U2F explicou como o Google e outras empresas estão criando um token de segurança universal

O U2F é um novo padrão para tokens de autenticação de dois fatores universais. Esses tokens podem usar USB, NFC ou Bluetooth para fornecer autenticação de dois fatores em uma variedade de serviços. Já é suportado no Chrome, Firefox e Opera para contas do Google, Facebook, Dropbox e GitHub.

Esse padrão é apoiado pela aliança FIDO, que inclui o Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America e muitas outras grandes empresas. Esperar que os tokens de segurança do U2F estejam em todo o lugar em breve.

Algo semelhante se tornará mais disseminado em breve com a API de autenticação da Web. Essa será uma API de autenticação padrão que funciona em todas as plataformas e navegadores. Ele irá suportar outros métodos de autenticação, bem como chaves USB. A API de autenticação da Web era originalmente conhecida como FIDO 2.0.

O que é isso?

A autenticação de dois fatores é uma maneira essencial de proteger suas contas importantes. Tradicionalmente, a maioria das contas precisa apenas de uma senha para efetuar login - esse é um fator, algo que você conhece. Qualquer pessoa que saiba a senha pode entrar em sua conta.

A autenticação de dois fatores requer algo que você sabe e algo que você tem. Geralmente, trata-se de uma mensagem enviada ao seu telefone por SMS ou de um código gerado por meio de um aplicativo como o Google Authenticator ou o Authy no seu telefone. Alguém precisa da sua senha e do acesso ao dispositivo físico para efetuar login.

Mas a autenticação de dois fatores não é tão fácil quanto deveria, e geralmente envolve a digitação de senhas e mensagens SMS em todos os serviços que você usa. O U2F é um padrão universal para criar tokens de autenticação física que podem funcionar com qualquer serviço.

Se você estiver familiarizado com o Yubikey - uma chave USB física que permite fazer login no LastPass e em alguns outros serviços - você estará familiarizado com esse conceito. Ao contrário dos dispositivos Yubikey padrão, o U2F é um padrão universal. Inicialmente, o U2F foi feito pelo Google e Yubico trabalhando em parceria.

Como funciona?

Atualmente, os dispositivos U2F são geralmente pequenos dispositivos USB que você insere na porta USB do seu computador. Alguns deles têm suporte a NFC para que possam ser usados ​​com telefones Android. Baseia-se na tecnologia de segurança “smart card” existente. Quando você o insere na porta USB do computador ou o toca no telefone, o navegador do computador pode se comunicar com a chave de segurança USB usando a tecnologia de criptografia segura e fornecer a resposta correta que permite efetuar login em um site.

Como isso é executado como parte do próprio navegador, isso oferece algumas melhorias de segurança em relação à autenticação típica de dois fatores. Primeiro, o navegador verifica se está se comunicando com o site real usando criptografia, para que os usuários não sejam induzidos a inserir seus códigos de dois fatores em sites de phishing falsos. Em segundo lugar, o navegador envia o código diretamente para o site, portanto, um invasor sentado no meio não pode capturar o código temporário de dois fatores e inseri-lo no site real para obter acesso à sua conta..

O site também pode simplificar sua senha. Por exemplo, um site pode solicitar uma senha longa e um código de dois fatores, os quais você precisa digitar. Em vez disso, com o U2F, um site pode solicitar um PIN de quatro dígitos e exigir que você pressione um botão em um dispositivo USB ou toque nele em seu telefone para fazer login.

A aliança FIDO também está trabalhando na UAF, que não requer senha. Por exemplo, ele pode usar o sensor de impressão digital em um smartphone moderno para autenticá-lo com vários serviços.

Você pode ler mais sobre o próprio padrão no site da aliança FIDO.

Onde é suportado??

O Google Chrome, o Mozilla Firefox e o Opera (baseados no Google Chrome) são os únicos navegadores compatíveis com o U2F. Funciona no Windows, Mac, Linux e Chromebooks. Se você tiver um token físico U2F e usar o Chrome, Firefox ou Opera, poderá usá-lo para proteger suas contas do Google, do Facebook, do Dropbox e do GitHub. Outros grandes serviços ainda não suportam o U2F.

O U2F também funciona com o navegador Google Chrome no Android, supondo que você tenha uma chave USB com suporte NFC integrado. A Apple não permite o acesso de aplicativos ao hardware NFC, portanto, isso não funcionará em iPhones.

Embora as versões estáveis ​​atuais do Firefox tenham suporte ao U2F, ele é desativado por padrão. Você precisará ativar uma preferência oculta do Firefox para ativar o suporte ao U2F no momento.

O suporte a chaves do U2F se tornará mais difundido quando a API de autenticação da Web decolar. Ele vai até funcionar no Microsoft Edge.

Como você pode usá-lo

Você só precisa de um token U2F para começar. O Google direciona você para pesquisar na Amazon por “FIDO U2F Security Key” para encontrá-los. O top custa US $ 18 e é feito pela Yubico, uma empresa com histórico de chaves de segurança físicas para USB. O mais caro Yubikey NEO inclui suporte a NFC para uso com dispositivos Android.

Em seguida, você pode acessar as configurações da sua Conta do Google, encontrar a página de verificação em duas etapas e clicar na guia Chaves de segurança. Clique em Adicionar uma chave de segurança e você poderá adicionar a chave de segurança física, que será necessária para fazer login na sua conta do Google. O processo será semelhante para outros serviços que suportam U2F - confira este guia para mais.

Esta não é uma ferramenta de segurança que você pode usar em todos os lugares ainda, mas muitos serviços devem, eventualmente, adicionar suporte a ela. Esperar grandes coisas da API de autenticação da Web e essas chaves do U2F no futuro.