Khi về đến nhà, bạn đứng trước cửa và dò dẫm tìm chìa khóa, sau đó sử dụng chúng để mở khóa lối vào. Bạn không gõ mã, bạn không nói chuyện với cửa và bạn không trả lời câu đố như thể bạn đang nói chuyện với một nhân sư. Nó tương đối an toàn trong khi không khiến bạn phải đau đầu.
Phiên bản Internet của điều này về cơ bản là khóa U2F. Mặc dù bạn vẫn phải nhập mật khẩu của mình, nhưng công việc bổ sung bạn phải làm với xác thực hai yếu tố sẽ biến mất vì tất cả những gì bạn phải làm là cắm khóa vật lý của mình vào khe cắm USB. Nhưng phương pháp này ít nhất có an toàn như các phương pháp xác thực khác không? Và có lẽ quan trọng hơn, nó có đề cập đến điều gì mới không?
Khóa học xử lý sự cố nhanh về xác thực U2F
Để giải thích cách hoạt động của U2F, bạn phải hiểu xác thực hai yếu tố. Nếu bạn không quen với khái niệm như vậy, hãy sử dụng Google Authenticator làm ví dụ hoạt động:Bạn nhập chi tiết đăng nhập của mình để truy cập vào Google, sau đó máy chủ của họ yêu cầu bạn mở ứng dụng Google Authenticator trên điện thoại của bạn để nhận sáu- mật khẩu một lần chữ số. Bước cuối cùng này đảm bảo rằng người đăng nhập vào tài khoản của bạn chính là người sở hữu điện thoại đã được cài đặt GA (có lẽ chính là bạn!). Một số tổ chức (ví dụ:ngân hàng) gửi SMS đến số điện thoại được liên kết với tài khoản của bạn với mã từ sáu đến tám chữ số để đạt được kết quả tương tự. Những người khác (cũng thường là ngân hàng) sẽ cung cấp cho bạn một thiết bị mã thông báo để tạo ra những con số này.
Được rồi, vì vậy xác thực hai yếu tố sẽ sử dụng hai thứ để bạn đăng nhập (do đó có tên):mật khẩu của bạn và một mã bổ sung được liên kết với một thứ vật lý mà bạn sở hữu chỉ có thể được sử dụng một lần.
Bây giờ chúng ta đã hiểu rõ điều đó, đây là cách hoạt động của U2F trong một vài từ đơn giản:Nó thực hiện tất cả những điều này cho bạn dưới dạng một chìa khóa vật lý, giống như chìa khóa bạn sử dụng để mở cửa. Chìa khóa được cắm vào khe cắm USB và bạn nhấn một nút để hoàn tất quá trình đăng nhập của mình. Việc nhấn nút đó sẽ kích hoạt một thuật toán tạo mã trong nội bộ và gửi mã đó tự động đến máy chủ xác thực.
Đủ đơn giản, phải không?
Tại sao lại là U2F?
Nếu bạn có thể sử dụng xác thực hai yếu tố ngay lập tức mà không cần phải mua thêm bất kỳ thứ gì, tại sao mọi người nên cố gắng tìm kiếm một khóa vật lý? Đối với các doanh nghiệp, câu trả lời là hiển nhiên:bạn không cần phải mua cho nhân viên của mình các thiết bị mã thông báo đắt tiền. Nhưng lợi ích là gì cho người tiêu dùng? Hãy xem xét những điều đó:
- Bạn sẽ không bao giờ phải nhập mã, điều này rất tiện lợi.
- Vì bạn không phải nhập mã nên mã nội bộ được khóa tự động truyền có thể dài hơn (thường khoảng 32 ký tự).
- Bạn không cần phải phụ thuộc vào điện thoại của mình. (Điều gì sẽ xảy ra nếu điện thoại của bạn bị hỏng hoặc bạn thay đổi số của mình?)
Những lưu ý
Lý do tại sao tôi không thấy U2F được áp dụng rộng rãi là do xác thực hai yếu tố đã thiết lập tiêu chuẩn. Nó sẵn có và đủ dễ dàng để các nhà cung cấp dịch vụ triển khai. Hiện tại, chỉ các dịch vụ chính như Google, Facebook, Dropbox và GitHub mới có khả năng tương thích.
Ngoài vấn đề này, còn có vấn đề về những gì nó giải quyết. Nói một cách đơn giản, nó sẽ được coi là một phiên bản được đánh giá cao của xác thực hai yếu tố, tiện lợi hơn một chút để sử dụng. Không có vấn đề gì khi U2F giải quyết các cuộc tấn công Man in The Middle hiệu quả hơn (mặc dù điều đó còn gây tranh cãi và chúng ta sẽ giải quyết vấn đề đó). Nhận thức quan trọng hơn khi bạn đang cố gắng bán một ý tưởng.
Có lẽ điều quan trọng hơn cần lưu ý là thực tế là U2F có rất ít hành động để ngăn chặn tin tặc chiếm đoạt lưu lượng truy cập của bạn và mạo danh bạn bằng cách giả mạo tác nhân người dùng của bạn trong trình duyệt của bạn. Chỉ riêng thực tế này đã khiến lập luận "bảo mật cao hơn" cho U2F gây tranh cãi.
Takeaway
Mặc dù U2F không nhất thiết phải an toàn hơn xác thực hai yếu tố, nhưng cần lưu ý rằng nó thực hiện một vài bước theo hướng tích cực (ví dụ:tăng độ dài khóa, loại bỏ các rào cản xác thực gây khó chịu cho người dùng cuối, v.v.). Là một công nghệ, nó có thể không phải là “cách mạng”, nhưng chắc chắn nó thực hiện công việc của mình theo cách thuận tiện hơn cho những người đầu tư vào nó. U2F có thể hấp dẫn đối với các doanh nghiệp, nhưng người tiêu dùng có thể không tìm thấy mức giá $ 50 trên những thiết bị nhỏ bé này xứng đáng với chi phí bỏ ra.
Hãy thảo luận về điều gì đó thú vị. Điều gì sẽ thuyết phục bạn mua khóa U2F? Hay bạn đã bị thuyết phục rồi? Hãy cho chúng tôi biết tất cả về điều đó trong một bình luận!