Bezpieczeństwo

Hakerzy nie chcą, byś z niego korzystał – czym jest klucz U2F?

przeczytasz w 5 min.

Klucz U2F to skuteczna broń w walce z tymi, którzy chcieliby się włamać na twoje konta. To najlepszy sposób, by zadbać o swoje bezpieczeństwo i prywatność. Jak to działa i jak z tego korzystać?

Co to jest klucz U2F?

Klucz U2F to nieduże urządzenie z wtykiem USB – na pierwszy rzut oka wygląda po prostu jak pendrive. W przeciwieństwie do niego nie służy jednak do przechowywania i przenoszenia plików, lecz do bezpiecznego potwierdzania swojej tożsamości w sieci. Skutecznie poprawia bezpieczeństwo, a zarazem sprawia, że uwierzytelnianie dwuskładnikowe (2FA) staje się zdecydowanie wygodniejsze.

Uwierzytelnianie dwuskładnikowe polega na tym, że po wprowadzeniu loginu i hasła trzeba jeszcze potwierdzić swoją tożsamość w inny sposób. Zwykle chodzi tu po prostu o wprowadzenie kodu wysłanego SMS-em lub wygenerowanego w aplikacji. Klucz U2F pozwala zastąpić te kody i w ten sam sposób zwiększyć bezpieczeństwo. Po pierwsze dlatego, że częściej kradzione są jednak telefony niż „pendrive’y”. Po drugie: bo o ile z telefonu, na którym jesteśmy zalogowani łatwo będzie cyberprzestępcy sczytać kod, to już z klucza U2F go nie wyczyta (wszystkie dane są szyfrowanie i nawet sam użytkownik nie ma do nich dostępu). 

Po co mi fizyczny klucz zabezpieczeń?

Właśnie po to, o czym mówiłem przed chwilą. Fizyczny klucz zabezpieczeń pozwala ci wygodnie i z zachowaniem bezpieczeństwa logować się do komputera, usług cyfrowych i stron internetowych. Taki klucz chroni cię też przed próbami wyłudzenia danych logowania (o czym szerzej za chwilę).  

U2F yubikey
Tak wygląda klucz U2F, konkretnie: YubiKey 5C NFC.

Jak działa klucz U2F?

Klucz U2F przechowuje indywidualny i silnie zaszyfrowany „kod dostępu”. Możesz pomyśleć o tym jak o pancernym sejfie, w którym zamknięty jest klucz do mieszkania. Bez niego nie dostaniesz się do środka. 

Działa to tak, że podczas logowania się na komputerze czy jakiejś stronie internetowej musisz najpierw podać swój login i hasło, a następnie uwierzytelnić się poprzez uruchomienie klucza U2F – albo podpiętego do portu USB w tym samym urządzeniu albo też połączonego przez NFC. Brak klucza uniemożliwia przejście procesu logowania, więc nawet jeśli twój login i hasło wyciekną, to nic się z nimi nie da zrobić. 

Klucz U2F zastępuje więc nie tyle login i hasło, co drugi składnik uwierzytelniania 2FA, na przykład kod z SMS-a lub aplikacji. Trzeba tylko zadbać o odpowiednią konfigurację (do czego jeszcze dojdziemy). 

Przed czym chroni YubiKey?

YubiKey – tak jak każdy fizyczny klucz zabezpieczeń – nie ochroni cię przed każdym zagrożeniem w sieci. Skutecznie jednak zabezpiecza przed tak zwanym phishingiem, czyli ukierunkowanym atakiem, którego celem jest wykradzenie twoich danych (a przede wszystkim: danych logowania). 

Po pierwsze bowiem nie pozwala na przesłanie loginu i hasła do oszustów (samodzielnie wykrywa podrobione strony internetowe i blokuje przekazywanie informacji na ich serwery). Po drugie – nawet jeśli cyberprzestępca uzyska twój login i hasło, to będą one bezużyteczne, ponieważ do poprawnego zalogowania się konieczne jest także użycie klucza U2F.

U2F Yubico

Krótko mówiąc: ktoś musiałby zarazem wykraść twoje dane logowania i ukraść twój klucz U2F – dopiero jedno i drugie pozwala mu zalogować się na twoje konto, a taki scenariusz jest bardzo mało prawdopodobny. 

Jak używać klucza U2F?

Aby wszystko zadziałało jak należy, trzeba we właściwy sposób używać takiego klucza. Co to oznacza? Przede wszystkim odpowiednią konfigurację… 

Jak skonfigurować YubiKey?

Najbardziej czasochłonnym procesem jest konfiguracja klucza YubiKey. Nie da się bowiem ustawić go globalnie jako sposób uwierzytelniania, lecz trzeba dodać wprowadzić go do każdej usługi, każdej strony i każdego systemu osobno. Na szczęście nie jest to wcale takie trudne. 

Wejdź na stronę, na której chcesz dodać logowanie poprzez klucz U2F. Zaloguj się normalnie, przejdź do Ustawień i tam w sekcji bezpieczeństwa znajdziesz opcję uwierzytelniania dwuskładnikowego i rejestrowania kluczy zabezpieczeń. Poniżej dwa przykłady:

Jak skonfigurować klucz U2F w Windows 11?

  • włącz Ustawienia
  • wybierz kategorię Konta, a następnie Opcje logowania
  • w sekcji Sposoby logowania wybierz Klucz zabezpieczeń
  • podepnij klucz U2F do portu USB i kliknij Zarządzaj.

U2F Windows 11

Jak skonfigurować klucz U2F na Facebooku?

  • włącz Ustawienia konta (twój awatar w prawym górnym rogu)
  • wybierz Ustawienia i prywatność, a następnie Ustawienia
  • z menu po lewej wybierz Bezpieczeństwo i logowanie
  • kliknij Edytuj przy Używaj uwierzytelniania dwuskładnikowego 
  • kliknij Użyj klucza zabezpieczeń i dodaj swój klucz U2F

U2F Facebook

Uwaga, bo teraz rzecz najważniejsza. Pamiętaj o tym, by po dodaniu klucza U2F w ustawieniach logowania do danego serwisu usunąć wszystkie inne metody uwierzytelniania dwuskładnikowego (SMS, e-mail czy kod z aplikacji). W innym razie cyberprzestępca obejdzie się bez klucza. 

Gdzie można skorzystać z klucza U2F?

Klucz U2F może posłużyć do logowania się na komputerze i w rozmaitych usługach cyfrowych. Przede wszystkim jednak można z niego korzystać w serwisach oferujących logowanie dwuskładnikowe. YubiKey deklaruje kompatybilność z dziesiątkami różnych platform, wśród których znajdują się:

  • komputery z systemami Windows, Linux i macOS, 
  • konta Google czy Microsoft, 
  • menedżery haseł (między innymi LastPass i KeePass), 
  • usługi zdalne, 
  • CMS-y, 
  • narzędzia deweloperskie
  • oraz serwisy internetowe (między innymi Facebook, Dropbox, Gmail, ale tak naprawdę ich lista jest zdecydowanie dłuższa i obejmuje wszystkie popularne platformy online).

Owszem, nie wszystkie serwisy oferują dwuskładnikowe uwierzytelnianie z kluczem U2F, ale każdy duży daje taką możliwość. Dotyczy to zarówno biznesowych usługodawców, jak i podmioty kierowane do zwykłych użytkowników. 

Co warto podkreślić, YubiKey nie wymaga żadnego dodatkowego oprogramowania. Dzięki temu korzystanie z niego jest proste i możesz wykorzystać taki klucz do logowania praktycznie na każdym komputerze, bez konieczności jego dodatkowego przystosowywania. 

Ile kosztuje klucz U2F? Cena nie jest wysoka

Podstawowy model – Yubico Security Key NFC (z klasycznym wtykiem USB i łącznością NFC) – kosztuje około 160-180 złotych. To niewygórowana cena, biorąc pod uwagę to, jak bardzo zwiększa bezpieczeństwo. 

Nieco droższe (około 200 złotych) są klucze z wtykiem USB typu C, które pasują do większej liczby urządzeń, między innymi do tabletów i smartfonów nieobsługujących NFC, a także do nowoczesnych laptopów. 

Masz większy budżet? W takim przypadku warto pomyśleć o nowej generacji kluczy (z „piątką” w nazwie). Oferują one silniejsze szyfrowanie oraz kompatybilność z większą liczbą standardów (między innymi OpenPGP). 

Jest też dostępny tańszy o kilkadziesiąt złotych Yubikey 5C bez modułu zbliżeniowego NFC. 

Za około 300 złotych możemy również kupić klucz typu nano, który niemal w całości chowa się w porcie USB, co jest bardzo wygodnym rozwiązaniem.

Z kolei najbardziej zaawansowane modele – takie jak YubiKey BIO – kosztują około 500 złotych, ale oferują dodatkową warstwę zabezpieczeń w postaci systemów biometrycznych (czyli po prostu odcisku palca). Taki klucz, nawet skradziony, nie pozwoli włamać się na twoje konto komuś, kto zna twój login i hasło. 

Modele nano i BIO także są dostępne w wersji z wtykiem USB typu C.

Gdzie kupić klucz U2F?

Klucze YubiKey można kupić w wielu popularnych sklepach z elektroniką. Mają je w swoich ofertach między innymi Komputronik, Morele, x-kom i polski Amazon. Znajdziesz je też w oficjalnym sklepie Yubico, ale wówczas spodziewaj się nieco wyższych cen niż te podane w tekście.

Warto mieć więcej niż jeden klucz U2F

Choć jeden klucz pozwala logować się do wszystkich kont, to warto jednak kupić też zapasowy klucz – na wypadek, gdyby ten pierwszy został ci ukradziony albo po prostu się zgubił. Jako ten dodatkowy idealnie sprawdzi się najtańszy model – Yubico Security Key NFC. 

U2F Security Key

Podsumowanie, czyli największe wady i zalety kluczy U2F

Dwie największe zalety kluczy U2F to zdecydowana poprawa bezpieczeństwa oraz prostota użytkowania. Po przeprowadzeniu konfiguracji korzystanie z takiego urządzenia jest naprawdę łatwe. 

Wady natomiast są trzy: konieczność wydania kilkuset złotych na taki klucz, wydłużenie czasu logowania oraz fakt, że takie urządzenie trzeba później mieć zawsze przy sobie, gdy chce się zalogować. 

Choć jednak wady mają tu przewagę liczebną, to zalety zdecydowanie górują. Dla osób, które prywatność i bezpieczeństwo traktują priorytetowo jest to po prostu sprzęt obowiązkowy.   

Źródło: Yubico, informacja własna

Komentarze

24
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Kenjiro
    13
    Dwa klucze to minimum na wypadek uszkodzenia jednego, ale i tak trzeba koniecznie przygotować klucze awaryjnego logowania, na wypadek utraty lub niemożności skorzystanie z kluczy sprzętowych. Takie klucze awaryjne w postaci haseł jednorazowych najlepiej wydrukować i schować gdzieś u siebie, i np. u rodziny.
    Wdrożenie jednego klucza U2F bez dostępu awaryjnego może skończyć się utratą danych, np. gdy magazyn danych jest szyfrowany kluczem pochodnym z U2F, albo gdy dostawca odmówi ci usunięcia/wyłączenia U2F z "twojego" konta, bo nie masz U2F.
    • avatar
      digitmaster
      4
      W temacie artykułu to wszystko fajnie, ale rozróżnienie powinno być na zasadzie - ten niebieski i ten czarny. Niebieski, security key jest dobry dla 95% użytkowników. Posiada funkcję challenge-response i kilka innych ficzerów które wystarczają. Czarny jest dla zaawansowanego użytkownika wiedzącego jak z niego skorzystać np. w perspektywie przetrzymywania w dwóch dodatkowych slotach np. certyfikatów własnych czy kluczy PGP/GPG.
      Osobiście mam 4 klucze. Jeden niebieski jako prywatny do podstawowych rzeczy, jeden nano do lapka, gdzie siedzi na stałe + 2 czarne skonfigurowane do zadań firmowych i kluczowych prywatnych.
      Patrząc na komentarze widać że ludzie mają wywalone na bezpieczeństwo własne i innych. Dlatego tez na FB roi się od scamu z przejętych kont, kradzione skrzynki mailowe, łowienie frajerów na olx i innych portalach... ludzie sami są winni. A wszystko wychodzi od prostej zasady - zabezpiecz sobie dostęp do maila.
      • avatar
        Virtus
        3
        Czy strony banków obsługują ten klucz?
        • avatar
          saha8
          2
          Nie widzę żadnego praktycznego zastosowania takiego klucza przez bardzo ograniczoną liczbę serwisów. 2FA zwiększa tylko irytacje użytkowników.
          • avatar
            Johnyfin
            1
            Google Authenticator tylko i wylacznie. Po co komplikowac sobie zycie. Jak ktos uzywa tel. Tylko do dzwonienia - to jest najlepsze wyjscie
            • avatar
              Damian_jo
              0
              Wziąłbym gdyby współpracowały z nim wszystkie gamingowe platformy - uPlay, Steam, Origin, Epic, GOG i Rockstar (ostatnie 3 współpracują), do tego iTunes/Apple - gdyby każda ze stron to obsługiwała...
              • avatar
                zack24
                0
                Można z tego co pamiętać zrobić samodzielnie taki klucz, tzn. podobnie działający z pedrive'a
                Kiedyś testowaliśmy takie rozwiązanie dla naszych systemów, ale jak to w życiu bywa, potem musieliśmy deaktywować. Tu się kłania noszenie i pamiętanie o swoim kluczu.
                • avatar
                  kokosnh
                  0
                  można też skorzystać z google authenticator, jest za darmo i mniej uciążliwy, niż fizyczne klucze.
                  Ogólnie jakiekolwiek dwuskładnikowe uwierzytelnienie...
                  • avatar
                    _taurus_
                    0
                    Uzywam Authy dostepne na iOS, Mac OS Linux WIndows OS, Android OS i to za darmo...

                    Baza 2FA szyfrowana i synchronizowana na wszystkie urzadzenia oraz OS'y po weryfikacji urzadzenia... czyli jak zbije sie szybka telefonu mamy dostep z Linux lub innego wymienionego OS...

                    Wiec nie widze sensu uzywania u2f...
                    • avatar
                      Mighnt
                      -1
                      Próbują wcisnąć klucze, zanim nie okaże się, że przestają być użyteczne, gdy wszyscy zaczną przechodzić na logowanie bezhasłowe...
                      • avatar
                        JacobT
                        0
                        Poza wskazanymi sklepami jest też dużo innych oficjalnych, takie jak: x-kom, VOIP24sklep.pl, ITCentris, IVEL, SAPSAN, Techlord itd.
                        • avatar
                          bench
                          0
                          Na Allegro za 200: https://allegro.pl/listing?string=YubiKey%205C%20NFC&stan=nowe

                          Ale noszenie go, nie zgubienie i pamiętanie o tym kluczu jest mocno niewygodne.
                          • avatar
                            bench
                            0
                            Jaki byśmy nie mieli stosunek do konieczności posiadania tego klucza, to tekst jest bardzo ładnie i przejrzyście napisany. Brawo autor !