Google zařazuje další stupeň ochrany účtu – autentizaci pomocí USB klíčů

22. 10. 2014

Kdo to dnes myslí s bezpečností vážně, ten citlivá data chrání nejen uživatelským jménem a heslem, ale také dalším faktorem. Od toho dvoufaktorá (-fázová, -úrovňová) autentizace (ověřování). Jméno a heslo si musíte pamatovat, a kvůli tomu jej lze poměně lehce uhodnout nebo ukrást.

Druhý faktor znamená, že také musíte vlastnit něco hmatatelného. Nejčastěji telefon, na který vám přijde ověřování kód pomocí SMS. Kdo pracuje s internetovým bankovnictvím, tak se s tím už setkal. Nestačí se jen přihlásit do online účtu, což za vás může nevědomky udělat i nějaký indický hacker. Pokud chce ukrást peníze, bude potřebovat váš telefon, aby se dostal k SMS, bez níž platbu neodešle.

Google Security Key

Dvoufaktorové ověřování se z bank dostalo i do jiných účtů. Funkci si můžete aktivovat u Googlu, Microsoftu, Applu (u nás ještě ne), Facebooku, Twitteru, Dropboxu, Linkedinu a dalších služeb. Hezký seznam vede twofactorauth.org.

Druhý stupeň vás ochrání, pokud někomu unikne databáze uživatelských jmen a hesel. Ale i ověření pomocí zaslaných nebo generovaných kódů (pomocí aplikace jako Google Authenticator) má své limity. Pokud se dostanete na phishingovou stránku, která se vydává za přihlašovací dialog nějaké služby, útočníkovi sami nadiktujete jméno, heslo i ověřovací kód. Proto vznikají další faktory.

Klíčenka místo kódu

Google loni oznámil, že přidá ještě ověřování pomocí NFC, FIDO U2F nebo čipů TPM. Včera se konečně odhodlal k dalšímu kroku a jako první na světě zavedl podporu USB klíčenek s certifikací FIDO U2F. Malá „flashka“ je dokonalejší než ověřovací kód, protože vás ochrání i před phishingovými stránkami.

Systém je založen na kryptografii, takže se navzájem ověřují klíče z online účtů a těch uložených na USB. Ke klíčům se útočník nedostane. A když klíčenku ztratíte nebo vám ji někdo ukradne, tak mu bude k ničemu. Nezjistí, se kterými účty je spojená.

Tuto funkci Google nazval Security Key. Funguje v Chromu 38 ve Windows, Linuxu, OS X i Chrome OS. Koupit si ale musíte speciální klíčenku s podporou protokolu FIDO U2F (Fast IDentity Online Universal 2nf Factor). V Česku ji zatím nejspíš neseženete, ale dvě najdete na Amazonu. Ta levnější stojí 6 dolarů. Pak ji budete muset zaregistrovat zde.

Platí, že jednu klíčenku můžete používat s více účty a že na jeden účet můžete mít zaregistrovaných více klíčenek. Security Key plně nezastoupí ověřovací kódy, protože do mobilů, tabletů nebo jiných zařízení klíčenku nevložíte. Vždy je tedy možné zadat i kód. Přestože je to funkce vhodná hlavně do firem, Security Key zatím funguje jen s osobními účty, nikoliv Google Apps. To se ale v budoucnu změní.

Logo FIDO U2F, tím budou označeny kompatibilní klíčenky

Google je první, kdo FIDO U2F podporuje. Ale sama firma doufá, že se teď přidají i jiní. Online služby mohou využít podpory v Chromu a začít protokol U2F nasazovat také. K tomu by se měly přidat i další prohlížeče. Členem aliance FIDO je kromě Googlu také Microsoft, ARM, BlackBerry, Lenovo, MasterCard, PayPal, Samsung, Qualcomm a další. Také výrobců klíčenek bude několik. Zatím víme o společnostech Yubico a Plug-up.