U2F explicó cómo Google y otras compañías están creando un token de seguridad universal
U2F es un nuevo estándar para tokens de autenticación de dos factores universales. Estos tokens pueden usar USB, NFC o Bluetooth para proporcionar autenticación de dos factores en una variedad de servicios. Ya es compatible con Chrome, Firefox y Opera para cuentas de Google, Facebook, Dropbox y GitHub.
Este estándar está respaldado por la alianza FIDO, que incluye Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America y muchas otras compañías masivas. Espere que los tokens de seguridad U2F estén por todo el lugar pronto.
Algo similar se generalizará pronto con la API de autenticación web. Esta será una API de autenticación estándar que funciona en todas las plataformas y navegadores. Soportará otros métodos de autenticación así como también llaves USB. La API de autenticación web fue originalmente conocida como FIDO 2.0.
Qué es?
La autenticación de dos factores es una forma esencial de proteger sus cuentas importantes. Tradicionalmente, la mayoría de las cuentas solo necesitan una contraseña para iniciar sesión; ese es un factor, algo que ya sabes. Cualquiera que conozca la contraseña puede ingresar a su cuenta.
La autenticación de dos factores requiere algo que sabes y algo que tienes. A menudo, este es un mensaje enviado a su teléfono a través de SMS o un código generado a través de una aplicación como Google Authenticator o Authy en su teléfono. Alguien necesita tanto su contraseña como su acceso al dispositivo físico para iniciar sesión.
Pero la autenticación de dos factores no es tan fácil como debería ser, y a menudo implica escribir contraseñas y mensajes SMS en todos los servicios que usa. U2F es un estándar universal para crear tokens de autenticación física que pueden funcionar con cualquier servicio.
Si está familiarizado con Yubikey, una llave USB física que le permite iniciar sesión en LastPass y algunos otros servicios, estará familiarizado con este concepto. A diferencia de los dispositivos estándar de Yubikey, U2F es un estándar universal. Inicialmente, U2F fue hecha por Google y Yubico trabajando en sociedad..
Como funciona?
Actualmente, los dispositivos U2F suelen ser pequeños dispositivos USB que se insertan en el puerto USB de su computadora. Algunos de ellos tienen compatibilidad con NFC, por lo que se pueden utilizar con teléfonos Android. Se basa en la tecnología de seguridad de "tarjeta inteligente" existente. Cuando lo inserta en el puerto USB de su computadora o lo toca contra su teléfono, el navegador de su computadora se puede comunicar con la clave de seguridad USB mediante una tecnología de encriptación segura y proporcionar la respuesta correcta que le permite iniciar sesión en un sitio web.
Debido a que esto se ejecuta como parte del propio navegador, esto le brinda algunas mejoras de seguridad agradables en comparación con la autenticación típica de dos factores. Primero, el navegador comprueba para asegurarse de que se está comunicando con el sitio web real mediante el cifrado, de modo que los usuarios no serán engañados para que ingresen sus códigos de dos factores en sitios web de phishing falso. En segundo lugar, el navegador envía el código directamente al sitio web, por lo que un atacante que se encuentra en el medio no puede capturar el código temporal de dos factores e ingresarlo en el sitio web real para obtener acceso a su cuenta.
El sitio web también puede simplificar su contraseña; por ejemplo, un sitio web puede pedirle actualmente una contraseña larga y luego un código de dos factores, ambos de los cuales debe escribir. En cambio, con U2F, un sitio web podría pedirle un PIN de cuatro dígitos que debe recordar y luego requerir que presione un botón en un dispositivo USB o que lo toque contra su teléfono para iniciar sesión.
La alianza FIDO también está trabajando en UAF, que no requiere contraseña. Por ejemplo, podría usar el sensor de huellas digitales en un teléfono inteligente moderno para autenticarlo con varios servicios.
Puede leer más sobre el estándar en sí mismo en el sitio web de la alianza FIDO.
Donde se apoya?
Google Chrome, Mozilla Firefox y Opera (que se basan en Google Chrome) son los únicos navegadores que admiten U2F. Funciona en Windows, Mac, Linux y Chromebooks. Si tiene un token U2F físico y usa Chrome, Firefox u Opera, puede usarlo para proteger sus cuentas de Google, Facebook, Dropbox y GitHub. Otros grandes servicios aún no soportan U2F.
U2F también funciona con el navegador Google Chrome en Android, asumiendo que tiene una llave USB con soporte NFC incorporado. Apple no permite que las aplicaciones accedan al hardware NFC, por lo que no funcionará en iPhones.
Si bien las versiones estables actuales de Firefox son compatibles con U2F, están deshabilitadas de forma predeterminada. Tendrá que habilitar una preferencia de Firefox oculta para activar el soporte U2F en este momento.
La compatibilidad con las claves U2F se generalizará cuando despegue la API de autenticación web. Incluso funcionará en Microsoft Edge..
Cómo puedes usarlo
Solo necesitas un token U2F para comenzar. Google le indica que busque "Clave de seguridad U2F de FIDO" en Amazon para encontrarlas. La primera cuesta $ 18 y está hecha por Yubico, una compañía con un historial de hacer llaves de seguridad USB físicas. El Yubikey NEO, que es más caro, incluye soporte NFC para su uso con dispositivos Android.
Luego puede visitar la configuración de su cuenta de Google, encontrar la página de verificación de dos pasos y hacer clic en la pestaña Claves de seguridad. Haga clic en Agregar una clave de seguridad y podrá agregar la clave de seguridad física, que deberá iniciar sesión en su cuenta de Google. El proceso será similar para otros servicios compatibles con U2F. Consulte esta guía para obtener más información..
Esta no es una herramienta de seguridad que pueda usar en todas partes, pero muchos servicios deberían agregarle soporte. Espere grandes cosas de la API de autenticación web y estas claves U2F en el futuro.