U2F es un nuevo estándar para tokens de autenticación universales de dos factores. Estos tokens pueden usar USB, NFC o Bluetooth para proporcionar autenticación de dos factores en una variedad de servicios. Ya es compatible con Chrome, Firefox y Opera para cuentas de Google, Facebook, Dropbox y GitHub.
Este estándar está respaldado por la alianza FIDO, que incluye a Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America y muchas otras grandes empresas. Espere que los tokens de seguridad U2F estén en todas partes pronto.
Algo similar pronto se generalizará con la API de autenticación web. Esta será una API de autenticación estándar que funcionará en todas las plataformas y todos los navegadores. Admitirá otros métodos de autenticación, así como unidades USB. La API de autenticación web se conocía originalmente como FIDO 2.0.
¿Qué es?
La autenticación de dos factores es una forma esencial de proteger sus cuentas importantes. Tradicionalmente, la mayoría de las cuentas solo necesitan una contraseña para iniciar sesión; ese es un factor, algo que usted sabe. Cualquiera que conozca la contraseña puede acceder a su cuenta.
La autenticación de dos factores requiere algo que usted sepa y algo que sea de su propiedad. A menudo, este es un mensaje enviado a su teléfono a través de un mensaje de texto o un código generado a través de una aplicación como Google Authenticator o Authy en su teléfono. Alguien necesita tanto su contraseña como acceso al dispositivo físico para iniciar sesión.
Pero la autenticación de dos factores no es tan sencilla como debería ser y, a menudo, implica ingresar contraseñas y mensajes SMS en los servicios que utilice. U2F es un estándar universal para crear tokens de autenticación física que pueden funcionar con cualquier servicio.
Si usted sabe Yubikey—Una unidad USB física que le permite conectarse a LastPass y otros servicios; estará familiarizado con este concepto. A diferencia de los dispositivos Yubikey estándar, U2F es un estándar universal. Inicialmente, U2F fue producido por Google y Yubico trabajando en asociación.
¿Como funciona?
Actualmente, los dispositivos U2F suelen ser pequeños dispositivos USB que inserta en el puerto USB de su computadora. Algunos de ellos son compatibles con NFC y, por lo tanto, se pueden usar con teléfonos Android. Se basa en la tecnología de seguridad de «tarjetas inteligentes» existente. Cuando lo inserta en el puerto USB de su computadora o lo coloca contra su teléfono, el navegador de su computadora puede comunicarse con el dongle USB usando tecnología de encriptación segura y proporcionar la respuesta correcta que le permite conectarse a un sitio web.
Dado que esto se ejecuta como parte del propio navegador, le brinda buenas mejoras de seguridad con respecto a la autenticación típica de dos factores. Primero, el navegador verifica que se está comunicando con el sitio web real mediante cifrado, de modo que los usuarios no sean engañados para que ingresen sus códigos de dos factores en sitios web de phishing falsos. En segundo lugar, el navegador envía el código directamente al sitio web, por lo que un atacante en el medio no puede capturar el código temporal de dos factores e ingresarlo en el sitio web real para obtener acceso a su cuenta.
El sitio web también puede simplificar su contraseña. Por ejemplo, un sitio web podría solicitarle una contraseña larga y luego un código de dos factores, los cuales debe ingresar. En cambio, con U2F, un sitio web puede solicitarle un PIN de cuatro dígitos que debe recordar y luego obligarlo a presionar un botón en un dispositivo USB o colocarlo contra su teléfono para iniciar sesión.
La alianza FIDO también está trabajando en la UAF, que no requiere contraseña. Por ejemplo, puede usar el sensor de huellas dactilares de un teléfono inteligente moderno para autenticarlo en varios servicios.
Puede leer más sobre el estándar en sí en el sitio web de la alianza FIDO.
¿Dónde se atiende?
Google Chrome, Mozilla Firefox y Opera (que se basa en Google Chrome) son los únicos navegadores que admiten U2F. Funciona en Windows, Mac, Linux y Chromebook. Si tiene un token U2F físico y usa Chrome, Firefox u Opera, puede usarlo para proteger sus cuentas de Google, Facebook, Dropbox y GitHub. Otros servicios importantes aún no admiten U2F.
U2F también funciona con Navegador Google Chrome en Android, asumiendo que tiene una unidad USB con soporte NFC integrado. Apple no permite el acceso de aplicaciones al hardware NFC, por lo que no funcionará en iPhones.
Aunque las versiones estables actuales de Firefox admiten U2F, está deshabilitado de forma predeterminada. Debería activar una preferencia oculta de Firefox para habilitar el soporte U2F por ahora.
La compatibilidad con claves U2F se volverá más frecuente a medida que despegue la API de autenticación web. Incluso funcionará en Microsoft Edge.
¿Cómo puedes usarlo?
Solo necesita un token U2F para comenzar. Google te invita a buscar en Amazon «Llave de seguridad FIDO U2F«para encontrarlos. El de arriba cuesta $ 18 y está fabricado por Yubico, una empresa conocida por fabricar llaves de seguridad USB físicas. El más caro Yubikey NEO incluye soporte NFC para usar con dispositivos Android.
Luego puede visitar la configuración de su cuenta de Google, buscar la página de verificación en dos pasosy luego haga clic en la pestaña Llaves de seguridad. Haga clic en Agregar clave de seguridad y podrá agregar la clave de seguridad física, que deberá iniciar sesión en su cuenta de Google. El proceso será similar para otros servicios que admitan U2F. Consulte esta guía para obtener más información.
Todavía no es una herramienta de seguridad que pueda usar en todas partes, pero hay muchos servicios que eventualmente deberían agregar soporte. Espere grandes cosas de la API de autenticación web y estas claves U2F en el futuro.