U2F是通用双因素认证令牌的新标准。这些令牌可以使用USB、NFC或蓝牙跨各种服务提供双因素身份验证。谷歌、Facebook、Dropbox和GitHub账户已经支持Chrome、Firefox和Opera。
该标准得到了FIDO联盟的支持,该联盟包括谷歌、微软、贝宝、美国运通、万事达卡、VISA、英特尔、ARM、三星、高通、美国银行和许多其他大公司。预计U2F安全令牌很快就会随处可见。
类似的东西很快就会随着Web身份验证API而变得更加广泛。这将是跨所有平台和浏览器工作的标准身份验证API。它将支持其他身份验证方法以及USB密钥。Web身份验证API最初称为FIDO 2.0。
那是什么?
相关:什么是双因素身份验证,我为什么需要它?
双因素身份验证是保护您的重要帐户的重要方式。传统上,大多数账户只需要密码就可以登录-这是一个因素,你知道的。任何知道密码的人都可以进入您的帐户。
双因素身份验证需要一些您知道的东西和一些您拥有的东西。通常,这是一条通过短信发送到手机的消息,或者是通过手机上的Google Authenticator或Authy等应用程序生成的代码。某人需要您的密码和对物理设备的访问权限才能登录。
但双因素身份验证并不像它应该的那样简单,它通常涉及到在你使用的所有服务中键入密码和短信。U2F是用于创建可与任何服务一起工作的物理身份验证令牌的通用标准。
如果你熟悉Yubikey-一种物理USB密钥,可以让你登录LastPass和其他一些服务-你就会熟悉这个概念。与标准Yubikey设备不同,U2F是一个通用标准。最初,U2F是由谷歌和Yubio合作制造的。
它怎麽工作?
目前,U2F设备通常是插入计算机USB端口的小型USB设备。其中一些支持NFC,因此可以在Android手机上使用。它基于现有的“智能卡”安全技术。当您将其插入计算机的USB端口或轻触手机时,计算机上的浏览器可以使用安全加密技术与USB安全密钥通信,并提供正确的响应,使您可以登录网站。
因为这是作为浏览器本身的一部分运行的,所以与典型的双因素身份验证相比,这为您提供了一些很好的安全性改进。首先,浏览器进行检查,以确保它使用加密技术与真实网站通信,这样用户就不会被骗将他们的双因素代码输入到虚假的钓鱼网站中。其次,浏览器直接将代码发送到网站,因此坐在中间的攻击者无法捕获临时的双因素代码并将其输入到真正的网站上,从而获得访问您的帐户的权限。
该网站还可以简化您的密码-例如,某个网站当前可能要求您输入一个很长的密码,然后再输入一个双因素代码,您必须键入这两个密码。取而代之的是,使用U2F,网站可能会要求你输入一个你必须记住的四位数PIN,然后要求你按下USB设备上的一个按钮,或者在你的手机上点击它才能登录。
FIDO联盟也在研究UAF,它不需要密码。例如,它可能会使用现代智能手机上的指纹传感器来通过各种服务对您进行身份验证。
你可以在FIDO联盟的网站上阅读更多关于该标准本身的内容。
它在哪里受到支持?
Google Chrome、Mozilla Firefox和Opera(基于Google Chrome)是仅有的支持U2F的浏览器。它可以在Windows、Mac、Linux和Chromebook上运行。如果你有一个物理的U2F令牌,并使用Chrome、Firefox或Opera,你可以用它来保护你的Google、Facebook、Dropbox和GitHub账户的安全。其他大型服务还不支持U2F。
U2F还可以在Android上使用谷歌Chrome浏览器,前提是你有一个内置了NFC支持的USB密钥。苹果不允许应用程序访问NFC硬件,因此这在iPhone上不起作用。
虽然当前稳定的Firefox版本支持U2F,但默认情况下它是禁用的。目前您需要启用隐藏的Firefox首选项才能激活U2F支持。
当Web身份验证API开始使用时,对U2F密钥的支持将变得更加广泛。它甚至可以在Microsoft Edge中运行。
如何使用它?
您只需要一个U2F令牌就可以开始了。谷歌会引导你在亚马逊上搜索“FIDO U2F安全密钥”来找到它们。最上面的一款售价18美元,由YUBICO公司制造,该公司有制造物理USB安全密钥的历史。价格更高的Yubikey neo支持与Android设备配合使用的NFC功能。
相关:如何使用U2F密钥或YubiKey保护您的帐户
然后,您可以访问您的Google帐户设置,找到两步验证页面,然后单击安全密钥选项卡。单击Add a Security Key(添加安全密钥),您就可以添加物理安全密钥,您需要将其登录到您的Google帐户。该过程与支持U2F的其他服务类似-有关更多信息,请查看本指南。
这还不是一个可以在任何地方使用的安全工具,但许多服务最终应该会增加对它的支持。期待网络身份验证API和这些U2F密钥在未来大有作为。