U2F是通用雙因素認證令牌的新標準。這些令牌可以使用USB、NFC或藍芽跨多種服務提供雙因素身份驗證。Chrome、Firefox和Opera已經支援Google、Facebook、Dropbox和GitHub帳戶。
該標準得到FIDO聯盟的支援,包括谷歌、微軟、貝寶、美國運通、萬事達卡、VISA、英特爾、ARM、三星、高通、美國銀行和許多其他大型公司。希望U2F安全令牌很快就會到處都是。
隨著Web認證API的出現,類似的東西將很快變得更加普遍。這將是一個標準的身份驗證API,可以跨所有平臺和瀏覽器工作。它將支援其他身份驗證方法以及USB金鑰。Web身份驗證API最初被稱為FIDO 2.0。
相關:什麼是雙因素認證,為什麼我需要它?
雙因素身份驗證是保護重要帳戶的重要方法。傳統上,大多數帳戶只需要一個密碼登入,這是一個因素,一些你知道。任何知道密碼的人都可以進入你的帳戶。
雙因素認證需要你知道的和你擁有的。通常,這是一條透過簡訊息傳送到**的資訊,或者是透過**上的googleauthenticator或Authy等應用程式生成的程式碼。有人需要您的密碼和對物理裝置的訪問才能登入。
但是雙因素身份驗證並不像應該的那麼簡單,它通常需要在您使用的所有服務中鍵入密碼和簡訊。U2F是一個通用標準,用於建立可以與任何服務一起使用的物理身份驗證令牌。
如果你熟悉Yubikey(一種物理USB金鑰,允許你登入LastPass和其他一些服務),你就會熟悉這個概念。不像標準的尤比基裝置,U2F是一個通用的標準。最初,U2F是由谷歌和Yubico合作**的。
目前,U2F裝置通常是**計算機USB埠的小型USB裝置。其中一些支援NFC,因此可以與Android**配合使用。它基於現有的“智慧卡”安全技術。當您將其**計算機的USB埠或輕觸**時,計算機上的瀏覽器可以使用安全加密技術與USB安全金鑰進行通訊,並提供允許您登入網站的正確響應。
因為這是作為瀏覽器本身的一部分執行的,所以與典型的雙因素身份驗證相比,它提供了一些很好的安全性改進。首先,瀏覽器會進行檢查,以確保它使用加密技術與真實網站進行通訊,這樣使用者就不會被騙在虛假的釣魚網站中輸入他們的雙因素程式碼。其次,瀏覽器會將程式碼直接傳送到網站,因此介於兩者之間的攻擊者無法捕獲臨時的雙因素程式碼並將其輸入到真實的網站以訪問您的帳戶。
網站也可以簡化你的密碼例如,一個網站可能會要求你一個長密碼,然後是一個雙因素程式碼,這兩個你必須鍵入。相反,有了U2F,網站可能會要求你記住一個四位數的PIN,然後要求你按下USB裝置上的一個按鈕,或者在**上點選它來登入。
FIDO聯盟也在開發UAF,它不需要密碼。例如,它可能使用現代智慧**上的指紋感測器來驗證各種服務。
你可以在FIDO聯盟的網站上閱讀更多關於標準本身的資訊。
Google Chrome、Mozilla Firefox和Opera(基於Google Chrome)是唯一支援U2F的瀏覽器,可以在Windows、Mac、Linux和Chromebooks上執行。如果您有一個物理U2F令牌並使用Chrome、Firefox或Opera,您可以使用它來保護您的Google、Facebook、Dropbox和GitHub帳戶。其他大型服務還不支援U2F。
U2F還可以與Android上的googlechrome瀏覽器配合使用,前提是你有一個內建NFC支援的USB鍵。蘋果不允許應用程式訪問NFC硬體,所以這在iPhone上不起作用。
雖然目前穩定版本的Firefox支援U2F,但預設情況下它被禁用。您需要啟用隱藏的Firefox首選項,以啟用U2F支援。
當Web認證API啟動時,對U2F金鑰的支援將變得更加廣泛。它甚至可以在MicrosoftEdge中工作。
你只需要一個U2F代幣就可以開始了。谷歌指示你在亞馬遜上搜索“fidou2f安全金鑰”來找到它們。最頂級的一款售價18美元,由Yubico公司生產,Yubico公司有生產實體USB安全金鑰的歷史。更昂貴的Yubikey NEO包括支援NFC的Android裝置。
相關:如何用U2F金鑰或YubiKey保護您的帳戶
然後,您可以訪問您的Google帳戶設定,找到兩步驗證頁面,然後單擊Security Keys選項卡。單擊Add a Security Key,您將能夠新增物理安全金鑰,您需要將其登入到您的Google帳戶。對於其他支援U2F的服務,這個過程將是類似的。更多資訊,請參閱本指南。
這還不是一個可以在任何地方使用的安全工具,但許多服務最終都應該新增對它的支援。在將來,Web身份驗證API和這些U2F金鑰會帶來很大的變化。
...合創始人沃倫·謝弗(Warren Shaeffer)在Medium的一篇博文中解釋說,公司“找不到一條可持續發展的道路”。從本質上說,謝弗認為谷歌和Facebook擁有所有的王牌,擁有多個應用程式、使用者資料和美國大部分的線上廣告支出。 ...
...以訪問你真正的Facebook帳戶或使用這些憑據試圖闖入你的其他帳戶:Gmail,亞馬遜,貝寶,銀行等。 ...
... 有一線希望。研究人員已經向谷歌、Facebook和其他SSO提供商發出了該漏洞的警報。除此之外,他們還與受影響的第三方開發人員合作解決問題。 ...
...谷歌在一篇關於關鍵字的帖子中公佈了密碼檢查。該公司解釋說,它開發的工具有助於教育那些“密碼習慣差”的人,並告知那些密碼在資料洩露中暴露的受害者。 ...
...問題?有沒有一個同樣方便、更安全的替代方案?我們要解釋一切。繼續閱讀了解更多。 ...
... 谷歌和微軟的報告都解釋說,正在進行的活動使用社交媒體開始與安全研究人員的正常對話,然後再向他們傳送包含後門的檔案。 ...
...些說明可能看起來很多,但那只是因為我們在儘可能多地解釋。一旦你用Algo建立了一個VPN幾次,它應該不會花很長時間。另外,您只需設定一次Algo的安裝環境。在那之後,您可以通過幾次按鍵來建立一個新的VPN伺服器。 但是你...
...,我們應該仔細看看什麼是U2F。雖然我們有一個更深入的解釋什麼是U2F,我們將涵蓋快速和骯髒的版本在這裡。 簡而言之,U2F是物理雙因素身份驗證令牌的標準。U2F沒有使用Authy、googleauthenticator或SMS來接收2FA程式碼,而是使用...