Marzysz o narzędziu, które całkowicie zabezpieczy Cię przed przestępcami wykorzystującymi phishing do kradzieży haseł, a potem pieniędzy i ważnych danych? Tak, to możliwe. Sprawdź czym jest i jak działa klucz zabezpieczający U2F.

Spis treści

• Klucz U2F – co to jest?
• Jak działa klucz sprzętowy?
  • Klucz U2F – pełna ochrona przed phishingiem
  • Co to jest logowanie przy użyciu klucza zabezpieczeń?
• Producenci klucza U2F
• Pytania i odpowiedzi (Q&A)
  • Które serwisy wspierają U2F?
  • Gdzie kupić klucz U2F?
  • Jaki klucz U2F wybrać?
  • Ile kosztuje klucz U2F?
  • Co to jest Security Key?
  • Co daje YubiKey?
  • Fido U2F co to jest?
  • Co to jest klucz bezpieczeństwa FB?

Klucz U2F – co to jest?

Klucz U2F to niewielki fizyczny przedmiot (możesz go przymocować np. do breloka), który wyglądem przypomina pendrive’a. Zazwyczaj ma USB do podłączania do komputera. U2F (Universal 2 Factor) służy do weryfikacji tożsamości użytkownika podczas logowania do systemów online i offline. Użycie takiego klucza to najlepszy z dostępnych powszechnie sposobów na uwierzytelnienie dwuskładnikowe.

Klucze bezpieczeństwa chronią przed phishingiem czyli najbardziej rozpowszechnionym zagrożeniem w Internecie.

Phishing to wykradanie haseł przy użyciu podrobionych stron www. Jest bardzo popularny. Prawie 80 proc. wszystkich cyberataków zarejestrowanych przez CERT Polska w 2021 roku dotyczyło właśnie phishingu.

Klasyczne metody zawodzą w starciu z phisherami, ale U2F gwarantuje całkowite zabezpieczenie przed phishingiem. Jak to możliwe dowiesz się za chwilę.

Z użyciem klucza zabezpieczającego można również:

• podpisywać dokumenty,
• odczytywać maile w zaszyfrowanej poczcie,
• obsługiwać menedżera haseł,
• logować się do systemu, na serwery lub do intratnetu.

Jak działa klucz sprzętowy?

Logując się na konto podajesz identyfikator (login) oraz hasło. Przestępcy stosunkowo łatwo mogą wykraść te dane. Najczęściej używają podrobionych stron.

Twoje bezpieczeństwo zwiększa wykorzystanie uwierzytelnienia dwuskładnikowego (2FA).

W tej metodzie do zalogowania potrzebny jest jeszcze jeden element czyli np. kod przesłany SMS lub wygenerowany przez aplikację na Twoim smartfonie.

Jednak klasyczne sposoby na uwierzytelnianie dwuetapowe bywają zawodne. Wystarczy, że podasz kod na fałszywej stronie, a przestępca przechwyci go i użyje do zalogowania na Twoim koncie.

Klucz U2F – pełna ochrona przed phishingiem

Cyberprzestępcy są bezradni dopiero kiedy używasz U2F (zwanego też ub key lub yubikeyami od nazwy najpopularniejszego producenta). To najsilniejsza forma uwierzytelnienia.

Dlaczego? Klucze zabezpieczające wykorzystują kryptografię asymetryczną. To sprawia, że niepowołane osoby nie przechwycą go nawet jeżeli spróbujesz się zalogować nim na sfałszowanej stronie.

Klucz potrzebuje adresu prawdziwej strony www żeby się z nią poprawnie komunikować. Mówiąc inaczej, nie wykryje połączenia z podrobioną witryną.

Co to jest logowanie przy użyciu klucza zabezpieczeń?

Logowanie przy użyciu klucza zabezpieczeń polega na użyciu U2F do potwierdzenia swojej tożsamości.

Najważniejsze pytanie: Klucz U2F – jak działa?

Urządzenie U2F można połączyć z komputerem przy pomocy USB lub komunikacji bliskiego zasięgu NFC (najnowsze klucze działają ze smartfonami).

Oto jak wygląda uwierzytelnienie przy użyciu U2Fi:

1. Klucz sprzętowy należy dodać wchodząc do ustawień bezpieczeństwa danego serwisu, np. Gmail czy Facebook. Zazwyczaj opcja znajduje się w dziale dotyczącym dwuetapowego zabezpieczenia. Jeden klucz obsługuje dowolną liczbę serwisów.
2. Klucz podpinasz do portu USB komputera/laptopa lub łączysz się przez moduł zbliżeniowy NFC ze smartfonem.
3. Dotykasz U2F – w ten sposób uwierzytelniasz klucz zabezpieczeń. Przy kolejnym logowaniu po podaniu identyfikatora i hasła należy połączyć klucz z komputerem i dotknąć U2F w odpowiednim miejscu.
4. W serwisie tworzona jest para kluczy kryptograficznych — prywatny i publiczny. Klucz publiczny przechowywany jest na serwerze, a prywatny w U2F (w czipie Secure Element).
5. Co robią klucze? Prywatny szyfruje dane logowania przesyłane do serwera. Publiczny odszyfrowuje te dane.

Urządzenie U2F zawsze musisz użyć podczas pierwszego logowania na urządzeniu. Po zaznaczeniu opcji “zapamiętaj mnie” nie będzie potrzeby używania klucza przy każdym wejściu na stronę. Zrobisz to dopiero po wylogowaniu, samodzielnym lub przez serwis.

U2F ma pamięć typu wirte-only, to oznacza, że nie przechowuje żadnych danych. Skradziony lub znaleziony klucz nie będzie miał dla obcej osoby wartości.

Zalety klucza U2F:

• daje całkowitą ochronę przed phishingiem,
• umożliwia bezpieczne logowanie się do systemów online i offline czyli np. firmowego intranetu,
• jest wygodny w użyciu nawet dla osób, które nie mają rozbudowanej wiedzy technicznej: nie musisz instalować np. sterowników, a konfiguracja jest ograniczona do minimum,
• uwierzytelnisz go za pomocą dotyku,
• na serwisach, które nie wspierają U2F możesz przy pomocy klucza wygenerować kod 2FA – jak w klasycznej metodzie weryfikacji dwuetapowej (kod nie zostanie przechwycony, bo potrzebne jest fizyczne użycie klucza),
• część kluczy ma dodatkowe funkcje, np. możliwość logowania się na serwery/ systemu operacyjnego, generowanie kodu 2FA przechowywanie głównego hasła do menedżera haseł czy podpisywanie dokumentów,
• wystarczy jeden klucz, żeby zabezpieczyć dowolną liczbę dowolnych kont obsługujących U2F.

Wady klucza U2F:

• trzeba za niego zapłacić,
• nadal potrzebne jest podanie loginu i hasła (rozwiązaniem jest klucz bezpieczeństwa FIDO2, w którym te dane zastąpione są PIN-em),
• nie wszystkie serwisy wspierają U2F (nie robią tego np. polskie banki),
• to fizyczny przedmiot – musisz go mieć przy sobie podczas pierwszego logowania i na wypadek wylogowania z serwisu; klucz U2F możesz zgubić.

Producenci klucza U2F

Provider	Biometric	USB	NFC	BLE	FIPS Certified	Contact
AuthenTrend						https://authentrend.com/
Ciright						https://www.cyberonecard.com/
Crayonic						https://www.crayonic.com/
Ensurity						https://www.ensurity.com/
Excelsecu						https://www.excelsecu.com/
Feitian						https://shop.ftsafe.us
Fortinet						https://www.fortinet.com/
Giesecke + Devrient (G+D)						https://www.gi-de.com/
GoTrustID Inc.						https://www.gotrustid.com/
HID						https://www.hidglobal.com/
Hypersecu						https://www.hypersecu.com/
Identiv						https://www.identiv.com/
IDmelon Technologies Inc.						https://www.idmelon.com/
Kensington						https://www.kensington.com/
KONA I						https://konai.com/business/
Movenda						https://www.movenda.com/
NeoWave						https://neowave.fr/
Nymi						https://www.nymi.com/
Octatco						https://octatco.com/
OneSpan Inc.						https://www.onespan.com/
Swissbit						https://www.swissbit.com/
Thales Group						https://cpl.thalesgroup.com/
Thetis						https://thetis.io/collections/
Token2 Switzerland						https://www.token2.swiss/
TrustKey Solutions						https://www.trustkeysolutions.com/
VinCSS						https://passwordless.vincss.net
Yubico						https://www.yubico.com/

Pytania i odpowiedzi (Q&A)

Które serwisy wspierają U2F?

U2F wspierają najpopularniejsze serwisy online. Wśród nich jest Google, Facebook, Microsoft, Amazon, Twitter, WP, Onet, Dropbox i GitHub. Niestety nie ma wśród nich banków. Listę serwisów wspierających urządzenie U2F znajdziesz na stronach producentów, np. yubico.com/pl/works-with-yubikey/catalog

Gdzie kupić klucz U2F?

Klucz U2F kupisz m.in. na witrynie producentów lub w sklepach/serwisach online specjalizujących się w cyberbezpieczeństwie. Najbardziej znanym producentem kluczy jest amerykańska firma Yubico (YubiKey). Warto sprawdzić ceny u resellerów – często oferują lepsze warunki.

Jaki klucz U2F wybrać?

Wybór klucza U2F zależy od Twoich potrzeb. Np. są urządzenia dedykowane klientom indywidualnym, a inne lepiej posłużą w firmie. Za klucz, który będzie miał więcej funkcji (np. możliwość podpisania dokumentu elektronicznego lub wygeneruje kod autoryzacyjny) zapłacisz więcej. Na stronie firmy Yubico znajdziesz quiz, który pomoże dopasować U2F do Twoich wymagań.

Ile kosztuje klucz U2F?

Klucz U2F kosztuje 141 – 189 zł za Yubico Security Key oraz 249 – 479 zł za YubiKey. Dostępne są też tańsze, nie zawsze równie sprawne urządzenie produkowane przez np. firmy z Chin. Ceny kluczy sprzętowych zależą m.in. funkcji, którymi dysponują urządzenia.

Co to jest Security Key?

Security Key to klucz firmy Yubico (zwany też, ze względu na widok, niebieskim), który jest tańszy od YubiKey. Jest używany jako podstawowy klucz lub zapasowy. Główny klucz możesz nosić przy sobie, np. podpięty do breloka, a Security Key zostanie w domu. Niebieski klucz użyjesz żeby się zalogować do kont po zgubieniu podstawowego.

Co daje YubiKey?

YubiKey, najpopularniejszy klucz U2F, daje Ci pewność, że nikt niepowołany nie dostanie się do Twoich kont w serwisach online, np. poczty elektronicznej czy też na mediach społecznościowych. Klucz służy również do podpisywania dokumentów oraz odczytywania zaszyfrowanej poczty. Technologia użyta w YubiKey sprawia, że nie zadziała na stronie służącej do phishingu (podstawionej przez przestępców). Kluczy prywatnych, które są przechowywane na YubiKey nie można wykraść, nie będzie miała do nich dostępu również postronna osoba, która znajdzie/ukradnie urządzenie.

Fido U2F co to jest?

Fido U2F to klucz zabezpieczenia, który służy do weryfikacji tożsamości podczas logowania do serwisów internetowych oraz innych usług (np. podpisywania dokumentów elektronicznych). Eksperci nazywają go drugą generację U2F. Czym różni się od klasycznego urządzenia U2F? Jest wygodniejszy w użyciu, bo omija pierwszy etap logowania. Użytkownik nie musi podawać loginu i hasła, wystarczy użyć klucza i wprowadzić krótki PIN (funkcja passwordless).

Co to jest klucz bezpieczeństwa FB?

Klucz bezpieczeństwa FB to U2F, którym możesz zabezpieczyć konto na Facebook. Podobnie jak na innych serwisach, urządzenie U2F jest najmocniejszym rodzajem uwierzytelnienia dwuskładnikowego. Nawet po podaniu hasła na sfałszowanej stronie, intruz nie będzie mógł zalogować się na Twoje konto.