U2Fセキュリティキーは本当にあなたを安全に保ちますか？

家に帰ると、ドアの前に立って鍵を探し回って、鍵を使って入り口のロックを解除します。コードを入力したり、ドアに話しかけたり、スフィンクスに話しかけているようになぞなぞに答えたりすることはありません。大きな頭痛の種になることはありませんが、比較的安全です。

これのインターネットバージョンは基本的にU2Fキーです。パスワードを入力する必要がありますが、物理キーをUSBスロットに挿入するだけなので、2要素認証で行う必要のある余分な作業はなくなります。しかし、この方法は少なくとも他の認証方法と同じくらい安全ですか？そしておそらくもっと重要なことに、それは何か新しいことに対処していますか？

U2F認証に関するクイッククラッシュコース

U2Fがどのように機能するかを説明するには、2要素認証をすでに理解している必要があります。このような概念に慣れていない場合は、実際の例としてGoogle認証システムを使用してみましょう。ログイン情報を入力してGoogleにアクセスすると、サーバーから携帯電話でGoogle認証システムアプリを開いて6つ取得するように求められます。ワンタイムパスワードを数字で入力します。この最後の手順により、アカウントにログインする人が、GAがインストールされている電話を所有している人と同じであることが保証されます（おそらく、それはあなたです！）。一部のエンティティ（銀行など）は、同じ結果を達成するために、アカウントに関連付けられた電話番号に6〜8桁のコードでSMSを送信します。他の人（通常は銀行）は、これらの番号を生成するトークンデバイスを提供します。

さて、2要素認証では、ログインに2つのもの（したがって名前）が使用されます。パスワードと、所有している物理的なものに関連付けられた追加のコードです。 一度しか使用できません。

これで、U2Fが簡単に機能するようになりました。ドアを開けるのに使用するような物理的なキーの形で、これらすべてを実行します。キーをUSBスロットに挿入し、ボタンを押してログインを終了します。そのボタンを押すと、コードが内部で生成され、認証サーバーに自動的に送信されるアルゴリズムがトリガーされます。

簡単ですね

なぜU2Fなのか？

何も追加購入することなく、箱から出して2要素認証を使用できるのであれば、なぜ人々は物理的なキーを取得するために邪魔にならないのでしょうか。企業にとって、答えは明白です。従業員に高価なトークンデバイスを購入する必要はありません。しかし、消費者にとっての利点は何ですか？それらを見てみましょう：

• コードを入力する必要がないため、非常に便利です。
• コードを入力する必要がないため、キーによって自動的に送信される内部コードは長くなる可能性があります（通常は約32文字）。
• スマートフォンに依存する必要はありません。 （電話が壊れたり、番号を変更したりした場合はどうなりますか？）

警告

U2Fがそれほど広く適用されていないのは、2要素認証がすでに標準を設定しているためです。すぐに利用でき、サービスプロバイダーが実装するのは十分に簡単です。現在、Google、Facebook、Dropbox、GitHubなどの主要なサービスのみが互換性を誇っています。

この問題とは別に、それが何に対処するかという問題もあります。簡単に言えば、これは2要素認証の洗練されたバージョンと見なされ、使用するのがわずかに便利になります。 U2Fが中間者攻撃に効率的に対処することは重要ではありません（ただし、それについては議論の余地があります。これについては後で説明します）。アイデアを売り込もうとするときは、知覚がより重要になります。

おそらく、より重要な注意点は、U2Fが、ハッカーがトラフィックを乗っ取ったり、ブラウザでユーザーエージェントを偽装したりすることを防ぐために、ほとんど何もしていないという事実です。この事実だけでも、U2Fの「より高いセキュリティ」の議論は議論の余地があります。

お持ち帰り

U2Fは、必ずしも2要素認証よりも安全であるとは限りませんが、前向きな方向にいくつかの手順を踏むことに注意してください（たとえば、キーの長さを増やす、エンドユーザーにとって苛立たしい認証の障壁を取り除くなど）。テクノロジーとしては「革新的」ではないかもしれませんが、投資する人々にとってより便利な方法で確実に機能します。 U2Fは企業にとって魅力的かもしれませんが、消費者はこれらの小さなデバイスで50ドルの値札をコストに見合うものとは思わないかもしれません。

何か面白いことを話し合いましょう。 U2Fキーを購入するように説得するものは何ですか？それともあなたはすでに確信していますか？コメントでそれについてすべて教えてください！