.
Удобство/подслушивание
  • Открытый текстовый код отображается и набирается пользователем вручную, визуально.
  • Склонен к опечаткам, ошибкам
  • Передача/создание кода аутентификации осуществляется через USB или NFC между аппаратным ключом и компьютером без ручного ввода.

Что касается недостатков, одно существенное отличие и потенциальный недостаток, который следует учитывать в отношении аппаратных решений U2F, заключается в том, что в отличие от методов общего секрета TOTP здесь нет возможности «резервного копирования» кодов восстановления или общих секретов. Если аппаратный дубликат или альтернативный аппаратный ключ не сохранен, а исходный аппаратный ключ U2F утерян, восстановление ключа невозможно (поскольку закрытый ключ существует только в аппаратном обеспечении). Поэтому для сервисов, которые не предоставляют альтернативных методов восстановления учетной записи, следует тщательно рассмотреть возможность использования U2F.

Дизайн

[ редактировать ]

Устройства USB обмениваются данными с главным компьютером с использованием протокола устройства пользовательского интерфейса (HID), по существу имитируя клавиатуру. [9] [ не удалось пройти проверку см. обсуждение ] Это позволяет пользователю избежать необходимости устанавливать специальное программное обеспечение драйвера оборудования на главный компьютер и позволяет прикладному программному обеспечению (например, браузеру) напрямую получать доступ к функциям безопасности устройства без каких-либо усилий со стороны пользователя, кроме владения и установки устройства. После установления связи приложение выполняет аутентификацию запрос-ответ на устройстве, используя методы шифрования с открытым ключом и секретный уникальный ключ устройства, встроенный в устройство. [10]

Уязвимости

[ редактировать ]

Ключ устройства уязвим для злонамеренного дублирования производителем . [11]

В 2020 году независимые исследователи безопасности нашли способ извлечь закрытые ключи из Google Titan Key, популярного аппаратного токена безопасности U2F. [12] [13] [14] Этот метод требовал физического доступа к ключу в течение нескольких часов, оборудования стоимостью несколько тысяч евро и был разрушительным для пластикового корпуса ключа. [12] [13] [14] Злоумышленники пришли к выводу, что сложность атаки означает, что людям все же безопаснее использовать ключи, чем нет. [12] [13] [14] Атака стала возможной из-за уязвимости в микрочипе A700X производства NXP Semiconductors , который также используется в токенах безопасности, производимых Feitian и Yubico , а это означает, что эти токены также уязвимы. [12] [15] Об уязвимости было ответственно раскрыто затронутым производителям, чтобы ее можно было исправить в будущих продуктах. [12] [13] [14]

Поддержка и использование

[ редактировать ]

Ключи безопасности U2F поддерживаются Google Chrome начиная с версии 38. [2] Firefox начиная с версии 57 [16] и Opera начиная с версии 40. Ключи безопасности U2F можно использовать в качестве дополнительного метода двухэтапной аутентификации в онлайн-сервисах, поддерживающих протокол U2F, включая Google, [2] Лазурный , [17] Дропбокс , [18] Гитхаб , [19] ГитЛаб , [20] Битбакет , [21] Следующее облако , [22] Фейсбук , [23] и другие. [24]

Chrome, Firefox и Opera по состоянию на 2015 год были , единственные браузеры, изначально поддерживающие U2F. Microsoft включила поддержку FIDO 2.0 для Windows 10 в платформы входа Windows Hello . [25] Microsoft Край [26] Браузер получил поддержку U2F в обновлении Windows Update за октябрь 2018 г. Учетные записи Microsoft , включая Office 365 , OneDrive и другие службы Microsoft, пока не имеют поддержки U2F. Mozilla интегрировала его в Firefox 57 и включила по умолчанию в Firefox 60. [27] [28] [29] [30] и Тандерберд 60. [31] Microsoft Edge, начиная со сборки 17723, поддерживает FIDO2. [32] Начиная с iOS и iPadOS 13.3, Apple теперь поддерживает U2F в браузере Safari на этих платформах.

Технические характеристики

[ редактировать ]
Эволюция стандарта протокола U2F

Стандарт U2F претерпел два основных изменения:

  • Предлагаемый стандарт U2F 1.0 (9 октября 2014 г.) [33]
  • Предлагаемый стандарт U2F 1.2 (11 апреля 2017 г.) [34]

Дополнительные документы со спецификациями можно получить на веб-сайте FIDO. [35]

Предлагаемый стандарт U2F 1.0 (9 октября 2014 г.) стал отправной точкой для недолговечной спецификации, известной как Предлагаемый стандарт FIDO 2.0 (4 сентября 2015 г.). Последний был официально представлен Консорциуму Всемирной паутины (W3C) 12 ноября 2015 года. [36] Впоследствии, 31 мая 2016 года, был опубликован первый рабочий проект стандарта веб-аутентификации W3C ( WebAuthn ). С тех пор стандарт WebAuthn неоднократно пересматривался и 4 марта 2019 года стал рекомендацией W3C.

Между тем предлагаемый стандарт U2F 1.2 (11 апреля 2017 г.) стал отправной точкой для предлагаемого стандарта протокола клиент-аутентификатор (CTAP), который был опубликован 27 сентября 2017 г. FIDO CTAP дополняет W3C WebAuthn, оба из которых находятся в сфере применения. Проект ФИДО2 .

WebAuthn и CTAP обеспечивают полную замену U2F, который в последней версии стандарта FIDO2 был переименован в «CTAP1». [37] Протокол WebAuthn обратно совместим (через расширение AppID) с ключами безопасности только U2F. [38] но протокол U2F несовместим с аутентификатором только для WebAuthn . [39] [40] [37] Некоторые аутентификаторы поддерживают как U2F, так и WebAuthn, в то время как некоторые клиенты WebAuthn поддерживают ключи, созданные с помощью устаревшего API U2F. [ нужна ссылка ]

Ссылки

[ редактировать ]
  1. ^ Тернер, Адам (5 ноября 2014 г.). «Ключи безопасности Google могут обеспечить дополнительный уровень онлайн-защиты» . Сидней Морнинг Геральд . Фэрфакс Медиа . Проверено 28 ноября 2014 г.
  2. ^ Jump up to: а б с «Какие браузеры поддерживают U2F?» . Юбико. Архивировано из оригинала 18 августа 2017 года . Проверено 17 августа 2017 г.
  3. ^ Брэдли, Тони (21 октября 2014 г.). «Как USB-накопитель может устранить проблемы, связанные с двухфакторной аутентификацией» . ПКМир . IDG для потребителей и малого и среднего бизнеса . Проверено 28 ноября 2014 г.
  4. ^ «ФИДО Универсальный 2-й фактор» . Юбико АБ . Проверено 28 ноября 2014 г.
  5. ^ Диалло, Амаду (30 ноября 2013 г.). «Google хочет сделать ваши пароли устаревшими» . Форбс . Проверено 28 ноября 2014 г.
  6. ^ Осьминог, Шифр. «Углубленное руководство по протоколам FIDO: U2F, UAF и WebAuthn (FIDO2)» . blog.strongkey.com . Проверено 9 марта 2021 г.
  7. ^ «FIDO Alliance – скачать спецификации» . Альянс ФИДО . Проверено 19 октября 2017 г.
  8. ^ Кребс, Брайан (14 октября 2014 г.). «Аккаунты Google теперь поддерживают электронные ключи» . Кребс о безопасности . Проверено 28 ноября 2014 г.
  9. ^ «Спецификация протокола FIDO U2F HID» . Альянс ФИДО . 9 октября 2014 года . Проверено 24 июля 2018 г.
  10. ^ «Генерация ключей» . Юбико . Проверено 31 июля 2018 г.
  11. ^ Гаспер, Питер (27 июня 2024 г.). «Создание идентичных аппаратных ключей безопасности U2F» . Мальгрегатор . Проверено 28 июня 2024 г.
  12. ^ Jump up to: а б с д и «Хакеры могут клонировать ключи Google Titan 2FA, используя побочный канал в чипах NXP» . Арс Техника . 08.01.2021 . Проверено 13 января 2021 г.
  13. ^ Jump up to: а б с д Чимпану, Каталин (08 января 2021 г.). «Новая атака по побочному каналу может восстановить ключи шифрования из ключей безопасности Google Titan» . ЗДНет . Проверено 13 января 2021 г.
  14. ^ Jump up to: а б с д «Исследователи показывают, что ключи безопасности Titan от Google можно клонировать» . Неделя Безопасности . 11 января 2021 г. Проверено 13 января 2021 г.
  15. ^ Даклин, Пол (11 января 2021 г.). «Ключи безопасности Google Titan взломаны французскими исследователями» . Голая охрана . Проверено 13 января 2021 г.
  16. ^ Джей Си Джонс (4 апреля 2019 г.). «Поддержка обратной совместимости FIDO U2F скоро появится в Firefox» . Блог по безопасности Mozilla.
  17. ^ «Параметры беспарольной аутентификации для Azure Active Directory» . Проверено 14 апреля 2021 г.
  18. ^ Хейм, Патрик; Патель, Джей (12 августа 2015 г.). «Представляем поддержку U2F для безопасной аутентификации» . Блог Dropbox . Проверено 12 августа 2015 г.
  19. ^ Олсен, Риск (1 октября 2015 г.). «GitHub поддерживает универсальную двухфакторную аутентификацию» . github.com/блог . Гитхаб . Проверено 1 октября 2015 г.
  20. ^ Нвайгве, Амара (22 июня 2016 г.). «Поддержка универсальной двухфакторной аутентификации» . Блог GitLab . Проверено 9 июля 2016 г.
  21. ^ Келлс, Ти Джей (22 июня 2016 г.). «Универсальный 2-й фактор (U2F) теперь поддерживается в Bitbucket Cloud» . Блог Битбакета . Проверено 22 июня 2016 г.
  22. ^ «Nextcloud 11 устанавливает новый стандарт безопасности и масштабируемости» . Следующее облако. 13 декабря 2016 года . Проверено 23 декабря 2016 г.
  23. ^ «Ключ безопасности для более безопасного входа в систему одним касанием» . Фейсбук . Проверено 27 января 2017 г.
  24. ^ «Аутентификация USB-ключа» . Джош Дэвис . Проверено 23 января 2023 г.
  25. ^ Ингаллс, Дастин (13 февраля 2015 г.). «Microsoft объявляет о добавлении поддержки FIDO в Windows 10» . Блог Windows . Проверено 3 октября 2015 г.
  26. ^ «Microsoft Edge теперь поддерживает вход без пароля» . Engadget . Проверено 4 октября 2018 г.
  27. ^ «Firefox 57 имеет встроенную поддержку U2F» . Мозилла . Проверено 1 ноября 2017 г.
  28. ^ «Дополнение поддержки U2F» . Проверено 8 мая 2016 г.
  29. ^ «Firefox Nightly обеспечивает поддержку ключей безопасности FIDO U2F» . Блог Юбико . 22 сентября 2017 г. Проверено 27 сентября 2017 г.
  30. ^ «Примечания к выпуску Firefox 60.0» . Проверено 11 мая 2018 г.
  31. ^ «Примечания к выпуску Thunderbird 60.0» . Проверено 22 июня 2018 г.
  32. ^ «Представляем веб-аутентификацию в Microsoft Edge — блог разработчиков Microsoft EdgeБлог разработчиков Microsoft Edge» . блоги.windows.com . 30 июля 2018 г. Проверено 3 августа 2018 г.
  33. ^ «Предложенный стандарт FIDO U2F V1.0 от 9 октября 2014 г.» . Альянс ФИДО . 9 октября 2014 года . Проверено 3 мая 2019 г.
  34. ^ «Предлагаемый стандарт FIDO U2F V1.2 от 11 апреля 2017 г.» . Альянс ФИДО . 11 апреля 2017 года . Проверено 3 мая 2019 г.
  35. ^ «Скачать характеристики» . Альянс ФИДО . Проверено 13 февраля 2019 г.
  36. ^ «Запрос на отправку в W3C: спецификации платформы FIDO 2.0 1.0» . Консорциум Всемирной паутины . Проверено 12 февраля 2019 г.
  37. ^ Jump up to: а б Чонг, Джеррод (1 августа 2018 г.). «10 вещей, которые вас интересовали о FIDO2, WebAuthn и мире без паролей» . Проверено 1 мая 2019 г.
  38. ^ Балфанц, Дирк; Ческис, Алексей; Ходжес, Джефф; Джонс, Джей Си; Джонс, Майкл Б.; Кумар, Акшай; Ляо, Анджело; Линдеманн, Рольф; Лундберг, Эмиль (ред.). «Веб-аутентификация: API для доступа к учетным данным открытого ключа уровня 1 (последняя версия)» . Консорциум Всемирной паутины (W3C) . Проверено 4 марта 2019 г.
  39. ^ Хакамине, Фредерико (22 января 2019 г.). «Понимание стандартов FIDO: ваше практическое руководство» . Окта . Проверено 22 июля 2021 г.
  40. ^ Салам, Фероз (25 августа 2018 г.). «Почему вы не можете использовать Firefox для регистрации ключа U2F в Google» . Замок . Проверено 1 мая 2019 г.
Retrieved from "https://en.wikipedia.org/w/index.php?title=Universal_2nd_Factor&oldid=1231453350"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 9343cea813b0fed20ffb62138ea02569__1719560640
URL1:https://arc.ask3.ru/arc/aa/93/69/9343cea813b0fed20ffb62138ea02569.html
Заголовок, (Title) документа по адресу, URL1:
Universal 2nd Factor - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)