U2F è un nuovo standard per i token di autenticazione a due fattori universali. Questi token possono utilizzare USB, NFC o Bluetooth per fornire l'autenticazione a due fattori su una varietà di servizi. È già supportato in Chrome, Firefox e Opera per account Google, Facebook, Dropbox e GitHub.



Questo standard è supportato da l'alleanza FIDO , che include Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America e molte altre grandi aziende. Aspettati che i token di sicurezza U2F saranno presto ovunque.

Qualcosa di simile si diffonderà presto con il API di autenticazione web . Questa sarà un'API di autenticazione standard che funziona su tutte le piattaforme e tutti i browser. Supporterà altri metodi di autenticazione e chiavi USB. L'API di autenticazione Web era originariamente nota come FIDO 2.0.

Che cos'è?

IMPARENTATO: Che cos'è l'autenticazione a due fattori e perché ne ho bisogno?

trasmettere dal telefono al pc

Autenticazione a due fattori è un modo essenziale per proteggere i tuoi account importanti. Tradizionalmente, la maggior parte degli account ha solo bisogno di una password per accedere: questo è un fattore, qualcosa che conosci. Chiunque conosca la password può accedere al tuo account.

L'autenticazione a due fattori richiede qualcosa che conosci e qualcosa che possiedi. Spesso si tratta di un messaggio inviato al telefono tramite SMS o di un codice generato tramite un'app come Google Authenticator o Authy sul tuo telefono. Qualcuno ha bisogno sia della tua password che dell'accesso al dispositivo fisico per accedere.

Annuncio pubblicitario

Ma l'autenticazione a due fattori non è così facile come dovrebbe essere e spesso implica la digitazione di password e messaggi SMS in tutti i servizi che utilizzi. U2F è uno standard universale per la creazione di token di autenticazione fisici che possono funzionare con qualsiasi servizio.

cos'è un caricabatterie veloce

Se hai familiarità con Yubikey —una chiavetta USB fisica che consente di l e in LastPass e alcuni altri servizi: avrai familiarità con questo concetto. A differenza dei dispositivi Yubikey standard, U2F è uno standard universale. Inizialmente, U2F è stato realizzato da Google e Yubico in collaborazione.

Come funziona?

Attualmente, i dispositivi U2F sono generalmente piccoli dispositivi USB che inserisci nella porta USB del tuo computer. Alcuni di loro hanno NFC supporto in modo che possano essere utilizzati con i telefoni Android. Si basa sulla tecnologia di sicurezza delle smart card esistente. Quando lo inserisci nella porta USB del tuo computer o lo tocchi sul telefono, il browser del tuo computer può comunicare con la chiave di sicurezza USB utilizzando una tecnologia di crittografia sicura e fornire la risposta corretta che ti consente di accedere a un sito web.

Poiché viene eseguito come parte del browser stesso, offre alcuni miglioramenti di sicurezza rispetto alla tipica autenticazione a due fattori. Innanzitutto, il browser verifica che stia comunicando con il sito Web reale utilizzando la crittografia, in modo che gli utenti non vengano indotti con l'inganno a inserire i loro codici a due fattori in siti Web di phishing falsi. In secondo luogo, il browser invia il codice direttamente al sito Web, quindi un utente malintenzionato che si trova in mezzo non può acquisire il codice a due fattori temporaneo e inserirlo nel sito Web reale per accedere al tuo account.

Il sito Web può anche semplificare la tua password: ad esempio, un sito Web potrebbe attualmente richiederti una password lunga e quindi un codice a due fattori, entrambi da digitare. Invece, con U2F, un sito Web potrebbe chiederti un PIN di quattro cifre che devi ricordare e quindi richiedere di premere un pulsante su un dispositivo USB o toccarlo sul telefono per accedere.

L'alleanza FIDO sta lavorando anche su UAF, che non richiede password. Ad esempio, potrebbe utilizzare il sensore di impronte digitali su uno smartphone moderno per autenticarti con vari servizi.

scheda sim per telefono android
Annuncio pubblicitario

Puoi leggere di più sullo standard stesso sul sito dell'alleanza FIDO .

Dove è supportato?

Google Chrome, Mozilla Firefox e Opera (basato su Google Chrome) sono gli unici browser che supportano U2F. Funziona su Windows, Mac, Linux e Chromebook. Se disponi di un token U2F fisico e utilizzi Chrome, Firefox o Opera, puoi utilizzarlo per proteggere i tuoi account Google, Facebook, Dropbox e GitHub. Altri grandi servizi non supportano ancora gli U2F.

Gli U2F funzionano anche con il Browser Google Chrome su Android , supponendo che tu disponga di una chiave USB con supporto NFC integrato. Apple non consente alle app di accedere all'hardware NFC, quindi non funzionerà su iPhone.

come modificare Nintendo Switch

Sebbene le attuali versioni stabili di Firefox abbiano il supporto U2F, è disabilitato per impostazione predefinita. Avrai bisogno di abilitare una preferenza nascosta di Firefox per attivare il supporto U2F al momento.

Il supporto per le chiavi U2F diventerà più diffuso quando l'API di autenticazione Web decollerà. Funzionerà anche in Microsoft Edge.

Come puoi usarlo

Hai solo bisogno di un token U2F per iniziare. Google ti indirizza a cercare Amazon per Chiave di sicurezza FIDO U2F per trovarli. Quello in alto costa $ 18 ed è prodotto da Yubico, un'azienda con una storia nella produzione di chiavi di sicurezza USB fisiche. Il più costoso Yubikey NEO include il supporto NFC per l'utilizzo con dispositivi Android.

IMPARENTATO: Come proteggere i tuoi account con una chiave U2F o YubiKey

alternativa al centro multimediale di Windows 10

Puoi quindi visitare le impostazioni del tuo account Google, trovare la pagina di verifica in due passaggi e fare clic sulla scheda Token di sicurezza. Fai clic su Aggiungi un token di sicurezza e sarai in grado di aggiungere il token di sicurezza fisico, che ti servirà per accedere al tuo account Google. Il processo sarà simile per altri servizi che supportano U2F— dai un'occhiata a questa guida per saperne di più .


Questo non è uno strumento di sicurezza che puoi ancora utilizzare ovunque, ma molti servizi dovrebbero eventualmente aggiungere il supporto per questo. Aspettati grandi cose dall'API di autenticazione Web e da queste chiavi U2F in futuro.

LEGGI SUCCESSIVO