U2F —открытый протокол, позволяющий производить универсальную 2-факторную аутентификацию, поддерживается браузером Chrome 38 и более поздних версий. U2F был разработан FIDO Alliance – альянсом компаний Microsoft, Google, Lenovo, MasterCard, Visa, PayPal и др. Работа протокола осуществляется без дополнительной установки драйверов в операционных системах Windows/Linux/MacOS. Сервисы Wordpress ,Google, LastPass поддерживают работу протокола. Рассмотрим все плюсы и минусы работы с USB-токеном U2F.

На фоне растущей популярности двухэтапной аутентификации, осуществляемой посредством звонка или отправки SMS-сообщения, возникает закономерный вопрос – насколько она удобна и есть ли у подобного способа аутентификации подводные камни?

В качестве дополнительного способа проверки аутентификация с помощью звонка или отправки сообщения, конечно, очень удобна. Более того, такой способ доказал свою эффективность во многих случаях – так, он одинаково хорошо подойдет в качестве защитных мер против фишинга, автоматизированных атак, попыток подбора паролей, вирусных атак и т.д. Однако за удобством кроется опасность – если за дело возьмутся мошенники, привязка к телефонному номеру может сыграть против вас. Чаще всего аккаунт привязывается к указанному контактному номеру пользователя, первые или последние цифры которого может узнать каждый, если попытается выполнить восстановление доступа к аккаунту. Таким образом мошенники могут узнать ваш телефонный номер, после чего установить, на кого он оформлен. После получения информации о владельце мошенникам остается по поддельным документам в салоне оператора сотовой связи запросить перевыпуск SIM-карты. Полномочиями перевыпуска карт обладает любой сотрудник отделения, что позволяет мошенникам, получив SIM-карту с желаемым номером, войти в ваш аккаунт и совершать с ним любые манипуляции.

Некоторые компании, например крупные банки, сохраняют не только номер телефона владельца, с ним сохраняется и уникальный идентификатор SIM-карты – IMSI, в случае изменения которого привязка номера телефона аннулируется и ее необходимо выполнить заново лично клиенту банка. Однако подобные сервисы недостаточно широко распространены. Для того чтобы узнать IMSI для любого номера телефона, можно отправить специальный HLR –запрос на сайте smsc.ru/testhlr.

Для того чтобы избежать минусов, связанных с привязкой к телефонному номеру, был создан U2F аутентификатор – аппаратный модуль (SIM-карта, USB-токен, NFC брелок). Ключи устанавливаются на них при производстве и хранятся в токене. Работа осуществляется следующим образом: заполнив логин и пароль, пользователь должен пройти авторизацию на сайте или в приложении, после чего сервер получает учетные данные. В случае, если они введены корректно, происходит генерация запроса для токена и отправка браузеру (пользовательской программе). Далее этот запрос передается токену, который может, в зависимости от настроек, потребовать у пользователя ввести пинкод, провести биометрическую проверку и т. п. Далее программа получает ответ от токена и передает его на сервер, после чего аутентификация пользователя завершена. На данный момент Google Chrome 38 и более поздних версий поддерживает работы с U2F, в скором времени ожидается подключение к системе браузера FireFox. 

Современный U2F токен с поддержкой двухэтапной аутентификации в браузере, который гарантирует дополнительную безопасность вашего аккаунта, вы можете приобрести в нашем интернет-магазине.