Być może słyszałeś już o czymś takim jak klucz U2F, klucz sprzętowy USB albo klucz zabezpieczeń. Może nawet obiło Ci się o uszy FIDO i FIDO2. Jeśli chcesz dowiedzieć się, co znaczą te terminy, przeczytaj nasz poradnik. W ramach zachęty powiemy, że warto, bo wiedza o kluczu sprzętowym może się ustrzec przed poważnymi konsekwencjami.
Spis treści:
Klucz sprzętowy USB. Co to jest?
Najprostsza definicja klucza sprzętowego USB opisuje go jako zewnętrzne urządzenie z wtykiem, służące do uwierzytelniania jedno- i wieloskładnikowego. Podłączone do komputera generuje zaawansowane kody bazujące na kryptografii klucza publicznego. Klucza zabezpieczeń USB nie da się szpiegować, a dane służące do autoryzacji logowania nie są nigdzie upubliczniane.
Klucz sprzętowy pozwala logować się do kont internetowych w dziesiątkach serwisów, jak również do programów zainstalowanych na dyskach komputerów. Klucze oferowane przez Yubico oraz Kensington korzystają z najsilniejszych protokołów U2F, FIDO/FIDO2.
Informacji o wsparciu dla uwierzytelniania kluczem zabezpieczeń USB w danej aplikacji, programie i serwisie, szukaj w sekcji poświęconej jego bezpieczeństwu oraz autoryzacji dwuetapowej logowania.
Nie każdy program pozwala na korzystanie z klucza, tak samo jak nie każdy serwis współpracuje z kluczami sprzętowymi USB. Do grona witryn niekompatybilnych zalicza się jeszcze część polskich serwisów bankowych, choć to powoli się zmienia. Prekursorem w tej materii jest ING Bank Śląski.
Przed czym chroni klucz bezpieczeństwa?
Przede wszystkim odgrywa on rolę tarczy przed phishingiem, czyli wyłudzeniom danych dostępowych na drodze podsyłania fałszywych witryn.
Zjawisko niestety powszechnie spotykane, szczególnie w serwisach ogłoszeniowych i sprzedażowych (Vinted, OLX). Linki przesyłane są w mailach, w wiadomościach prywatnych na WhatsApp, Messenger, także w SMS-ach. Chodzi o to, żeby odbiorca uległ złudzeniu, że klika w link prowadzący do prawdziwego serwisu (banku, urzędu, poczty e-mail, stron kurierów, itp.), a dodatkowo, będąc już na miejscu, uwierzył, że to naprawdę ta strona.
W tym celu przestępcy tworzą klony prawdziwych witryn, klony nie do odróżnienia. Ty logujesz się swoim loginem i hasłem, a oni odczytują wprowadzone właśnie informacje, by zaraz potem zalogować się na Twoje dane pod poprawnym adresem www i dokonać kradzieży (pieniędzy lub innych informacji – na przykład mając dostęp do poczty, można zdobyć hasła do innych serwisów).
Klucz sprzętowy USB chroni przed tym i tylko przed tym. Nie jest antywirusem, który strzeże system przed trojanami, robakami, ani złośliwym oprogramowaniem. Tak więc zwracaj uwagę na to, co klikasz.
Gdzie i kiedy sprawdzi się klucz sprzętowy?
Dobrze jest mieć klucz zabezpieczeń USB, jeśli korzysta się z:
- Facebooka, Twittera, YouTube’a, Amazonu
- kont Google i Microsoft
- przeglądarki Chrome, Firefox, Safari, Edge i Opera
- systemów operacyjnych Linux, Windows, MacOS, Android i iOS
- serwisów w rodzaju Dropbox, PushCoin, SalesForce, OnApp, FastMail
- narzędzi takich jak GitHub, GitLab, CentOS, fedora, GnuPG, debian
Jak widzisz, nie są to niszowe lub specjalistyczne serwisy, lecz strony z samego wierzchołka piramidy popularności. Trudno znaleźć osobę, która nie miałaby konta w przynajmniej jednym z nich. Tym samym klucz sprzętowy powinien być postrzegany nie jako rozwiązanie wyłącznie dla firm i korporacji albo dla specjalistów ds. bezpieczeństwa danych.
Klucz zabezpieczeń USB powinien być traktowany na równi z czytnikiem linii papilarnych w smartfonie albo Windows Hello w kamerze laptopa. Jak element codzienności – nie jak ekstrawagancja. Szczególnie w dobie powszechnych cyberzagrożeń i phishingu. Tym bardziej, że klucz sprzętowy wcale nie jest taki drogi.
W przeciwieństwie do tokenów, kodów-zdrapek, czy nawet SMS-ów, wejście w posiadanie samego klucza sprzętowego nic złodziejowi nie daje. Nie wykradnie z niego danych do logowania, bo ich tam nie ma. Z kolei sam klucz ma monolityczną konstrukcję, której nie da się modyfikować, żeby dobrać się do generowanych haseł.<
Klucze U2F USB-A i USB-C
Klucz sprzętowy USB z wyglądu i z budowy przypomina pendrive’a. Jest tak samo lekki i kompaktowy, a na jego końcu znajduje się wtyczka USB-A lub USB-C (Kensington VeriMark Guard FingerPrint USB-C), czasami nawet Lightning (jak w Yubico YubiKey 5Ci). Tę wtyczkę umieszczasz w stosownym porcie komputera albo laptopa, żeby autoryzować logowanie do serwisu, bądź przeprowadzić uwierzytelnianie dwuskładnikowe.
Nie ma przy tym znaczenia, jakiej generacji jest port USB, do którego podłączasz klucz zabezpieczeń. Kompatybilność sprzętowa jest zatem bardzo szeroka. W jej efekcie utrzymujesz wysoki poziom bezpieczeństwa przy logowaniu zarówno na swoim urządzeniu, jak i w firmie. Mało tego, autoryzacji logowania dokonasz nawet na czyimś urządzeniu, uniemożliwiając późniejsze przechwycenie konta.
Przeczytaj poradniki:
Klucze sprzętowe USB-C
- Kensington VeriMark Guard FingerPrint USB-C
- Yubico Security Key C NFC by Yubico
- Yubico YubiKey 5C NFC
- Yubico YubiKey BIO C (FIDO Edition)
Klucz bezpieczeństwa z NFC
Poza tym niektóre klucze sprzętowe USB mają moduł NFC, który współpracuje ze smartfonami i służy do zbliżeniowego zatwierdzania dostępu. Nie używasz wtedy USB-C, ale przykładasz klucz do plecków urządzenia – akcept logowania odbywa się bezprzewodowo.
Klucze sprzętowe USB z NFC
- Yubico Security Key C NFC by Yubico
- Yubico Security Key NFC by Yubico
- Yubico Yubikey 5 NFC
- Yubico YubiKey 5C NFC
W większości przypadków, oprócz samego wsunięcia klucza do portu, uwierzytelnianie wymaga jeszcze dotknięcia metalowej płytki (jeśli akcesorium takie posiada). Jest to zwieńczenie autoryzacji, ale bez korzystania z biometrii. Urządzenie potrzebuje po prostu zetknięcia, aby mieć pewność, że przed komputerem siedzi człowiek, a nie doszło do zdalnego przejęcia systemu.
Biometryczne klucze zabezpieczeń
Biometryczne zatwierdzanie logowania to domena kluczy sprzętowych USB z przydomkiem BIO. W ich przypadku akcesorium przechowuje wzór odcisku palca w innym obszarze niż hasła. Te dwa rodzaje danych nie są ze sobą w żaden sposób połączone, co zwiększa poziom ochrony szczególnie wrażliwych informacji.
Co więcej, obraz odcisku linii papilarnych nigdy nie wychodzi poza klucz. Nie jest wysyłany do serwerów, nie korzystają z niego serwisy do których się logujesz.
Klucze sprzętowe USB biometryczne
- Yubico YubiKey BIO C (FIDO Edition)
- Yubico YubiKey BIO (FIDO Edition)
- Kensington VeriMark Guard FingerPrint USB-A
- Kensington VeriMark FingerPrint USB-A
- Kensington VeriMark IT FingerPrint USB-A
Liderem produkcji klucz zabezpieczeń USB jest firma Yubico – współtwórca protokołu FIDO/FIDO2 (członek FIDO Alliance). FIDO2 całkowicie rezygnuje z haseł wprowadzanych ręcznie na rzecz logowania tylko i wyłącznie przy użyciu klucza. Fachowo określa się to zjawisko mianem passwordless.
Uwierzytelnianie bez hasła redukuje praktycznie do zera ryzyko phishingu, bo znika fizyczna możliwość przejęcia hasła w trakcie logowania.
Wszystko o protokole U2F i kluczach FIDO2
Za enigmatycznym skrótem U2F kryje się protokół Uniwersal 2nd Factor. Ten rodzaj uwierzytelniania dwuskładnikowego nie tylko podnosi poziom bezpieczeństwa podczas logowania, ale i eliminuje zagrożenia, jakie występowały wcześniej.
W tym przypadku drugi składnik znajduje się w urządzeniu zewnętrznym niepodlegającym żadnej formie monitorowania. Więc nawet jeśli natrafisz na stronę łudząco podobną do Facebooka, Instagrama, Gmaila, YouTube’a, Twittera i innych, klucz nie wykryje połączenia z fałszywą stroną i nie będzie mógł się do niej zalogować. Mało tego, metoda kryptografii asymetrycznej blokuje wysyłanie danych logowania do oszustów próbujących Cię właśnie naciągnąć.
Czegoś takiego nie zapewnią Ci kody SMS, które są tylko numerem dającym wprowadzić się na stronie udającej interfejs aplikacji. Co gorsza, prawdziwym numerem pozwalającym autoryzować logowanie w rzeczywistym serwisie z użyciem wykradzionych właśnie prawdziwych danych.
Natomiast klucz U2F składa się z dwóch części – prywatnej i publicznej. Informacje z publicznego elementu wgrywane są do serwisu w momencie autoryzacji logowania. Wtedy dane logowania potwierdzane są w części prywatnej, zawierającej pamięci typu write-only.
Mankamentem U2F (jeśli można to tak nazwać) jest konieczność wpisywania tradycyjnego loginu i hasła do panelu logowania, by dopiero potem uwierzytelnić proces kluczem zabezpieczeń.
FIDO2. Co to jest i po co to jest?
Protokół FIDO2, występujący w kluczach sprzętowych USB, jeszcze wyżej podnosi poprzeczkę zabezpieczeń. Generowane w ten sposób kody są trudniejsze do złamania, ale przede wszystkim, jak już wspomnieliśmy, FIDO2 eliminuje klasyczny login i hasło. Niedogodność tego rozwiązania polega na rosnącej dopiero bazie serwisów kompatybilnych z FIDO2. Patrząc jednak na to, z jakimi witrynami współpracują, otrzymujesz ochronę danych najwyższej wagi.
Ile kosztują klucze U2F i FIDO2?
Modele komercyjne kosztują poniżej 150 zł, co jest kwotą śmiesznie małą za ochronę tak ważnych kont, jak Facebook, Google i Windows. Kont, których przejęcie może być opłakane w skutkach zarówno dla osoby prywatnej, jak i dla firmy. Firmowe są trochę droższe (to zrozumiałe), a ich ceny zaczynają się w okolicach 250 zł.
Ok, ale jak je odróżnić? Yubico poszło na rękę użytkownikom, wprowadzając zróżnicowane nazewnictwo:
- klucze Yubico Security Key są do użytku komercyjnego
- klucze sprzętowe Ybico YubiKey są dla firm
I jeśli szkoda Ci tych 150 zł, pomyśl na ile mogą oskubać Cię przestępcy, wyprowadzając oszczędności z banku. Chwila, przecież banki mają swoje zabezpieczenia, prawda? Prawda, lecz jeśli złodziej dostanie się do poczty, np. na Gmailu, dostanie się również do e-bankowości. Trzeba więc chronić ogniwo poprzedzające sam bank. Czy 150 zł, płatne w dodatku jednorazowo, to naprawdę tak dużo?
Co zrobić, kiedy zgubi się klucz sprzętowy?
Tu mogą pojawić się schody, bo producenci kluczy USB nie tworzą duplikatów kluczy sprzętowych. Jeśli taki zgubisz, no cóż, lekko nie będzie. Dlatego dobrze jest kupić od razu dwa klucze i obydwa uczynić urządzeniami zaufanymi. Wtedy z pierwszego korzystasz na co dzień, a drugi ukryj i miej go w zapasie (tak na wszelki wypadek).
Czy warto mieć klucz sprzętowy FIDO2?
W obliczu faktów i korzyści, które wypisaliśmy powyżej, nikt nie powinien mieć wątpliwości, że warto mieć klucz sprzętowy USB. Kluczowe serwisy zostaną zabezpieczone przed phishingiem (zmorą naszych czasów), na konta nie staną się łupem złodziei. W dodatku dzięki FIDO2 możesz zrezygnować z klasycznych haseł oraz weryfikacji dwuetapowej.
Zobacz wszystkie klucze sprzętowe w sklepie TechLord