Bezpieczeństwo IT

Klucz U2F – małe urządzenie, wielka siła ochrony przed phishingiem

Dodano: 06-04-2022 / Eximo Project


Istnieje wiele sposobów zabezpieczania naszych danych do logowania. Stosowanie silnych haseł i weryfikacji dwuetapowej zwiększa bezpieczeństwo online, jednak nie jest niezawodne. Hakerzy są w stanie przechwycić dane dostępowe w kilka sekund, dlatego warto dodatkowo zabezpieczyć się kluczem U2F – jedynym rozwiązaniem, które gwarantuje ochronę przed phishingiem. Jak działa klucz U2F i dlaczego warto w niego zainwestować?

Mimo rosnącej świadomości na temat cyberzagrożeń, ilość ataków hakerskich wzrasta z roku na rok. Najbardziej rozpowszechnioną formą są ataki phishingowe – według różnych statystyk stanowią one średnio 80-90% wszystkich ataków przeprowadzanych w sieci. W połączeniu z coraz bardziej zmyślnymi scenariuszami socjotechnicznymi, jakie stosują internetowi przestępcy, coraz trudniej jest uniknąć kradzieży wrażliwych danych – ofiarą ataku może paść każdy z nas. Więcej o phishingu pisaliśmy tutaj.

Nawet stosując zaawansowane metody uwierzytelniania dwuskładnikowego, nigdy nie powinniśmy zakładać, że nasze dane (zarówno firmowe, jak i prywatne) są odpowiednio zabezpieczone. Haker może przejąć login i hasło nawet jeśli zatwierdzamy logowanie do danego serwisu np. poprzez kod SMS. Aby atak się powiódł, wystarczy spreparowana strona i odpowiednio przygotowany system zatwierdzania kodu z wiadomości.

Istnieje jednak proste rozwiązanie, które może stanowić bloker dla każdego ataku phishingowego wymagającego podania danych dostępowych. Jest nim urządzenie o rozmiarach niewielkiego pendriva.

Klucz U2F – jak go użyć?

Aby mieć pewność, że proces logowania do danej strony lub aplikacji przebiega we w pełni chroniony sposób, należy wyposażyć się w klucz U2F. Jest to małe urządzenie posiadające najczęściej port USB, którego zadaniem, w dużym uproszczeniu, jest weryfikacja logowania.

Zasada działania klucza opiera się na standardzie Universal 2nd Factor, który zastępuje weryfikację dwuetapową. Aby skorzystać z tej formy zabezpieczenia, wystarczy:

  • umieścić klucz U2F w komputerze lub telefonie – można to zrobić za pomocą złącza USB, ale niektóre klucze umożliwiają również komunikację NFC, więc wystarczy zbliżyć je do obudowy telefonu,
  • sparować klucz z daną usługą, która obsługuje weryfikację kluczy U2F – np. z kontem Google, pocztą Gmail, profilem Facebook (przed zakupem klucza warto sprawdzić, jakie strony udostępniają możliwość skorzystania z logowania za pomocą klucza U2F - są one podane na stronach producentów tych urządzeń),
  • przejść standardowy proces logowania, a następnie zatwierdzić go poprzez wciśnięcie fizycznego przycisku znajdującego się na urządzeniu U2F.

Procedurę wystarczy przejść tylko raz dla danej strony – jeśli podczas logowania wybierzesz w przeglądarce opcję „Zapamiętaj hasło” , ponowne wykorzystanie klucza U2F będzie potrzebne dopiero wówczas, gdy do danej usługi będziemy logować się z innego urządzenia, lub gdy wylogujemy się z naszego konta i będziemy chcieli zalogować się ponownie. Do tego czasu klucz warto trzymać przy sobie, np. przy kluczach od mieszkania lub w szafce blisko komputera.

Jak działa klucz U2F?

Zadaniem klucza U2F jest potwierdzenie logowania – wystarczy raz podać login i hasło do serwisu i zatwierdzić je kluczem, aby przyszłe logowania były pod naszą kontrolą. Jeśli więc nawet trafimy na spreparowaną przez hakera stronę przypominającą do złudzenia np. naszą pocztę e-mail, próba wyłudzenia danych nie powiedzie się. Podanie hasła i loginu nie będzie wystarczające – będziemy musieli zatwierdzić logowanie kluczem, a ten wykryje, że jest to próba oszustwa.

Zabezpieczenie to działa jak dodatkowa para oczu, zachowując czujność za nas. Dzieje się tak, ponieważ urządzenie U2F generuje dwa klucze: jeden publiczny, a drugi – odpowiadający mu – prywatny. Odbywa się to na zasadzie klucza i zamka; para ta generowana jest przy każdym logowaniu do nowej usługi, a klucz pasuje zawsze tylko do jednego zamka. Innymi słowy, podczas logowania serwer sprawdza, czy użytkownik posiada odpowiedni klucz.

Co więcej, haker nie jest w stanie zdalnie aktywować klucza, ponieważ pierwsze logowanie do danej witryny wymaga potwierdzenia poprzez naciśnięcie fizycznego przycisku. Urządzenie U2F posiada pamięć typu write-only, przez co nie przechowuje żadnych danych. Jego zgubienie oznacza zatem, że znalazca nie przejmie żadnych haseł ani wrażliwych danych.

Zalety kluczy U2F

Nie ma niestety urządzenia, które w zapewnia stuprocentową ochronę przed cyberzagrożeniami. Również klucz U2F nie uchroni cię przed wirusami i szkodliwym oprogramowaniem. Stanowi on jednak bardzo silną zaporę przed atakami phishingowymi.

Wśród zalet kluczy U2F można wymienić:

  • skuteczną ochronę przed kradzieżą danych – używanie kluczy U2F zmniejsza ryzyko udanego ataku phishingowego praktycznie do zera,
  • w przypadku wycieku danych w miejscu, gdzie do logowania używaliśmy klucza U2F, haker znając nasze poświadczenia i tak nie zaloguje się bez naszego klucza,
  • wygodę i łatwość użycia – urządzenie jest małe i bardzo wytrzymałe, pasuje do standardowych portów USB, nie wymaga instalowania sterowników ani dodatkowego oprogramowania,
  • kompatybilność z urządzeniami mobilnymi – klucze U2F oferują możliwość ochrony zarówno na komputerach, jak i smartfonach oraz tabletach,
  • bezpieczeństwo w przypadku zgubienia urządzenia – na urządzeniu przechowywane są jedynie klucze cyfrowe, a nie poświadczenia do konta,
  • różnorodność wyboru – możemy zdecydować się na klucze tańsze lub droższe, w zależności od potrzeb i preferencji (wyższe wersje oferują m.in. przechowywanie kluczy SSH czy PGP).

Warto jednak pamiętać, że nie dla każdego klucz U2F będzie rozwiązaniem w pełni satysfakcjonującym. Wiele stron czy aplikacji nie obsługuje jeszcze standardu U2F – rozwiązania tego na chwilę obecną najbardziej brakuje choćby w polskiej bankowości elektronicznej.

Warto również pamiętać, że klucz jest nam fizycznie potrzebny, aby zalogować się do danej usługi z nowego urządzenia, dlatego trzeba mieć go zawsze blisko siebie. Oznacza to również większy wydatek, ponieważ specjaliści rekomendują zaopatrzenie się od razu w dwa klucze – główny i zapasowy. Inwestycja ta jest jednak warta swojej ceny, ponieważ potencjalna kradzież danych w wyniku ataku phishingowego może kosztować nas zdecydowanie więcej.

Kto powinien zdecydować się na klucz U2F?

Ponieważ ataki phishingowe mogą dotknąć każdego z nas, warto rozważyć zakup klucza U2F jako dodatkowej formy ochrony w sieci. Nawet jeśli do dziś nie padliśmy ofiarami kradzieży danych, nie oznacza to, że w przyszłości się to nie zdarzy, Konsekwencje mogą być wówczas różne, włączając w to także ryzyko kradzieży pieniędzy z konta.

Klucz może być stosowany zarówno przez osoby prywatne, jak i przez pracowników firm i administracji. W tym drugim przypadku warto zaopatrzyć w klucze szczególnie tych pracowników, którzy mają do czynienia z dużymi bazami danych czy danymi wrażliwymi (np. kadry lub zarząd). Małe urządzenie będzie w tym przypadku stanowiło barierę phishingowią silniejszą niż nawet najdroższy program antywirusowy.

Jeśli chcesz wiedzieć więcej o sposobach zabezpieczania danych firmowych przed phishingiem, skontaktuj się z nami! dh@eximoproject.pl, tel. +48 52 56 84 440