Wiele firm, np. Google, Facebook, Microsoft czy Amazon, pozwala na stosowanie kluczy U2F. Tymczasem tam, gdzie ma to największe znaczenie dla naszych pieniędzy — technologia ta wciąż się nie zadomowiła. Ale może wkrótce się to zmieni. Otóż ING Bank zapowiedział, że planuje wprowadzić dodatkowe zabezpieczenie do logowania do bankowości internetowej, czyli właśnie klucz U2F.
Dodatkowe zabezpieczenie ma być stosowane do logowania do bankowości internetowej. Bank umożliwi klientom rejestrowanie ich własnych kluczy zarówno do Mojego ING w przeglądarce, jak i do Mojego ING mobile. Jeśli klient będzie posiadał zarejestrowany i aktywowany klucz sprzętowy, podczas logowania bank będzie prosił o jego użycie. Nowa usługa miałaby się pojawić na przełomie II i III kwartału 2023 r.
Klucz U2F byłby dodatkowym zabezpieczeniem, obok loginu i hasła. A także gwarancją, że po przejęciu hasła i loginu do banku oszuści nie będą mogli zalogować się na konto bez klucza U2F. Niewątpliwie jest to jedna z najlepszych metod ochrony przed wyłudzaniem haseł i phishingiem. Nie trzeba obawiać się fałszywych maili czy fałszywy telefonów od kogoś, kto podszywa się pod konsultanta z banku — bez klucza U2F i tak nie dostaną się do konta, nawet gdy używają login i hasło. Liczymy, że rozwiązanie to wprowadzą także i inne polskie banki.
Czym jest klucz U2F?
Klucz U2F (Universal 2nd Factor) to specjalny rodzaj klucza bezpieczeństwa wykorzystywany do autoryzacji transakcji online i dostępu do kont w Internecie. U2F został opracowany przez organizację FIDO Alliance, która dąży do stworzenia standardów w dziedzinie uwierzytelniania użytkowników w Internecie.
Klucz U2F jest małym urządzeniem podobnym do pendrive’a, które pozwala na generowanie jednorazowych kodów lub wykonanie podpisu cyfrowego. Co więcej, może być używany w celu zwiększenia bezpieczeństwa procesu uwierzytelniania dwuskładnikowego, jako drugi czynnik po hasłach lub kodach jednorazowych. Klucz U2F może być również stosowany jako narzędzie do autoryzacji transakcji online lub do podpisywania dokumentów elektronicznych.
Rozwiązanie to działa w oparciu o kryptografię asymetryczną, co oznacza, że klucz prywatny jest przechowywany tylko na urządzeniu użytkownika, a klucz publiczny jest przesyłany do serwera. To zapewnia, że klucz prywatny nie jest narażony na ryzyko kradzieży lub ataku hakerskiego.
Konfiguracja i stosowanie klucza U2F
Jak wygląda skonfigurowanie klucza U2F? Nie jest to skomplikowany proces, co możecie zobaczyć na poniższym wideo.
Oto schemat działania klucza U2F:
- Użytkownik loguje się do serwisu internetowego, który obsługuje klucz U2F.
- Serwis internetowy przesyła prośbę o skorzystanie z klucza, aby użytkownik mógł się zalogować.
- Użytkownik wkłada klucz do portu USB na swoim urządzeniu i naciska przycisk na kluczu, aby potwierdzić logowanie (możliwe jest także wykorzystanie technologii NFC).
- Klucz U2F generuje unikalny kod autoryzacyjny, który jest przesyłany z powrotem do serwisu internetowego.
- Serwis internetowy weryfikuje, czy kod autoryzacyjny jest poprawny i czy klucz U2F został prawidłowo zautoryzowany.
- Jeśli kod autoryzacyjny jest poprawny, serwis internetowy umożliwia użytkownikowi dostęp do konta.
Jest to rozwiązanie proste i niedrogie. Za kilkaset złotych otrzymujemy gwarancję, że uchroni nas chroni przed phishingiem, który jest najpopularniejszą metodą używaną przez złodziei w internecie. Jednym z najpopularniejszych i wysoko ocenianych kluczy U2F jest Yubico YubiKey 5C NFC.
Źródło: Bankier.pl, PRnews.pl