Wenn du nach Hause kommst, stellst du dich vor die Tür und suchst nach deinen Schlüsseln, dann benutzt du sie, um deinen Eingang zu öffnen. Du gibst keinen Code ein, du sprichst nicht mit der Tür, und du antwortest keine Rätsel, als ob du mit einer Sphinx sprichst. Es ist relativ sicher, ohne Ihnen massive Kopfschmerzen zu bereiten.

Die Internet-Version davon ist im Grunde der U2F-Schlüssel. Sie müssen zwar noch Ihr Passwort eingeben, aber die zusätzliche Arbeit, die Sie mit der Zwei-Faktor-Authentifizierung zu tun haben, entfällt, da Sie lediglich Ihren physischen Schlüssel in einen USB-Steckplatz einstecken müssen. Aber ist diese Methode mindestens so sicher wie andere Authentifizierungsmethoden? Und vielleicht noch wichtiger, spricht es etwas Neues an?

Ein Quick Crash-Kurs zur U2F-Authentifizierung

Um zu erklären, wie U2F funktioniert, müssen Sie bereits die Zwei-Faktor-Authentifizierung verstehen. Wenn Sie mit einem solchen Konzept nicht vertraut sind, verwenden wir Google Authenticator als funktionierendes Beispiel: Sie geben Ihre Login-Daten ein, um zu Google zu gelangen, und dann fordert der Server Sie auf, die Google Authenticator App auf Ihrem Smartphone zu öffnen. Einmaliges Passwort eingeben. Dieser letzte Schritt stellt sicher, dass die Person, die sich in Ihrem Konto anmeldet, dieselbe Person ist, die das Telefon besitzt, in dem GA installiert wurde (vermutlich sind Sie das!). Einige Entitäten (z. B. Banken) senden eine SMS an die mit Ihrem Konto verknüpfte Telefonnummer mit einem sechs- bis achtstelligen Code, um dasselbe Ergebnis zu erzielen. Andere (auch normalerweise Banken) geben Ihnen ein Token-Gerät, das diese Nummern generiert.

Okay, also verwendet die Zwei-Faktor-Authentifizierung zwei Dinge, um dich einzuloggen (daher der Name): dein Passwort und ein zusätzlicher Code , der zu etwas Physischem gehört, das du besitzt und das nur einmal benutzt werden kann.

Nun, da wir das aus dem Weg geschafft haben, arbeitet U2F in ein paar einfachen Worten: Es macht all das für Sie in Form eines physischen Schlüssels, wie der, mit dem Sie eine Tür öffnen. Der Schlüssel wird in einen USB-Steckplatz gesteckt und Sie drücken eine Taste, um Ihre Anmeldung zu beenden. Das Drücken dieser Schaltfläche löst einen Algorithmus aus, der intern einen Code generiert und automatisch an den authentifizierenden Server sendet.

Einfach genug, oder?

Warum U2F?

Wenn Sie die Zwei-Faktor-Authentifizierung sofort nutzen können, ohne etwas extra kaufen zu müssen, warum sollten sich die Leute so viel Mühe geben, um einen physischen Schlüssel zu bekommen? Für Unternehmen ist die Antwort offensichtlich: Sie müssen Ihren Mitarbeitern keine teuren Token-Geräte kaufen. Aber was sind die Vorteile für die Verbraucher? Schauen wir uns diese an:

  • Sie werden nie Codes eingeben müssen, was sehr praktisch ist.
  • Da Sie keine Codes eingeben müssen, kann der interne Code, der automatisch vom Schlüssel übertragen wird, länger sein (normalerweise etwa 32 Zeichen).
  • Sie müssen nicht auf Ihr Telefon angewiesen sein. (Was ist, wenn Ihr Telefon kaputt geht oder Sie Ihre Nummer ändern?)

Die Vorbehalte

Der Grund, warum ich nicht sehe, dass U2F so breit angewendet wird, ist, dass die Zwei-Faktor-Authentifizierung bereits den Standard gesetzt hat. Es ist leicht verfügbar und für Serviceprovider einfach zu implementieren. Derzeit sind nur die wichtigsten Dienste wie Google, Facebook, Dropbox und GitHub kompatibel.

Abgesehen von diesem Problem gibt es auch die Frage, was es anspricht. Einfach gesagt, wird es als eine verklärte Version der Zwei-Faktor-Authentifizierung gesehen, die marginal bequemer zu verwenden ist. Es spielt keine Rolle, dass U2F Man in The Middle Angriffe effizienter anspricht (obwohl das umstritten ist, und wir kommen dazu). Wahrnehmung ist wichtiger, wenn Sie versuchen, eine Idee zu verkaufen.

Wahrscheinlich ist der wichtigere Vorbehalt die Tatsache, dass U2F sehr wenig tut, um zu verhindern, dass ein Hacker Ihren Datenverkehr entführt und Sie als Spion Ihres Benutzeragenten in Ihrem Browser ausgibt. Diese Tatsache allein macht das Argument "höhere Sicherheit" für U2F umstritten.

Das wegnehmen

Obwohl U2F nicht unbedingt sicherer ist als eine Zwei-Faktor-Authentifizierung, ist es wichtig zu erwähnen, dass es einige Schritte in eine positive Richtung braucht (z. B. Erhöhung der Schlüssellänge, Beseitigung frustrierender Authentifizierungsbarrieren für Endbenutzer usw.). Als Technologie ist es vielleicht nicht "revolutionär", aber es macht seine Arbeit auf eine Art und Weise, die für die Menschen, die darin investieren, bequemer ist. U2F mag für Unternehmen attraktiv sein, aber die Verbraucher finden das 50-Dollar-Preisschild auf diesen kleinen Geräten möglicherweise nicht wert.

Lassen Sie uns etwas Interessantes besprechen. Was würde Sie davon überzeugen, einen U2F-Schlüssel zu kaufen? Oder bist du schon überzeugt? Erzähl uns alles in einem Kommentar!