Data modyfikacji: Wtorek, 15.02.2022

Klucz U2F - co to jest? Wszystko o kluczach bezpieczeństwa

Obecnie zdecydowana większość użytkowników zdaje już sobie sprawę z faktu, że koniecznością jest używanie programów antywirusowych i osobnych haseł do poszczególnych serwisów internetowych. Jak więc to możliwe, że hackerzy zyskują dostępy do konto należących do osób znanych z pierwszych stron gazet? Dlaczego ciągle słyszy się o tym, że któraś z gwiazd straciła dostęp do swoich profili w mediach społecznościowych, wyciekły jej rozmowy i zdjęcia, dlaczego tak wiele osób traci pieniądze padając ofiarą internetowych oszustów? Przeczytaj, co zrobić, by nie być bezbronnym wobec cyberataków i poznaj klucze U2F- narzędzie, którego nienawidzą hackerzy.

Klucz U2F - pełna ochrona przed phishingiem

Klucze U2F (U2F security key) to jedyne dostępne obecnie na rynku rozwiązanie, które całkowicie chroni przed skutkami phishingu. To bardzo popularna w ostatnim czasie metoda stosowana przez oszustów. Polega na wyłudzeniu danych (na przykład haseł i loginów do kont w mediach społecznościowych, kont bankowych) dzięki podszyciu się pod znane serwisy i budzące zaufanie instytucje. Wystarczy, że otrzymasz na maila korespondencję do złudzenia przypominającą znaną Ci stronę i, myśląc że logujesz się do znanego serwisu, sam podasz oszustom swoje dane.

Aby mieć pewność, że to Ty logujesz się do serwisu, poważne instytucje finansowe stosują uwierzytelnianie dwuetapowe: podajesz login i hasło, a następnie kod otrzymany na telefon. Niestety, nie do końca chroni Cię to przed phishingiem - jeżeli wpisujesz dane na stronie należącej do oszustów, to istnieje ryzyko, że podasz im także kod SMS, który oni od razu wprowadzą w prawdziwej witrynie.

Czym są klucze bezpieczeństwa U2F?

Aby mieć pewność, że nikt nie ukradnie Twoich danych przy pomocy phishingu, warto stosować klucze U2F. Zwykle są to niewielkie urządzenia, które przy pomocy USB możesz podłączyć do smartfona. Dobrze chronią one użytkowników przed wyłudzeniem danych - na przykład danych logowania do serwisów takich jak Facebook, Instragram, Gmail, Microsoft, Youtube, DropBox czy Twitter, a także do bankowości internetowej (niestety obecnie polskie banki nie wspierają kluczu U2F - jednak dzięki wysyłaniu dokładnych informacji o realizowanych transakcjach ryzyko przy korzystaniu z nich jest niewielkie).

Klucze U2F stanowią jedyną formę uwierzytelniania, która daje stuprocentową ochronę przed wyłudzeniem danych, są właśnie klucze U2F. Są one skuteczne nawet w momencie, gdy sam podajesz swoje dane na fałszywej stronie, przesyłając je do przestępców. Wykorzystywane w kluczach U2F zaawansowane metody kryptografii asymetrycznej powodują, że w takiej sytuacji żadne informacje nie są przesyłane do oszustów. Klucze U2F chronią Cię więc nawet przed konsekwencjami Twojej własnej nieuważności. Pamiętaj jednak o tym, że jedynym celem stosowania kluczy U2F jest ochrona przed phishingiem - nie eliminują one innych zagrożeń, takich jak na przykład złośliwe oprogramowanie (malware), dlatego też nie zastąpią programów antywirusowych.

Jak działają klucze U2F?

Wykradzenie informacji przesyłanych za pomocą klucza U2F nie jest możliwe. Składa się on z dwóch elementów: prywatnego i publicznego klucza. Publiczny klucz służy wgraniu informacji do zewnętrznego serwisu. Następuje to w momencie, gdy użytkownik potwierdzi swoją tożsamość dotykając palcem urządzenia. Odcisk palca potwierdza, że dany klucz jest właściwym. Informacje podawane przez użytkownika przetwarzane są wyłącznie w bezpiecznej, prywatnej części urządzenia. W kluczach U2F wykorzystano pamięć typu write-only, dlatego też można z nich korzystać w pełni bezpiecznie, nie obawiając się o to, że dane mogłyby zostać wykradzione lub odczytane przez osoby niepożądane.

Jaki klucz U2F wybrać?

W sklepach dostępne są klucze U2F różnych producentów, które mogą znacznie różnić się od siebie ceną. To powoduje, że wiele osób ma wątpliwości, który model najlepiej wybrać. W rzeczywistości wszystkie klucze U2F, bez względu na producenta, w równym stopniu pozwalają na ochronę przed phishingiem.

Zaawansowane modele mogą jednak oferować dodatkowe przydatne funkcjonalności - na przykład możliwość logowania do systemu operacyjnego lub przechowywania kluczy SSH i PGP. Z całą pewnością istotną kwestią przy zakupie, na którą warto zwracać uwagę jest złącze - sprawdź, czy klucz który chcesz kupić wyposażony jest w standardowe złącze USB, USBC czy Lightning. Pamiętaj jednak, że bez problemu każdy klucz możesz wykorzystywać na różnych urządzeniach przy pomocy przejściówki.

Zachęcamy zawsze do tego, by kupować dwa klucze U2F. Pierwszy - na przykład oferujący dodatkowe funkcjonalności może służyć Ci na co dzień, tymczasem drugi - najprostszy i najtańszy - zamknij w sejfie lub w innym bezpiecznym miejscu. Wykorzystasz go w sytuacji, gdyby pierwszy Ci zginął.

Ucz się na błędach, najlepiej cudzych... Dlaczego korzystanie z kluczy U2F jest współcześnie koniecznością?

Nadal nie jesteś przekonany, czy zakup kluczy U2F jest Ci potrzebny?

Doświadczenia osobistości ze świata polityki i mediów pokazują, jak istotnym błędem była w ich przypadku rezygnacja z tego zabezpieczenia. John Podesta, szef kampanii Hillary Clinton w wyborach prezydenckich, stwierdził, że "gdyby korzystał z klucza U2F, nie zostałby zhackowany przez Rosjan". Założyciel Twittera, Jack Dorsey przyznał, że powinien był kupić klucze U2F dla swoich pracowników - to uniemożliwiłoby przejęcie wielu kont na Twitterze - w tym Billa Gatesa, Baracka Obamy, firmy Apple czy Elona Muska. Brak tych zabezpieczeń wprowadził zamieszanie na całym świecie. W Polsce minister rodziny i polityki społecznej padła ofiarą włamania na jej konto na Facebooku. Mogłaby tego uniknąć, gdyby używała kluczy U2F.