U2F a expliqué comment Google et d'autres entreprises créent un jeton de sécurité universel
U2F est un nouveau standard pour les jetons d'authentification universels à deux facteurs. Ces jetons peuvent utiliser USB, NFC ou Bluetooth pour fournir une authentification à deux facteurs à travers une variété de services. Il est déjà pris en charge dans les comptes Chrome, Firefox et Opera pour les comptes Google, Facebook, Dropbox et GitHub..
Cette norme est soutenue par l'alliance FIDO, qui comprend Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America et de nombreuses autres entreprises de grande taille. Attendez-vous à ce que les jetons de sécurité U2F soient omniprésents.
Quelque chose de similaire se généralisera bientôt avec l'API d'authentification Web. Ce sera une API d'authentification standard qui fonctionne sur toutes les plateformes et tous les navigateurs. Il supportera d'autres méthodes d'authentification ainsi que les clés USB. L'API d'authentification Web s'appelait à l'origine FIDO 2.0..
Qu'Est-ce que c'est?
L'authentification à deux facteurs est un moyen essentiel de protéger vos comptes importants. Traditionnellement, la plupart des comptes n’ont besoin que d’un mot de passe pour se connecter. C’est un facteur que vous connaissez. Toute personne connaissant le mot de passe peut accéder à votre compte..
L'authentification à deux facteurs nécessite quelque chose que vous connaissez et que vous possédez. Il s'agit souvent d'un message envoyé à votre téléphone par SMS ou d'un code généré via une application telle que Google Authenticator ou Authy sur votre téléphone. Quelqu'un a besoin à la fois de votre mot de passe et de l'accès au périphérique physique pour vous connecter.
Mais l'authentification à deux facteurs n'est pas aussi facile qu'elle devrait l'être et implique souvent la saisie de mots de passe et de messages SMS dans tous les services que vous utilisez. U2F est un standard universel pour la création de jetons d'authentification physique pouvant fonctionner avec n'importe quel service..
Si vous connaissez Yubikey, une clé USB physique vous permettant de vous connecter à LastPass et à certains autres services, vous serez familiarisé avec ce concept. Contrairement aux appareils Yubikey standard, U2F est un standard universel. Au départ, U2F a été conçu par Google et Yubico en partenariat.
Comment ça marche?
Actuellement, les périphériques U2F sont généralement de petits périphériques USB que vous insérez dans le port USB de votre ordinateur. Certains d'entre eux prennent en charge NFC afin qu'ils puissent être utilisés avec les téléphones Android. Il est basé sur la technologie de sécurité existante «carte à puce». Lorsque vous l'insérez dans le port USB de votre ordinateur ou que vous appuyez sur votre téléphone, le navigateur de votre ordinateur peut communiquer avec la clé de sécurité USB à l'aide d'une technologie de cryptage sécurisé et fournir la réponse correcte vous permettant de vous connecter à un site Web..
Comme cela s’exécute dans le navigateur lui-même, cela apporte des améliorations de sécurité intéressantes par rapport à l’authentification à deux facteurs typique. Tout d'abord, le navigateur vérifie qu'il communique avec le vrai site Web à l'aide d'un cryptage, afin que les utilisateurs ne soient pas trompés pour entrer leurs codes à deux facteurs dans des sites Web de phishing. Deuxièmement, le navigateur envoie le code directement au site Web. Ainsi, un attaquant assis entre les deux ne peut pas capturer le code temporaire à deux facteurs et le saisir sur le site Web réel pour accéder à votre compte..
Le site Web peut également simplifier votre mot de passe. Par exemple, un site Web peut actuellement vous demander un mot de passe long, puis un code à deux facteurs, que vous devez taper tous les deux. Au lieu de cela, avec U2F, un site Web pourrait vous demander un code PIN à quatre chiffres que vous devez vous rappeler, puis vous obliger à appuyer sur un bouton d'un périphérique USB ou à le taper contre votre téléphone pour vous connecter..
L'alliance FIDO travaille également sur UAF, qui ne nécessite aucun mot de passe. Par exemple, il peut utiliser le capteur d’empreintes digitales d’un smartphone moderne pour vous authentifier auprès de divers services..
Vous pouvez en savoir plus sur le standard lui-même sur le site Web de l'alliance FIDO.
Où est-il pris en charge?
Google Chrome, Mozilla Firefox et Opera (basé sur Google Chrome) sont les seuls navigateurs prenant en charge U2F. Cela fonctionne sur Windows, Mac, Linux et Chromebooks. Si vous avez un jeton U2F physique et utilisez Chrome, Firefox ou Opera, vous pouvez l’utiliser pour sécuriser vos comptes Google, Facebook, Dropbox et GitHub. D'autres gros services ne supportent pas encore U2F.
U2F fonctionne également avec le navigateur Google Chrome sur Android, en supposant que vous disposiez d'une clé USB avec prise en charge NFC intégrée. Apple n'autorisant pas les applications à accéder au matériel NFC, elle ne fonctionnera donc pas sur les iPhone..
Bien que les versions stables actuelles de Firefox prennent en charge U2F, elles sont désactivées par défaut. Vous devez activer une préférence cachée de Firefox pour activer le support U2F pour le moment..
La prise en charge des clés U2F se généralisera lorsque l’API d’authentification Web décollera. Cela fonctionnera même dans Microsoft Edge.
Comment l'utiliser
Vous avez juste besoin d'un jeton U2F pour commencer. Google vous invite à rechercher «Clé de sécurité FIDO U2F» sur Amazon pour les trouver. La plus haute coûte 18 $ et est fabriquée par Yubico, une entreprise qui fabrique depuis longtemps des clés de sécurité USB physiques. Le plus coûteux Yubikey NEO inclut la prise en charge NFC pour une utilisation avec les appareils Android.
Vous pouvez ensuite consulter les paramètres de votre compte Google, rechercher la page de vérification en deux étapes et cliquer sur l'onglet Clés de sécurité. Cliquez sur Ajouter une clé de sécurité et vous pourrez ajouter la clé de sécurité physique, dont vous aurez besoin pour vous connecter à votre compte Google. Le processus sera similaire pour d’autres services prenant en charge U2F-consultez ce guide pour plus de détails..
Ce n'est pas encore un outil de sécurité que vous pouvez utiliser partout, mais de nombreux services devraient éventuellement prendre en charge cette fonctionnalité. Attendez-vous à de grandes choses de l'API d'authentification Web et de ces clés U2F à l'avenir.