Schowek 0
Twój schowek jest pusty
Koszyk 0
Twój koszyk jest pusty ...
Strona główna » Poradniki » Klucze U2F. Co to klucz sprzętowy USB? Dlaczego warto go mieć?
alt

Dołącz do grona subskrybentów TechLord. Odbieraj informacje o nowościach, premierach, promocjach oraz wyprzedażach.

 

Klucze U2F. Co to klucz sprzętowy USB? Dlaczego warto go mieć?

Data dodania: 07-09-2022


Być może słyszałeś już o czymś takim jak klucz U2F, klucz sprzętowy USB albo klucz zabezpieczeń. Może nawet obiło Ci się o uszy FIDO i FIDO2. Jeśli chcesz dowiedzieć się, co znaczą te terminy, przeczytaj nasz poradnik. W ramach zachęty powiemy, że warto, bo wiedza o kluczu sprzętowym może się ustrzec przed poważnymi konsekwencjami.

Klucz sprzętowy USB. Co to jest?

Najprostsza definicja klucza sprzętowego USB opisuje go jako zewnętrzne urządzenie z wtykiem, służące do uwierzytelniania jedno- i wieloskładnikowego. Podłączone do komputera generuje zaawansowane kody bazujące na kryptografii klucza publicznego. Klucza zabezpieczeń USB nie da się szpiegować, a dane służące do autoryzacji logowania nie są nigdzie upubliczniane.

Klucz sprzętowy pozwala logować się do kont internetowych w dziesiątkach serwisów, jak również do programów zainstalowanych na dyskach komputerów. Klucze oferowane przez Yubico korzystają z protokołów U2F, FIDO/FIDO2, WebAuthn.

Informacji o wsparciu dla uwierzytelniania kluczem zabezpieczeń USB w danej aplikacji, programie i serwisie, szukaj w sekcji poświęconej jego bezpieczeństwu oraz autoryzacji dwuetapowej logowania.

Nie każdy program pozwala na korzystanie z klucza, tak samo jak nie każdy serwis współpracuje z kluczami sprzętowymi USB. Do grona witryn niekompatybilnych zaliczają się przede wszystkim polskie serwisy bankowe.

Przed czym chroni klucz bezpieczeństwa?

Przede wszystkim odgrywa on rolę tarczy przed phishingiem, czyli wyłudzeniom danych dostępowych na drodze podsyłania fałszywych witryn.

Zjawisko niestety powszechnie spotykane, szczególnie w serwisach ogłoszeniowych i sprzedażowych (Vinted, OLX). Linki przesyłane są w mailach, w wiadomościach prywatnych na WhatsApp, Messenger, także w SMS-ach. Chodzi o to, żeby odbiorca uległ złudzeniu, że klika w link prowadzący do prawdziwego serwisu (banku, urzędu, poczty e-mail, stron kurierów, itp.), a dodatkowo, będąc już na miejscu, uwierzył, że to naprawdę ta strona.

W tym celu przestępcy tworzą klony prawdziwych witryn, klony nie do odróżnienia. Ty logujesz się swoim loginem i hasłem, a oni odczytują wprowadzone właśnie informacje, by zaraz potem zalogować się na Twoje dane pod poprawnym adresem www i dokonać kradzieży (pieniędzy lub innych informacji – na przykład mając dostęp do poczty, można zdobyć hasła do innych serwisów).

Klucz sprzętowy USB chroni przed tym i tylko przed tym. Nie jest antywirusem, który strzeże system przed trojanami, robakami, ani złośliwym oprogramowaniem. Tak więc zwracaj uwagę na to, co klikasz.

Gdzie i kiedy sprawdzi się klucz sprzętowy?

Dobrze jest mieć klucz zabezpieczeń USB, jeśli korzysta się z:

  • Facebooka, Twittera, YouTube’a, Amazonu
  • kont Google i Microsoft
  • przeglądarki Chrome, Firefox, Safari, Edge i Opera
  • systemów operacyjnych Linux, Windows, MacOS, Android i iOS
  • serwisów w rodzaju Dropbox, PushCoin, SalesForce, OnApp, FastMail
  • narzędzi takich jak GitHub, GitLab, CentOS, fedora, GnuPG, debian

Jak widzisz, nie są to niszowe lub specjalistyczne serwisy, lecz strony z samego wierzchołka piramidy popularności. Trudno znaleźć osobę, która nie miałaby konta w przynajmniej jednym z nich. Tym samym klucz sprzętowy powinien być postrzegany nie jako rozwiązanie wyłącznie dla firm i korporacji albo dla specjalistów ds. bezpieczeństwa danych.

Klucz zabezpieczeń USB powinien być traktowany na równi z czytnikiem linii papilarnych w smartfonie albo Windows Hello w kamerze laptopa. Jak element codzienności – nie jak ekstrawagancja. Szczególnie w dobie powszechnych cyberzagrożeń i phishingu. Tym bardziej, że klucz sprzętowy wcale nie jest taki drogi.

W przeciwieństwie do tokenów, kodów-zdrapek, czy nawet SMS-ów, wejście w posiadanie samego klucza sprzętowego nic złodziejowi nie daje. Nie wykradnie z niego danych do logowania, bo ich tam nie ma. Z kolei sam klucz ma monolityczną konstrukcję, której nie da się modyfikować, żeby dobrać się do generowanych haseł.<

Rodzaje kluczy sprzętowych

Klucze U2F USB-A i USB-C

Klucz sprzętowy USB z wyglądu i z budowy przypomina pendrive’a. Jest tak samo lekki i kompaktowy, a na jego końcu znajduje się wtyczka USB-A lub USB-C (czasami nawet Lightning, jak w Yubico YubiKey 5Ci). Tę wtyczkę umieszczasz w stosownym porcie komputera albo laptopa, żeby autoryzować logowanie do serwisu, bądź przeprowadzić uwierzytelnianie dwuskładnikowe.

Nie ma przy tym znaczenia, jakiej generacji jest port USB, do którego podłączasz klucz zabezpieczeń. Kompatybilność sprzętowa jest zatem bardzo szeroka. W jej efekcie utrzymujesz wysoki poziom bezpieczeństwa przy logowaniu zarówno na swoim urządzeniu (laptop domowy), jak i w firmie (laptop biurowy). Mało tego, autoryzacji logowania dokonasz nawet na czyimś urządzeniu, uniemożliwiając późniejsze przechwycenie konta.

Klucze sprzętowe USB-C

Klucz bezpieczeństwa z NFC

Poza tym niektóre klucze sprzętowe USB mają moduł NFC, który współpracuje ze smartfonami i służy do zbliżeniowego zatwierdzania dostępu. Nie używasz wtedy USB-C, ale przykładasz klucz do plecków urządzenia – akcept logowania odbywa się bezprzewodowo.

Klucze sprzętowe USB z NFC

W większości przypadków, oprócz samego wsunięcia klucza do portu, uwierzytelnianie wymaga jeszcze dotknięcia metalowej płytki (jeśli akcesorium takie posiada). Jest to zwieńczenie autoryzacji, ale bez korzystania z biometrii. Urządzenie potrzebuje po prostu zetknięcia, aby mieć pewność, że przed komputerem siedzi człowiek, a nie doszło do zdalnego przejęcia systemu.

Biometryczne klucze zabezpieczeń

Biometryczne zatwierdzanie logowania to domena kluczy sprzętowych USB z przydomkiem BIO. W ich przypadku akcesorium przechowuje wzór odcisku palca w innym obszarze niż hasła. Te dwa rodzaje danych nie są ze sobą w żaden sposób połączone, co zwiększa poziom ochrony szczególnie wrażliwych informacji.

Co więcej, obraz odcisku linii papilarnych nigdy nie wychodzi poza klucz. Nie jest wysyłany do serwerów, nie korzystają z niego serwisy do których się logujesz.

Klucze sprzętowe USB biometryczne

Liderem produkcji klucz zabezpieczeń USB jest firma Yubico – współtwórca protokołu FIDO/FIDO2 (członek FIDO Alliance). FIDO2 całkowicie rezygnuje z haseł wprowadzanych ręcznie na rzecz logowania tylko i wyłącznie przy użyciu klucza. Fachowo określa się to zjawisko mianem passwordless.

Uwierzytelnianie bez hasła redukuje praktycznie do zera ryzyko phishingu, bo znika fizyczna możliwość przejęcia hasła w trakcie logowania.

Wszystko o protokole U2F i kluczach FIDO2

Za enigmatycznym skrótem U2F kryje się protokół Uniwersal 2nd Factor, czyli efekt współpracy Google z firmą Yubico. Ten rodzaj uwierzytelniania dwuskładnikowego nie tylko podnosi poziom bezpieczeństwa podczas logowania, ale i eliminuje zagrożenia, jakie występowały wcześniej.

W tym przypadku drugi składnik znajduje się w urządzeniu zewnętrznym niepodlegającym żadnej formie monitorowania. Więc nawet jeśli natrafisz na stronę łudząco podobną do Facebooka, Instagrama, Gmaila, YouTube’a, Twittera i innych, klucz nie  wykryje połączenia z fałszywą stroną i nie będzie mógł się do niej zalogować. Mało tego, metoda kryptografii asymetrycznej blokuje wysyłanie danych logowania do oszustów próbujących Cię właśnie naciągnąć.

Czegoś takiego nie zapewnią Ci kody SMS, które są tylko numerem dającym wprowadzić się na stronie udającej interfejs aplikacji. Co gorsza, prawdziwym numerem pozwalającym autoryzować logowanie w rzeczywistym serwisie z użyciem wykradzionych właśnie prawdziwych danych.

Natomiast klucz U2F składa się z dwóch części – prywatnej i publicznej. Informacje z publicznego elementu wgrywane są do serwisu w momencie autoryzacji logowania. Wtedy dane logowania potwierdzane są w części prywatnej, zawierającej pamięci typu write-only.

Mankamentem U2F (jeśli można to tak nazwać) jest konieczność wpisywania tradycyjnego loginu i hasła do panelu logowania, by dopiero potem uwierzytelnić proces kluczem zabezpieczeń.

FIDO2. Co to jest i po co to jest?

Protokół FIDO2, występujący w kluczach sprzętowych USB, jeszcze wyżej podnosi poprzeczkę zabezpieczeń. Generowane w ten sposób kody są trudniejsze do złamania, ale przede wszystkim, jak już wspomnieliśmy, FIDO2 eliminuje klasyczny login i hasło. Niedogodność tego rozwiązania polega na rosnącej dopiero bazie serwisów kompatybilnych z FIDO2. Patrząc jednak na to, z jakimi witrynami współpracują, otrzymujesz ochronę danych najwyższej wagi.

Ile kosztują klucze U2F i FIDO2?

Modele komercyjne kosztują poniżej 150 zł, co jest kwotą śmiesznie małą za ochronę tak ważnych kont, jak Facebook, Google i Windows. Kont, których przejęcie może być opłakane w skutkach zarówno dla osoby prywatnej, jak i dla firmy. Firmowe są trochę droższe (to zrozumiałe), a ich ceny zaczynają się w okolicach 250 zł.

Ok, ale jak je odróżnić? Yubico poszło na rękę użytkownikom, wprowadzając klucz kolorystyczny:

  • niebieski klucz sprzętowy jest do użytku komercyjnego
  • czarny klucz sprzętowy jest dla firm

I jeśli szkoda Ci tych 150 zł, pomyśl na ile mogą oskubać Cię przestępcy, wyprowadzając oszczędności z banku. Chwila, przecież banki mają swoje zabezpieczenia, prawda? Prawda, lecz jeśli złodziej dostanie się do poczty, np. na Gmailu, dostanie się również do e-bankowości. Trzeba więc chronić ogniwo poprzedzające sam bank. Czy 150 zł, płatne w dodatku jednorazowo, to naprawdę tak dużo?

Co zrobić, kiedy zgubi się klucz sprzętowy?

Tu mogą pojawić się schody, bo Yubico nie produkuje duplikatów kluczy sprzętowych. Jeśli taki zgubisz, no cóż, lekko nie będzie. Dlatego dobrze jest kupić od razu dwa klucze i obydwa uczynić urządzeniami zaufanymi. Wtedy z pierwszego korzystasz na co dzień, a drugi ukryj i miej go w zapasie (tak na wszelki wypadek).

Czy warto mieć klucz sprzętowy FIDO2?

W obliczu faktów i korzyści, które wypisaliśmy powyżej, nikt nie powinien mieć wątpliwości, że warto mieć klucz sprzętowy USB. Kluczowe serwisy zostaną zabezpieczone przed phishingiem (zmorą naszych czasów), na konta nie staną się łupem złodziei. W dodatku dzięki FIDO2 możesz zrezygnować z klasycznych haseł oraz weryfikacji dwuetapowej.

Zobacz wszystkie klucze sprzętowe w sklepie TechLord


Przejdź do strony głównej Wróć do kategorii Poradniki
Newsletter

Dołącz do grona subskrybentów TechLord. Odbieraj informacje o nowościach, premierach, promocjach oraz wyprzedażach.  

USTAWIENIA PLIKÓW COOKIES
Są zawsze włączone, ponieważ umożliwiają podstawowe działanie strony. Są to między innymi pliki cookie pozwalające pamiętać użytkownika w ciągu jednej sesji lub, zależnie od wybranych opcji, z sesji na sesję. Ich zadaniem jest umożliwienie działania koszyka i procesu realizacji zamówienia, a także pomoc w rozwiązywaniu problemów z zabezpieczeniami i w przestrzeganiu przepisów.
Pliki cookie funkcjonalne pomagają nam poprawiać efektywność prowadzonych działań marketingowych oraz dostosowywać je do Twoich potrzeb i preferencji np. poprzez zapamiętanie wszelkich wyborów dokonywanych na stronach.
Pliki analityczne cookie pomagają właścicielowi sklepu zrozumieć, w jaki sposób odwiedzający wchodzi w interakcję ze sklepem, poprzez anonimowe zbieranie i raportowanie informacji. Ten rodzaj cookies pozwala nam mierzyć ilość wizyt i zbierać informacje o źródłach ruchu, dzięki czemu możemy poprawić działanie naszej strony.
Pliki cookie reklamowe służą do promowania niektórych usług, artykułów lub wydarzeń. W tym celu możemy wykorzystywać reklamy, które wyświetlają się w innych serwisach internetowych. Celem jest aby wiadomości reklamowe były bardziej trafne oraz dostosowane do Twoich preferencji. Cookies zapobiegają też ponownemu pojawianiu się tych samych reklam. Reklamy te służą wyłącznie do informowania o prowadzonych działaniach naszego sklepu internetowego.
ZATWIERDZAM
Korzystanie z tej witryny oznacza wyrażenie zgody na wykorzystanie plików cookies. Więcej informacji możesz znaleźć w naszej Polityce Cookies.
USTAWIENIA
ZGADZAM SIĘ