Universal 2nd Factor ( U2F ) es un estándar abierto que refuerza y simplifica la autenticación de dos factores (2FA) mediante el uso de dispositivos especializados de bus serie universal (USB) o comunicación de campo cercano (NFC) basados en tecnología de seguridad similar que se encuentra en las tarjetas inteligentes . [1] [2] [3] [4] [5] Se sucedido por el Proyecto FIDO2 , que incluye la W3C Web Authentication ( WebAuthn ) estándar y la Alianza FIDO 's cliente a autenticador Protocolo 2 (CTAP2). [6]
Aunque inicialmente fue desarrollado por Google y Yubico , con la contribución de NXP Semiconductors , el estándar ahora está alojado por FIDO Alliance. [7] [8]
Diseño
Los dispositivos USB se comunican con la computadora host mediante el protocolo de dispositivo de interfaz humana (HID), esencialmente imitando un teclado. [9] Esto evita la necesidad de que el usuario instale un software de controlador de hardware especial en la computadora host y permite que el software de aplicación (como un navegador) acceda directamente a las funciones de seguridad del dispositivo sin el esfuerzo del usuario más que poseer e insertar el dispositivo . Una vez que se establece la comunicación, la aplicación ejerce una autenticación de desafío-respuesta con el dispositivo utilizando métodos de criptografía de clave pública y una clave de dispositivo secreta única fabricada en el dispositivo. [10]
Vulnerabilidades
La clave del dispositivo es vulnerable a la duplicación malintencionada del fabricante . [ cita requerida ]
En 2020, investigadores de seguridad independientes encontraron un método para extraer claves privadas de Google Titan Key, un popular token de seguridad de hardware U2F. [11] [12] [13] El método requería acceso físico a la llave durante varias horas, varios miles de euros en equipo y era destructivo para la caja de plástico de la llave. [11] [12] [13] Los atacantes concluyeron que la dificultad del ataque significaba que las personas aún estaban más seguras al usar las llaves que no. [11] [12] [13] El ataque fue posible debido a una vulnerabilidad en el microchip A700X fabricado por NXP Semiconductors , que también se usa en tokens de seguridad fabricados por Feitian y Yubico , lo que significa que esos tokens también son vulnerables. [11] [14] La vulnerabilidad se comunicó de manera responsable a los fabricantes afectados para que pudiera solucionarse en productos futuros. [11] [12] [13]
Soporte y uso
Las claves de seguridad U2F son compatibles con Google Chrome desde la versión 38 [2] y Opera desde la versión 40. Las claves de seguridad U2F se pueden utilizar como un método adicional de verificación en dos pasos en los servicios en línea que admiten el protocolo U2F, incluido Google, [2] Azure , [15] Dropbox , [16] GitHub , [17] GitLab , [18] Bitbucket , [19] Nextcloud , [20] Facebook , [21] y otros. [22]
Chrome, Firefox y Opera fueron, a partir de 2015[actualizar], los únicos navegadores que admiten U2F de forma nativa. Microsoft ha permitido FIDO 2.0 para Windows 10 's de Windows Hola plataforma de inicio de sesión. [23] El navegador Microsoft Edge [24] obtuvo soporte para U2F en la actualización de Windows de octubre de 2018. Las cuentas de Microsoft , incluidas Office 365 , OneDrive y otros servicios de Microsoft, aún no tienen compatibilidad con U2F. Mozilla lo ha integrado en Firefox 57 y lo habilitó de forma predeterminada en Firefox 60 [25] [26] [27] [28] y Thunderbird 60. [29] Microsoft Edge a partir de la compilación 17723 admite FIDO2. [30] A partir de iOS y iPadOS 13.3, Apple ahora admite U2F en el navegador Safari en esas plataformas.
Especificaciones
El estándar U2F ha sido objeto de dos revisiones importantes:
- Norma propuesta U2F 1.0 (9 de octubre de 2014) [31]
- Norma propuesta U2F 1.2 (11 de abril de 2017) [32]
Se pueden obtener documentos de especificaciones adicionales en el sitio web de FIDO. [33]
El Estándar propuesto U2F 1.0 (9 de octubre de 2014) fue el punto de partida para una especificación de corta duración conocida como Estándar propuesto FIDO 2.0 (4 de septiembre de 2015). Este último se presentó formalmente al Consorcio World Wide Web (W3C) el 12 de noviembre de 2015. [34] Posteriormente, el 31 de mayo de 2016 se publicó el primer Borrador de Trabajo del estándar de Autenticación Web del W3C ( WebAuthn ). El estándar WebAuthn ha ha sido revisada en numerosas ocasiones desde entonces, convirtiéndose en una Recomendación del W3C el 4 de marzo de 2019.
Mientras tanto, el estándar propuesto U2F 1.2 (11 de abril de 2017) se convirtió en el punto de partida para el estándar propuesto de Client to Authenticator Protocol (CTAP), que se publicó el 27 de septiembre de 2017. FIDO CTAP complementa W3C WebAuthn, los cuales el Proyecto FIDO2 .
WebAuthn y CTAP proporcionan un reemplazo completo para U2F, que ha sido rebautizado como "CTAP1" en la última versión del estándar FIDO2. [35] El protocolo WebAuthn es compatible con versiones anteriores (a través de la extensión AppID) con claves de seguridad solo U2F [36] pero el protocolo U2F no es compatible con un autenticador solo WebAuthn . [37] [38] [35] Algunos autenticadores admiten tanto U2F como WebAuthn, mientras que algunos clientes WebAuthn admiten claves creadas mediante la API U2F heredada. [ cita requerida ]
Referencias
- ^ Turner, Adam (5 de noviembre de 2014). "Las llaves de seguridad de Google pueden ofrecer una capa adicional de protección en línea" . El Sydney Morning Herald . Fairfax Media . Consultado el 28 de noviembre de 2014 .
- ^ a b c "¿Qué navegadores son compatibles con U2F?" . Yubico. Archivado desde el original el 18 de agosto de 2017 . Consultado el 17 de agosto de 2017 .
- ^ Bradley, Tony (21 de octubre de 2014). "Cómo una unidad de llave USB podría eliminar las molestias de la autenticación de dos factores" . PCWorld . IDG Consumer y PyMEs . Consultado el 28 de noviembre de 2014 .
- ^ "FIDO Universal 2nd Factor" . Yubico AB . Consultado el 28 de noviembre de 2014 .
- ^ Diallo, Amadou (30 de noviembre de 2013). "Google quiere que sus contraseñas sean obsoletas" . Forbes . Consultado el 28 de noviembre de 2014 .
- ^ Pulpo, cifrado. "Una guía detallada de los protocolos FIDO: U2F, UAF y WebAuthn (FIDO2)" . blog.trongkey.com . Consultado el 9 de marzo de 2021 .
- ^ "FIDO Alliance - descargar especificaciones" . Alianza FIDO . Consultado el 19 de octubre de 2017 .
- ^ Krebs, Brian (14 de octubre de 2014). "Las cuentas de Google ahora admiten llaves de seguridad" . Krebs sobre seguridad . Consultado el 28 de noviembre de 2014 .
- ^ "Especificación del protocolo FIDO U2F HID" . Alianza FIDO . 9 de octubre de 2014 . Consultado el 24 de julio de 2018 .
- ^ "Generación de claves" . Yubico . Consultado el 31 de julio de 2018 .
- ^ a b c d e "Los piratas informáticos pueden clonar claves Google Titan 2FA utilizando un canal lateral en chips NXP" . Ars Technica . 2021-01-08 . Consultado el 13 de enero de 2021 .
- ^ a b c d Cimpanu, Catalin (8 de enero de 2021). "El nuevo ataque de canal lateral puede recuperar claves de cifrado de claves de seguridad de Google Titan" . ZDNet . Consultado el 13 de enero de 2021 .
- ^ a b c d "Los investigadores muestran que las llaves de seguridad Titan de Google se pueden clonar" . SecurityWeek . 2021-01-11 . Consultado el 13 de enero de 2021 .
- ^ Ducklin, Paul (11 de enero de 2021). "Llaves de seguridad de Google Titan pirateadas por investigadores franceses" . Seguridad desnuda . Consultado el 13 de enero de 2021 .
- ^ "Opciones de autenticación sin contraseña para Azure Active Directory" . Consultado el 14 de abril de 2021 .
- ^ Heim, Patrick; Patel, Jay (12 de agosto de 2015). "Presentamos el soporte U2F para autenticación segura" . Blog de Dropbox . Consultado el 12 de agosto de 2015 .
- ^ Olsen, Risk (1 de octubre de 2015). "GitHub admite la autenticación de segundo factor universal" . github.com/blog . GitHub . Consultado el 1 de octubre de 2015 .
- ^ Nwaigwe, Amara (22 de junio de 2016). "Soporte para autenticación de segundo factor universal" . Blog de GitLab . Consultado el 9 de julio de 2016 .
- ^ Kells, TJ (22 de junio de 2016). "Universal 2nd Factor (U2F) ahora es compatible con Bitbucket Cloud" . Blog de Bitbucket . Consultado el 22 de junio de 2016 .
- ^ "Nextcloud 11 establece un nuevo estándar de seguridad y escalabilidad" . Nextcloud . Consultado el 23 de diciembre de 2016 .
- ^ "Clave de seguridad para inicios de sesión más seguros con un toque" . Facebook . Consultado el 27 de enero de 2017 .
- ^ "Autenticación USB-Dongle" . Josh Davis . Consultado el 22 de febrero de 2017 .
- ^ Ingalls, Dustin (13 de febrero de 2015). "Microsoft anuncia la llegada de compatibilidad con FIDO a Windows 10" . Blog de Windows . Consultado el 3 de octubre de 2015 .
- ^ "Microsoft Edge ahora admite inicios de sesión sin contraseña" . Engadget . Consultado el 4 de octubre de 2018 .
- ^ "Firefox 57 tiene soporte nativo para U2F" . Mozilla . Consultado el 1 de noviembre de 2017 .
- ^ "Complemento de soporte U2F" . Consultado el 8 de mayo de 2016 .
- ^ "Firefox Nightly habilita el soporte para llaves de seguridad FIDO U2F" . Blog de Yubico . 2017-09-22 . Consultado el 27 de septiembre de 2017 .
- ^ "Notas de la versión de Firefox 60.0" . Consultado el 11 de mayo de 2018 .
- ^ "Notas de la versión de Thunderbird 60.0" . Consultado el 22 de junio de 2018 .
- ^ "Introducción a la autenticación web en Microsoft Edge - Blog de desarrollo de Microsoft Edge Blog de desarrollo de Microsoft Edge" . blogs.windows.com . 2018-07-30 . Consultado el 3 de agosto de 2018 .
- ^ "FIDO U2F V1.0 Proposed Standard 2014-10-09" . Alianza FIDO . 9 de octubre de 2014 . Consultado el 3 de mayo de 2019 .
- ^ "Norma propuesta FIDO U2F V1.2 2017-04-11" . Alianza FIDO . 11 de abril de 2017 . Consultado el 3 de mayo de 2019 .
- ^ "Descargar especificaciones" . Alianza FIDO . Consultado el 13 de febrero de 2019 .
- ^ "Solicitud de envío al W3C: Especificaciones de la plataforma FIDO 2.0 1.0" . Consorcio World Wide Web (W3C) . Consultado el 12 de febrero de 2019 .
- ^ a b Chong, Jerrod (1 de agosto de 2018). "10 cosas que te has estado preguntando sobre FIDO2, WebAuthn y un mundo sin contraseña" . Consultado el 1 de mayo de 2019 .
- ^ Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, JC; Jones, Michael B .; Kumar, Akshay; Liao, Angelo; Lindemann, Rolf; Lundberg, Emil (eds.). "Autenticación web: una API para acceder a las credenciales de clave pública Nivel 1 (más reciente)" . Consorcio World Wide Web (W3C) . Consultado el 4 de marzo de 2019 .
- ^ Hakamine, Frederico (22 de enero de 2019). "Comprensión de los estándares FIDO: su guía de referencia" . Consultado el 1 de mayo de 2019 .
- ^ Salam, Feroz (25 de agosto de 2018). "Por qué no puede usar Firefox para registrar una clave U2F con Google" . Consultado el 1 de mayo de 2019 .