Dzięki sprzętowym kluczom konta Google stają się jeszcze bezpieczniejsze

Firma Google poinformowała na swoim blogu dotyczącym bezpieczeństwa swoich usług o wprowadzeniu nowej metody uwierzytelniania dwuskładnikowego. Teraz do zabezpieczenia konta możemy wykorzystywać już nie tylko hasło i np. wiadomości SMS, ale również sprzętowe klucze zabezpieczające. Nowe funkcje są już dostępne dla wszystkich użytkowników, ale nie każdy będzie mógł z nich skorzystać, bowiem konieczne jest posiadanie odpowiedniego sprzętu i oprogramowania.

Odpowiednie opcje znajdziemy w panelu zarządzania bezpieczeństwem konta Google. Dostępny jest tam kreator, dzięki któremu szybko dodamy zabezpieczenie w postaci klucza. Do jego skonfigurowania i używania w procesie uwierzytelnienia do konta niezbędne jest korzystanie z przeglądarki Google Chrome w wersji 38 lub wyższej. Na szczęście system operacyjny nie ma tutaj znaczenia, opcja jest dostępna dla Windowsa, komputerów Mac, a także Linuksa. Dlaczego klucz miałby być lepszy od innych metod? Urządzenia tego typu są niewielkie, może je nosić razem z kluczami. Nie potrzebują własnego źródła energii, nie są narażone na brak zasięgu sieci komórkowej, a dzięki wykorzystaniu interfejsu USB są uniwersalne i możliwe do wykorzystania na niemal każdym komputerze.

Niestety, nie wszyscy użytkownicy będą mogli skorzystać z nowej opcji, nawet jeżeli posiadają już klucze. Wszystko za sprawą wykorzystania protokołu FIDO Universal 2nd Factor (U2F), z którym musi być on zgodny. Dla przykładu popularne YubiKey dopiero wprowadziło do sprzedaży nowe, niebieskie klucze, które mogą być tak wykorzystywane. Wcześniejsze urządzenia sprzedane przez tę firmę, w tym klucze Nano nie będą w stanie zapewnić kompatybilności z zabezpieczeniem oferowanym przez Google. Specyfikacja U2F przewiduje wykorzystanie pary kluczy (publicznego i prywatnego), osobnych dla każdej aplikacji, w jakiej skonfigurujemy swój klucz. Oczywiście nie ma tu miejsca np. na biometrię, czy też lokalizowanie użytkownika. Zainteresowani nie muszą się więc przejmować ewentualnymi problemami związanymi z prywatnością.

Oczywiście brak kompatybilności nie oznacza wcale, że nie możemy wykorzystać klucza do dodatkowego zabezpieczenia konta, jeżeli już takowy posiadamy. Wiele z urządzeń oferuje dwa tryby pracy tj. osobno dla dłuższego i krótszego przytrzymania palca, co pozwala na wprowadzenie dla jednego slotu opcji wpisywania stałego ciągu znaków. Można to wykorzystać do wprowadzania hasła mieszanego: jego część pamiętamy, reszta jest zapisana na kluczu i wprowadzana przy jego pomocy. Takie rozwiązanie nie koliduje ze „standardowymi” metodami uwierzytelnienia dwuskładnikowego. Możemy z nich korzystać, zapewniając jeszcze wyższy poziom bezpieczeństwa. Zalecamy korzystanie z tego typu rozwiązań we wszystkich usługach, jakie to oferują i są dla nas ważne.

O pierwszych przymiarkach do stosowania tokenów sprzętowych mogliśmy usłyszeć już w zeszłym roku, kiedy to Google stwierdziło, że uwierzytelnianie przez hasła jest w tej firmie już przeszłością. Kładzie ona duży nacisk na możliwość zapewnienia bezpieczeństwa konta i zachęca użytkowników do aktywacji uwierzytelnienia dwuskładnikowego. Oprócz wspomnianych kluczy, możemy korzystać z innych metod, które były dostępne do tej pory: modułu Google Authenticator tj. oprogramowania np. dla systemu Android, który generuje klucze potwierdzeń, numeru telefonicznego do wysyłania wiadomości SMS i połączeń z kodami, a także poprzez generowanie i drukowanie kodów zapasowych.