בניית מפתח U2F על גבי USB: מדריך מעשי לאימות פיזי

  • מפתחות USB מסוג U2F מספקים שכבה פיזית שנייה, עמידה במיוחד בפני פישינג, להגנה על חשבונות רגישים.
  • חשוב לבחור דגמים התואמים לשירותים הרגילים שלך, ואם אפשר, עם תמיכה ב-FIDO2/WebAuthn.
  • משתמשים מעריכים את האבטחה וקלות השימוש, אם כי הם מציינים את המחיר והתאימות המוגבלת בחלק מהשירותים.
  • בנוסף למפתחות מסחריים, ניתן להשתמש בכונן USB כמפתח מקומי לנעילת גישה למחשב.
Daniel Terrasa

13 דקות

מפתח USB U2F לאבטחה דו-גורמית

לאס מפתחות USB U2F הפכו לאחת השיטות הבטוחות ביותר כדי להגן על החשבונות המקוונים שלנו מפני גניבת סיסמאות, התקפות פישינג וגישה לא מורשית. יותר ויותר שירותים כמו גוגל, מיקרוסופט, גיטהאב, דרופבוקס ופייסבוק ממליצים עליהם עבור אלו המטפלים במידע רגיש או פשוט רוצים שקט נפשי בידיעה שהדוא"ל, המדיה החברתית והמסמכים שלהם מוגנים טוב יותר.

לאורך מאמר זה תראו מהו בדיוק מפתח אבטחה USB U2F, איך הוא עובד, ואילו סוגים קיימים?נסקור את מה שמשתמשים חושבים, כיצד לבחור את הדגם הנכון, ואפילו כיצד להפוך כונן USB רגיל למעין "מפתח אבטחה ביתי" למחשב שלכם. נעבור שלב אחר שלב, תוך שימוש בשפה ברורה ונגישה, כדי שתוכלו להחליט אם מערכת זו מתאימה לכם ואיזו אפשרות מעניינת אתכם ביותר.

מהו מפתח אבטחה USB U2F ולמה הוא משמש?

א מפתח אבטחה USB U2F הוא התקן פיזי שמתחבר ליציאת ה-USB. הוא משמש כגורם אימות שני לגישה לחשבונות המקוונים שלך. במקום להסתמך אך ורק על שם משתמש וסיסמה, הפלטפורמה דורשת ממך להזין את המפתח למחשב שלך, ובדרך כלל, ללחוץ על כפתור כדי לאשר את זהותך.

סוגי מפתחות אלה מבוססים על התקן U2F (גורם שני אוניברסלי)פרוטוקול שנועד לאפשר למפתח פיזי לאמת את זהותך באופן קריפטוגרפי. כאשר אתה מתחבר לשירותים תואמים כמו Gmail, GitHub, Dropbox, Microsoft 365, או פלטפורמות ענן ארגוניותלאחר הזנת הסיסמה, המערכת תבקש את המפתח, ואם התשובה נכונה, תאפשר לך להיכנס.

היופי של המערכת הוא ש אינך צריך לשנן קודים נוספים או להסתמך על SMS או מייליםפשוט שמרו את המפתח על מחזיק המפתחות או בתיק וחברו אותו למכשיר בכל פעם שתרצו להתחבר. עבור אלו שעובדים עם מספר חשבונות מדי יום, זה הופך את האימות הדו-שלבי לפחות מסורבל ומהיר הרבה יותר.

בפועל, מפתח ה-USB U2F משמש כ "תעודת זהות דיגיטלית"המכשיר מייצר תגובות קריפטוגרפיות ייחודיות עבור כל שירות וכל ניסיון התחברות. אם תוקף ינסה להתחזות אליך ממחשב אחר, גם אם הוא יודע את הסיסמה שלך, הוא לא יוכל להשלים את האימות מכיוון שאין לו את המפתח הפיזי שלך.

בנוסף ל-U2F, מפתחות מודרניים רבים משלבים FIDO2 ו-WebAuthnמערכות אלו אף מאפשרות כניסה לשירותים מסוימים ללא סיסמה, באמצעות מפתח בלבד, ובמקרים מסוימים, קוד סודי. זה מרחיב את האפשרויות וסולל את הדרך לעתיד נקי יותר ויותר מסיסמאות חלשות ומשומשות.

דוגמה למפתח אבטחה U2F המחובר למחשב

מושגים בסיסיים: U2F, 2FA ומונחים נוספים שתראו

כשמתחילים לחקור את פתרונות האבטחה האלה, מופיעות הרבה מונחים, אבל במציאות, הרעיונות המרכזיים מעטים ופשוטים מאוד.חשוב שהן יהיו ברורות כדי להבין מה אתם קונים או מגדירים.

מצד אחד הוא U2F (גורם שני אוניברסלי)שהוא פרוטוקול סטנדרטי לשימוש במפתחות פיזיים כגורם אימות שני. הוא פותח על ידי גוגל ויוביקו, ונתמך על ידי שירותים מובילים רבים כגון גוגל, דרופבוקס, גיטהאב, נקסטלאוד, או דפדפנים מסוימים כמו אופרהמטרתו היא לאפשר לך להשתמש באותו מפתח בחשבונות מרובים מבלי לסבך את חייך.

הטווח 2FA (אימות דו-גורמי) זה מתייחס לכל מערכת שבה אתה זקוק לשתי הוכחות כדי להתחבר: לדוגמה, משהו שאתה יודע (סיסמה) ומשהו שיש לך (כונן USB או טלפון נייד)קודי SMS, אפליקציות כמו Google Authenticator או מפתחות U2F הן דרכים שונות ליישם את אותו מושג.

תראו גם אזכורים של FIDO2 ו-WebAuthnהם אבולוציה של תקן FIDO, אשר, בין היתר, מאפשר אימות ללא סיסמה באמצעות מפתחות אבטחה, מכשירים ניידים או מאמתים המשולבים במכשיר. מפתחות חדשים רבים משלבים FIDO U2F עם FIDO2, מה שהופך אותם למגוונים יותר עבור שירותים מודרניים ועתידיים.

בנוסף, ישנם מונחים רבים הקשורים להגנה על כונני USB, כגון הצפנת USB, USB מוצפן, USB מאובטח, USB עם מפתח אבטחה, USB אבטחה, דונגל סיסמה USB, נעילת USB בטוחה o הצפנת USBלמרות שהם נשמעים דומים, במקרים אלה אנו מדברים בדרך כלל על כונני USB מוגנים בסיסמה או מוצפנים לאחסון קבצים בצורה מאובטחת, וזה שונה ממפתח U2F לכניסה לשירותים מקוונים.

יתרונות השימוש במפתח USB U2F בהשוואה לשיטות 2FA אחרות

היתרון העיקרי של מפתח USB U2F הוא אבטחה מפני התקפות פישינג וגניבת אישוריםאפילו אם מישהו יקבל את הסיסמה שלך על ידי הטעיה באמצעות אתר מזויף, המפתח לא יעבוד כראוי מכיוון שהדומיין אינו תואם לזה שרשמת. הגנה אוטומטית זו היא משהו ש-SMS פשוט לא יכול להציע.

נקודה חזקה נוספת היא קלות שימוש בחיי היומיוםבמקום להעתיק קודים שפג תוקפם או להמתין להודעה, פשוט הכנס את כונן ה-USB ולחץ על הכפתור. עבור משתמשים שמתחברים מספר פעמים ביום, תכונה זו מונעת מהם לנטוש את האימות הדו-שלבי מתוך עצלות.

משתמשים רבים מדגישים גם את שלווה פסיכולוגית זה מספק ביטחון שגם אם הסיסמה שלך דולפה בשירות, החשבון שלך נשאר מוגן על ידי אמצעי אבטחה פיזי. זה חשוב במיוחד עבור אנשים שמנהלים מאגרי קוד פרטיים, פרטי לקוחות או מסמכים ארגוניים.

יתר על כן, בהיותו מכשיר פיזי, זה לא תלוי בכיסוי סלולרי או בגישה לדוא"לאם אתם מטיילים, יש לכם חיבור גרוע או שאין לכם קליטה סלולרית, המפתח שלכם עדיין יעבוד כל עוד תוכלו להשתמש ביציאת USB או, במקרים מסוימים, ב-NFC או ב-Bluetooth, בהתאם לדגם.

בנימה פחות חיובית, חלק מהמשתמשים מעירים שמקשי U2F הם יכולים להיות קצת יקרים בהשוואה לשיטות "חינמיות" אחרות כמו אפליקציות אימות, ובהתחשב בכך שחלק מהפלטפורמות עדיין אינן תומכות בסוגי מכשירים אלה, מספר השירותים התואמים ממשיך לגדול.

יתרונות של מפתח USB U2F

כיצד לבחור את מפתח האבטחה USB U2F הטוב ביותר עבורך

כשמתחילים להסתכל על דוגמנים, זה נורמלי ללכת קצת לאיבוד, כי ישנם מותגים, פורמטים ומחירים שונים.עם זאת, אם יש לכם כמה קריטריונים ברורים, קל יותר לעשות זאת נכון בפעם הראשונה מבלי להוציא יותר מדי או להיכשל.

הנקודה הראשונה היא ה תאימות עם השירותים שבהם אתם משתמשיםהיבט חשוב נוסף הוא לוודא שהוא כולל FIDO U2F, ואם אפשר, FIDO2/WebAuthnשילוב זה מבטיח שתוכלו להשתמש בו הן בשירותים שעדיין מסתמכים על U2F קלאסי והן באלה שכבר עשו את הקפיצה ל-FIDO2 ואפילו לכניסות ללא סיסמה.

כדאי גם לשים לב ל- חיבור פיזימפתחות קלאסיים רבים הם USB-A, שהוא המחבר הסטנדרטי ברוב המחשבים השולחניים והמחשבים הניידים הישנים יותר.

בנוגע לעיצוב, משתמשים בדרך כלל מעריכים שהמפתח הוא קומפקטי, חזק ומתאים לנשיאה על מחזיק מפתחותהרעיון הוא שיהיה את זה תמיד איתך, לכן חשוב שזה יעמוד בפני מכות, מים מדי פעם ובלאי יומיומי מבלי להישבר בקלות.

לגבי המחיר, הטווח הרגיל מתחיל מ- בין 15-20 יורו ל-30-40 יורו ומעלה בהתאם למותג ולתכונות נוספות (NFC, Bluetooth, FIDO2 מתקדם וכו').

זוהי טבלה עם דוגמאות אופייניות למפתחות אבטחה U2F/FIDO2 ומאפייניהם:

מארקה / דגם תאימות יוצאת דופן סוג החיבור מחיר משוער
מפתח אבטחה יוביקו FIDO U2F גוגל, גיטהאב, דרופבוקס, מיקרוסופט USB-A בסביבות 25 אירו
פייטיאן ePass U2F גוגל, מיקרוסופט, אוקטה USB-A החל מ-18 אירו בערך
SoloKeys (דגמי FIDO2/WebAuthn) שירותים עם FIDO2 ו-WebAuthn USB-C כ-30 אירו

מה חושבים המשתמשים על מפתחות אבטחה USB של U2F?

הדעות של אלו שכבר משתמשים במקשי USB U2F הן בדרך כלל די ברורות: אבטחה גבוהה, קל לשימוש ושקט נפשי רב.משתמשים רבים מדווחים כי החלו להשתמש במקשים אלה לאחר שחוו פחד בניסיון גישה לדוא"ל או לחשבונות המדיה החברתית שלהם, וכי מאז הם הבחינו בשיפור ברור בתחושת השליטה שלהם.

בין ההערות החוזרות ונשנות ביותר, הרעיון של "שכבת הגנה נוספת מפני פישינג"אנשים מבינים שגם אם הם נופלים בתרמית ומכניסים את הסיסמה שלהם באתר מזויף, המפתח לא ישלים את תהליך האימות. זה דוחה רבות מההתקפות הנפוצות ביותר שאנו רואים מדי יום.

לגבי חוויית המשתמש, רובם מסכימים ש הרשמה ותפעול בפלטפורמות כמו גוגל וגיטהאב הן די פשוטותבדרך כלל זה רק עניין של מעקב אחר אשף, חיבור המפתח כשמבקשים לעשות זאת, לחיצה על כפתור, וזהו בערך הכל. אפילו אנשים שאינם בקיאים במיוחד בטכנולוגיה אומרים שאחרי הגדרה אחת, השימוש היומיומי נוח מאוד.

לא הכל מושלם, עם זאת. חלק מהמשתמשים מציינים בעיות תאימות עם שירותים מסוימים הם עדיין לא תומכים ב-U2F או FIDO2, מה שמגביל את השימוש במפתח לחשבונות מסוימים. עליכם גם לקחת בחשבון את הסיכון לאובדן המפתח, לכן מומלץ לרשום לפחות שני מכשירים או לשמור קודי שחזור.

דוגמה נפוצה היא של אנשים שקונים מפתח בפלטפורמות כמו AliExpress כדי להגן דוא"ל ומדיה חברתיתלאחר מספר שבועות של שימוש, רבים חולקים שהתחושה דומה למנעול פיזי נוסף בדלת הכניסה: הם יודעים שמישהו עלול לנסות לפרוץ אותו, אך כבר לא קל להיכנס פנימה כמו בעבר.

מפתח USB U2F

מפתחות מסחריים לעומת מפתחות אבטחה "תוצרת בית" עם USB

כשאנחנו מדברים על מפתחות אבטחה מסוג USB, אנחנו יכולים להבחין בבירור בין מכשירים מסחריים שתוכננו במיוחד לאימות ויש פתרונות "עשה זאת בעצמך" שהופכים כונן USB רגיל למעין מפתח למחשב שלך. לכל גישה יש יתרונות וחסרונות, והיא משרתת מטרות שונות במקצת.

מפתחות מסחריים, כגון YubiKey, טיטאן של גוגל, או מפתח FIDOהם נועדו להשתלב עם דפדפנים, מערכות הפעלה ושירותי ענן. הם משתמשים בפרוטוקולים סטנדרטיים (FIDO U2F, FIDO2, WebAuthn) ומזוהים ישירות על ידי פלטפורמות כמו גוגל, דרופבוקס, פייסבוק, Nextcloud וכו'.

מצד שני, קיימת האפשרות של צור מפתח אבטחה מדיסק און קי רגילבמקרה זה, בדרך כלל משתמשים בתוכנית שמזהה את נוכחותו של כונן ה-USB, ואם הוא אינו מחובר, נועלת או מכבה את המחשב. היא לא תעבוד לאימות חשבון גוגל, לדוגמה, אך ניתן להשתמש בה כדי למנוע ממישהו להשתמש במחשב שלך ללא כונן ה-USB המיוחד הזה.

חשוב להבין את ההבדל הזה: אחד מפתח U2F מסחרי מגן עליך בשירותים מקווניםבעוד שמערכות תוכנה ביתיות בדרך כלל מגנות על הגישה למחשב שלך, הן שכבות אבטחה משלימות, אינן ניתנות להחלפה.

בתוך מפתחות עסקיים, ישנם גם תת-סוגים המבוססים על הטכנולוגיות בהן הם משתמשים כדי להתחבר: USB בלבד, USB + NFC או USB + NFC + Bluetoothככל שיהיו יותר אפשרויות חיבור, כך תוכלו להגן על יותר מכשירים שונים (מחשבים שולחניים, מחשבים ניידים, טלפונים ניידים, טאבלטים וכו').

כיצד ליצור מפתח אבטחה משלך באמצעות כונן USB ב-Windows

אם בא לך להתנסות או לרצות הגן על הגישה למחשב שלך בעזרת מפתח פיזי מבלי להוציא הרבה כסףניתן לעשות שימוש חוזר בכונן USB שיש לכם בבית ולהפוך אותו למעין מפתח להתחברות ל-Windows. זה לא אותו דבר כמו מפתח U2F עבור שירותים מקוונים, אבל זה אמצעי נוסף ושימושי.

במערכת האקולוגית של Windows, אחד הכלים הידועים ביותר לכך הוא Raptor USB, תוכנה בקוד פתוח המאפשרת לך לנעול את המחשב אם הוא לא מזהה נוכחות של כונן USB ספציפי.

ההליך הבסיסי עם USB Raptor מתחיל ב- פרמט את כונן ה-USB שברצונך להשתמש בו כמפתח. (אם יש לכם נתונים חשובים, בצעו גיבוי תחילה.) לאחר מכן הורידו את התוכנה מהאתר הרשמי שלה, פתחו אותה והפעילו אותה ישירות, ללא צורך בהתקנה מסורתית.

הכלי מוגדר בשלושה שלבים עיקריים:

  1. הגדר סיסמה להצפנה של ההגדרות, אותן תוכלו להציג כדי לבדוק שהגדרתם אותן כהלכה.
  2. בחר את הכונן המתאים לכונן ה-USB שלך ולחץ על "צור קובץ k3y", שהוא הקובץ המאפשר לתוכנית לזהות את כונן ה-USB כמפתח.
  3. הפעל את USB Raptorמנקודה זו ואילך, האפליקציה תפעל ברקע, וניתן להגדיר את המחשב כך שיינעל או לא יתחבר אם דיסק און קי אינו מחובר. כדי לכוונן את ההתנהגות, מומלץ לפתוח את ההגדרות המתקדמות.

באפשרויות מתקדמות אלו, מומלץ לאפשר לתוכנית לפעול באופן אוטומטי בעת הפעלת Windows ולוודא שהוא מופעל במצב פעיל. זה מבטיח שמההתחלה, המחשב ידרוש את מפתח ה-USB כדי לתפקד כרגיל. אם מישהו ינסה להפעיל אותו ללא ה-USB שלך, הוא ייתקל בנעילה שלא יוכל לעקוף בקלות.

מערכות הגנה אחרות המשתמשות במפתחות USB ואבטחה

מפתחות USB U2F מתקיימים יחד עם משפחה שלמה של פתרונות אבטחה קשורים הגנה על נתונים וגישה דרך מכשירים פיזייםלפעמים מבלבלים ביניהם, אך כל אחד מהם ממלא תפקיד שונה במקצת.

ישנם גם פתרונות עבור USB עם מפתח אבטחה, USB אבטחה או דונגל USB עם סיסמה מכשירים אלה מתפקדים כמנעולים עבור תוכניות או ציוד ספציפיים. במקרים רבים, אם הדונגל אינו מחובר, האפליקציה המקצועית לא תיפתח או שהמערכת לא תפתח, בעיה נפוצה בתוכנות ייעודיות.

בעולם Windows, ביטויים כמו מפתח אבטחה USB או מפתח חומרה USB של Windows 10אשר מתייחסים לעתים קרובות הן למפתחות U2F/FIDO2 עבור חשבונות מיקרוסופט והן למכשירים המשמשים לחיזוק הכניסה למערכת ההפעלה עצמה.

מצד שני, זה רעיון טוב לשמור על גיבוי USB של הנתונים החשובים שלך, למרות שזה נופל יותר תחת המטריה של ניהול גיבויים ופחות תחת אימות. שילוב גיבויים על כוננים חיצוניים, הצפנה של כוננים אלה ומפתח אבטחה U2F עבור החשבונות המקוונים שלך הוא דרך מקיפה למדי להגן על המידע שלך.

בין מפתחות אבטחה U2F, כונני USB מוצפנים, דונגלים לרישיונות ומערכות נעילה בטוחות מסוג USB, כיום יש לכם מגוון רחב למדי של אפשרויות לחיזוק הגישה לחשבונות שלכם וההגנה על המידע המאוחסן במכשירים שלכם.

אם אתם מודאגים אפילו מעט לגבי החשבונות והנתונים שלכם, הגיוני מאוד לשקול זאת שלבו לפחות מפתח אבטחה USB אחד מסוג U2F בשגרה שלכםבמיוחד עבור דוא"ל ראשי, מדיה חברתית, בנקאות מקוונת, שירותי ענן וכלי עבודה. זוהי השקעה קטנה יחסית בהשוואה לבעיה הפוטנציאלית של אובדן שליטה על כל אחד מהחשבונות הללו.

הצפנת נתונים עם VeraCrypt
Artaculo relacionado:
כיצד להצפין נתונים עם VeraCrypt ולהגן על הדיסקים שלך