phhsnews.com


phhsnews.com / Explication de U2F: comment Google et d'autres entreprises créent un jeton de sécurité universel

Explication de U2F: comment Google et d'autres entreprises créent un jeton de sécurité universel


U2F est une nouvelle norme pour les jetons d'authentification universels à deux facteurs. Ces jetons peuvent utiliser USB, NFC ou Bluetooth pour fournir une authentification à deux facteurs sur une variété de services. Il est déjà supporté par Chrome, Firefox et Opera pour les comptes Google, Facebook, Dropbox et GitHub.

Cette norme est soutenue par l'alliance FIDO, qui inclut Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America, et beaucoup d'autres sociétés massives. Attendez-vous à ce que les jetons de sécurité U2F soient bientôt partout.

Quelque chose de similaire va bientôt se généraliser avec l'API Web Authentication. Ce sera une API d'authentification standard qui fonctionne sur toutes les plateformes et tous les navigateurs. Il prendra en charge d'autres méthodes d'authentification ainsi que des clés USB. L'API d'authentification Web était à l'origine connue sous le nom de FIDO 2.0

Qu'est-ce que c'est

RELATED: Qu'est-ce que l'authentification à deux facteurs et pourquoi en avoir besoin?

L'authentification à deux facteurs manière de protéger vos comptes importants. Traditionnellement, la plupart des comptes ont juste besoin d'un mot de passe pour se connecter - c'est un facteur, quelque chose que vous connaissez. Toute personne connaissant le mot de passe peut entrer dans votre compte.

L'authentification à deux facteurs nécessite quelque chose que vous connaissez et quelque chose que vous avez. Souvent, il s'agit d'un message envoyé à votre téléphone via SMS ou un code généré via une application comme Google Authenticator ou Authy sur votre téléphone. Quelqu'un a besoin de votre mot de passe et de votre accès au périphérique physique pour se connecter.

Mais l'authentification à deux facteurs n'est pas aussi simple qu'elle devrait l'être et implique souvent de taper des mots de passe et des SMS dans tous les services que vous utilisez. U2F est une norme universelle pour la création de jetons d'authentification physiques pouvant fonctionner avec n'importe quel service.

Si vous connaissez Yubikey, une clé USB physique qui vous permet de vous connecter à LastPass et à d'autres services, vous connaissez ce concept. Contrairement aux appareils Yubikey standard, U2F est une norme universelle. Initialement, U2F a été réalisé par Google et Yubico en partenariat.

Comment ça marche?

Actuellement, les périphériques U2F sont généralement de petits périphériques USB que vous insérez dans le port USB de votre ordinateur. Certains d'entre eux ont un support NFC afin qu'ils puissent être utilisés avec les téléphones Android. Il est basé sur la technologie de sécurité "carte à puce" existante. Lorsque vous l'insérez dans le port USB de votre ordinateur ou lorsque vous le tapez sur votre téléphone, le navigateur de votre ordinateur peut communiquer avec la clé de sécurité USB à l'aide d'une technologie de cryptage sécurisée et fournir la réponse correcte pour vous connecter à un site Web. s'exécute dans le cadre du navigateur lui-même, cela vous apporte de belles améliorations de sécurité par rapport à l'authentification à deux facteurs typique. Tout d'abord, le navigateur vérifie qu'il communique avec le véritable site Web à l'aide du cryptage, de sorte que les utilisateurs ne soient pas trompés à entrer leurs codes à deux facteurs dans de faux sites d'hameçonnage. Deuxièmement, le navigateur envoie le code directement sur le site, de sorte qu'un attaquant assis entre les deux ne peut pas capturer le code à deux facteurs temporaire et l'entrer sur le vrai site Web pour accéder à votre compte.

Le site peut également simplifier votre mot de passe - par exemple, un site Web peut actuellement vous demander un mot de passe long, puis un code à deux facteurs, que vous devez saisir. Au lieu de cela, avec U2F, un site Web peut vous demander un code PIN à quatre chiffres dont vous devez vous souvenir puis vous demander d'appuyer sur un bouton sur un périphérique USB ou de le connecter à votre téléphone pour vous connecter.

L'alliance FIDO travailler sur UAF, qui ne nécessite aucun mot de passe. Par exemple, il peut utiliser le capteur d'empreintes digitales sur un smartphone moderne pour vous authentifier avec différents services.

Vous pouvez en savoir plus sur le standard sur le site de l'alliance FIDO

Où est-il supporté?

Google Chrome , Mozilla Firefox et Opera (basé sur Google Chrome) sont les seuls navigateurs compatibles avec U2F. Cela fonctionne sur Windows, Mac, Linux et Chromebooks. Si vous disposez d'un jeton U2F physique et que vous utilisez Chrome, Firefox ou Opera, vous pouvez l'utiliser pour sécuriser vos comptes Google, Facebook, Dropbox et GitHub. Les autres grands services ne supportent pas encore U2F.

U2F fonctionne également avec le navigateur Google Chrome sur Android, en supposant que vous ayez une clé USB avec le support NFC intégré. Apple n'autorise pas les applications à accéder au matériel NFC, donc cela ne fonctionnera pas sur les iPhones.

versions de Firefox ont le support U2F, il est désactivé par défaut. Vous devez activer une préférence Firefox cachée pour activer le support U2F pour le moment.

La prise en charge des clés U2F deviendra plus répandue lorsque l'API d'authentification Web prendra son envol. Il fonctionnera même dans Microsoft Edge.

Comment l'utiliser

Vous avez juste besoin d'un jeton U2F pour commencer. Google vous invite à rechercher Amazon pour "FIDO U2F Security Key" pour les trouver. Le premier coûte 18 $ et est fabriqué par Yubico, une entreprise avec une histoire de fabrication de clés de sécurité USB physiques. Le Yubikey NEO plus cher inclut le support NFC pour une utilisation avec les appareils Android

CONNEXION:

Comment sécuriser vos comptes avec une clé U2F ou YubiKey Vous pouvez alors visiter les paramètres de votre compte Google, trouver les 2 étapes page de vérification, puis cliquez sur l'onglet Clés de sécurité. Cliquez sur Ajouter une clé de sécurité et vous pourrez ajouter la clé de sécurité physique dont vous aurez besoin pour vous connecter à votre compte Google. Le processus sera similaire pour les autres services qui supportent U2F - consultez ce guide pour plus de détails.

Ce n'est pas un outil de sécurité que vous pouvez utiliser partout, mais de nombreux services devraient éventuellement ajouter un support pour cela. Attendez-vous à de grandes choses de l'API Web Authentication et de ces clés U2F à l'avenir.



Optimisation de Google Chrome pour une confidentialité maximale

Optimisation de Google Chrome pour une confidentialité maximale

Google Chrome inclut un certain nombre de fonctionnalités permettant d'envoyer des données aux serveurs de Google. Nous ne vous recommandons pas de désactiver toutes ces fonctionnalités, car elles font des choses utiles. Cependant, si vous êtes préoccupé par les données envoyées par Google à Google, nous vous expliquerons les différents paramètres afin que vous puissiez prendre vos propres décisions.

(how-top)

Comment synchroniser les signets, les extensions et autres données de votre navigateur entre les ordinateurs

Comment synchroniser les signets, les extensions et autres données de votre navigateur entre les ordinateurs

De plus en plus, vos interactions avec les ordinateurs dépendent de votre navigateur et du Web en général. Il est donc incroyablement pratique d'avoir l'historique et les paramètres de votre navigateur pour vous suivre sur d'autres ordinateurs. Les différents fabricants de vos navigateurs préférés le savent, et tous (avec une seule exception prévisible) ont des outils intégrés pour que votre expérience Web reste cohérente.

(how-top)