Standar ini didukung oleh aliansi FIDO, yang mencakup Google, Microsoft, PayPal, American Express, MasterCard, VISA, Intel, ARM, Samsung, Qualcomm, Bank of America, dan banyak perusahaan besar lainnya. Berharap token keamanan U2F segera tersebar di seluruh tempat.
Hal serupa akan menjadi lebih luas segera dengan API Autentikasi Web. Ini akan menjadi API otentikasi standar yang berfungsi di semua platform dan browser. Ini akan mendukung metode otentikasi lainnya serta tombol USB. Web Authentication API pada awalnya dikenal sebagai FIDO 2.0.
Apa itu?
Otentikasi dua faktor adalah cara penting untuk melindungi akun penting Anda. Secara tradisional, sebagian besar akun hanya perlu kata sandi untuk masuk - itu salah satu faktor, sesuatu yang Anda ketahui. Siapa pun yang mengetahui kata sandi dapat masuk ke akun Anda.
Otentikasi dua faktor membutuhkan sesuatu yang Anda ketahui dan sesuatu yang Anda miliki. Seringkali, ini adalah pesan yang dikirim ke ponsel Anda melalui SMS atau kode yang dihasilkan melalui aplikasi seperti Google Authenticator atau Authy di ponsel Anda. Seseorang membutuhkan kata sandi Anda dan akses ke perangkat fisik untuk masuk.
Namun autentikasi dua faktor tidak semudah yang seharusnya, dan sering kali melibatkan pengetikan kata sandi dan pesan SMS ke semua layanan yang Anda gunakan. U2F adalah standar universal untuk membuat token otentikasi fisik yang dapat bekerja dengan layanan apa pun.
Jika Anda akrab dengan Yubikey - kunci USB fisik yang memungkinkan Anda masuk ke LastPass dan beberapa layanan lain - Anda akan terbiasa dengan konsep ini. Tidak seperti perangkat Yubikey standar, U2F adalah standar universal. Awalnya, U2F dibuat oleh Google dan Yubico bekerja dalam kemitraan.
Bagaimana cara kerjanya?
Saat ini, perangkat U2F biasanya adalah perangkat USB kecil yang Anda masukkan di port USB komputer Anda. Beberapa dari mereka memiliki dukungan NFC sehingga mereka dapat digunakan dengan ponsel Android. Ini didasarkan pada teknologi keamanan "smart card" yang ada. Saat Anda memasukkannya ke port USB komputer Anda atau mengetuknya ke ponsel Anda, peramban di komputer Anda dapat berkomunikasi dengan kunci keamanan USB menggunakan teknologi enkripsi aman dan memberikan respons yang benar yang memungkinkan Anda masuk ke situs web.
Karena ini berjalan sebagai bagian dari peramban itu sendiri, ini memberi Anda beberapa peningkatan keamanan yang bagus dibanding otentikasi dua faktor yang khas. Pertama, browser memeriksa untuk memastikannya berkomunikasi dengan situs web yang sebenarnya menggunakan enkripsi, sehingga pengguna tidak akan diperdaya untuk memasukkan kode dua-faktor mereka ke situs web phishing palsu. Kedua, browser mengirim kode langsung ke situs web, sehingga penyerang yang duduk di antara tidak dapat menangkap kode dua-faktor sementara dan memasukkannya di situs web yang sebenarnya untuk mendapatkan akses ke akun Anda.
Situs web juga dapat menyederhanakan kata sandi Anda - misalnya, situs web saat ini mungkin meminta Anda untuk memasukkan kata sandi yang panjang dan kemudian kode dua-faktor, yang keduanya harus Anda ketik. Sebaliknya, dengan U2F, situs web dapat meminta Anda PIN empat digit yang harus Anda ingat dan kemudian meminta Anda menekan tombol pada perangkat USB atau mengetuknya ke ponsel untuk masuk.
Aliansi FIDO juga bekerja pada UAF, yang tidak memerlukan kata sandi. Misalnya, mungkin menggunakan sensor sidik jari pada smartphone modern untuk mengautentikasi Anda dengan berbagai layanan.
Anda dapat membaca lebih lanjut tentang standar itu sendiri di situs web aliansi FIDO.
Di Mana Itu Didukung?
Google Chrome, Mozilla Firefox, dan Opera (yang berbasis Google Chrome) adalah satu-satunya browser yang mendukung U2F. Ini berfungsi di Windows, Mac, Linux, dan Chromebook. Jika Anda memiliki token U2F fisik dan menggunakan Chrome, Firefox, atau Opera, Anda dapat menggunakannya untuk mengamankan akun Google, Facebook, Dropbox, dan GitHub Anda. Layanan besar lainnya belum mendukung U2F.
U2F juga berfungsi dengan browser Google Chrome di Android, dengan asumsi Anda memiliki kunci USB dengan dukungan NFC yang terpasang. Apple tidak mengizinkan akses aplikasi ke perangkat keras NFC, jadi ini tidak akan berfungsi di iPhone.
Sementara versi stabil Firefox saat ini memiliki dukungan U2F, itu dinonaktifkan secara default. Anda harus mengaktifkan preferensi Firefox tersembunyi untuk mengaktifkan dukungan U2F saat ini.
Dukungan untuk kunci U2F akan menjadi lebih luas ketika API Otentikasi Web lepas landas. Ini bahkan akan bekerja di Microsoft Edge.
Bagaimana Anda Bisa Menggunakannya
Anda hanya perlu token U2F untuk memulai. Google mengarahkan Anda untuk mencari Amazon untuk "Kunci Keamanan FIDO U2F" untuk menemukannya. Yang teratas harganya $ 18 dan dibuat oleh Yubico, perusahaan dengan sejarah pembuatan kunci keamanan USB fisik. Yubikey NEO yang lebih mahal termasuk dukungan NFC untuk digunakan dengan perangkat Android.
Anda kemudian dapat mengunjungi pengaturan Akun Google Anda, temukan halaman verifikasi 2 langkah, dan klik tab Kunci Keamanan. Klik Tambahkan Kunci Keamanan dan Anda akan dapat menambahkan kunci keamanan fisik, yang harus Anda masuk ke akun Google Anda. Prosesnya akan serupa untuk layanan lain yang mendukung U2F - lihat panduan ini untuk lebih lanjut.
Ini bukan alat keamanan yang dapat Anda gunakan di mana saja, tetapi banyak layanan akhirnya harus menambahkan dukungan untuk itu. Harapkan hal-hal besar dari API Autentikasi Web dan kunci U2F ini di masa mendatang.
