Universal 2nd Factor) U2F) یک استاندارد احراز هویت باز است که احراز هویت دو مرحله ای (2FA) را با استفاده از دستگاه های تخصصی USB یا NFC بر اساس فناوری امنیتی مشابه موجود در کارت های هوشمند تقویت و ساده می کند. در حالی که در ابتدا توسط گوگل و یوبیکو و با مشارکت NXP Semiconductors توسعه داده شد، این استاندارد اکنون توسط اتحادیه FIDO میزبانی می شود. ویژگی های امن رمزنگاری نامتقارن در فلسفه امنیتی درج قرار می گیرد. با پشتیبانی از U2F در درج ، امنیت حساب ها و هویت ها به صورت آنلاین امکان پذیر است.

مزایای U2F

• کلیدهای خصوصی هرگز از طریق اینترنت ارسال نمی شوند
• اطلاعات محرمانه هرگز به لطف رمزنگاری کلید عمومی به اشتراک گذاشته نمی شود.
• استفاده از احراز هویت سنتی 2 عاملی آسان تر است. 
• بدون تایپ مجدد کدهای یکبار مصرف.
• هیچ اطلاعات شخصی با کلید خصوصی به اشتراک گذاشته نشده است. 

در حالی که پشتیبان گیری از نظر تئوری ساده تر است، برای همه کلیدهای U2F امکان پذیر نیست. هنگامی که از U2F استفاده می کنید، هیچ پایگاه داده محرمانه ای به اشتراک گذاشته نمی شود و هیچ پایگاه داده محرمانه ای توسط ارائه دهنده ذخیره نمی شود، یک هکر نمی تواند به سادگی کل پایگاه داده را بدزدد تا به آن دسترسی پیدا کند. در عوض، او باید کاربران فردی را هدف قرار دهد، که بسیار پرهزینه‌تر و زمان‌برتر است. علاوه بر این، امکان پشتیبان گیری از یک سری (کلید خصوصی) وجود دارد.

چگونه کار می کند؟

هنگام ورود به یک وب سایت، کاربر معمولاً با ارائه یک نام کاربری و رمز عبور خود را احراز هویت می کند. با درج و U2F، کاربر باید علاوه بر این، ورود به سیستم را با کلیک روی دکمه روی دستگاه درج تأیید کند.

درج همیشه برای هر حساب کاربری ثبت شده از یک امضای منحصر به فرد استفاده می کند.

درج از کاربر می‌خواهد در طول راه‌اندازی اولیه دستگاه، از Seed بازیابی نسخه پشتیبان تهیه کند. این یک فرآیند یکبار مصرف برای همه عملکردهای دستگاه است. دانه بازیابی همه کلیدهای خصوصی تولید شده توسط دستگاه را نشان می دهد و می تواند در هر زمان برای بازیابی کیف پول پیوند شده استفاده شود.

به تعداد نامحدودی از هویت های U2F اجازه می دهد که همه در یک نسخه پشتیبان ذخیره می شوند.

کلمه بازیابی به طور ایمن در داخل درج ذخیره می شود. هرگز به اشتراک گذاشته نخواهد شد، زیرا هرگز نمی تواند دستگاه را ترک کند. هیچ ویروس یا هکری نمی تواند به آن دسترسی داشته باشد.

حفاظت از فیشینگ با تأیید روی صفحه. درج همیشه URL وب سایتی را که کاربر می خواهد وارد آن شود و اینکه دقیقاً چه چیزی مجاز است را نشان می دهد. بنابراین می توان تأیید کرد که آنچه به دستگاه ارسال شده است همان چیزی است که انتظار می رود.

درج با U2F

برای تقویت امنیت آنلاین شما، درج می تواند به عنوان یک رمز امنیتی سخت افزاری برای U2F عمل کند، اما با عملکردهای پشتیبان/بازیابی و راحتی. می‌توانید از درج به‌عنوان رمز احراز هویت عامل دوم خود با سرویس‌هایی مانند Google، GitHub یا Dropbox استفاده کنید. مزیت دیگر درج این است که کاربران آن می توانند واقعاً آنچه را که می خواهند در صفحه نمایش دستگاه مجاز کنند تأیید کنند.

در این آموزش کوتاه، ما به شما نشان خواهیم داد که چگونه احراز هویت دو مرحله ای را در حساب Google فعال کنید و یک دستگاه درج را به عنوان یک توکن احراز هویت U2F ثبت کنید.

1. از Google.com دیدن کرده و وارد حساب کاربری خود شوید
2. به تنظیمات “Security” دسترسی پیدا کنید و “2-Step Verification” را فعال کنید.

پس از دسترسی به حساب Google خود، به تنظیمات امنیتی در سمت چپ صفحه بروید. گزینه ای برای فعال کردن تأیید صحت 2 مرحله ای مشاهده خواهید کرد. وقتی این ویژگی فعال است، حساب Google شما علاوه بر رمز عبور استاندارد، به تأیید دوم نیاز دارد.

برای ادامه روی تأیید صحت 2 مرحله ای و سپس شروع به کار کلیک کنید.

1. از بین گزینه‌های دیگری که برای ورود به سیستم استفاده می‌شوند، «کلید امنیتی» را انتخاب کنید

گوگل از شما می خواهد که دوباره وارد حساب کاربری خود شوید. این یک اقدام احتیاطی امنیتی برای اطمینان از اینکه شما هستید که تنظیمات خود را تغییر می‌دهید. هنگام ورود به سیستم، Google از شما می‌خواهد روش مورد نظر تأیید صحت 2 مرحله‌ای را انتخاب کنید. Google راه حل بومی خود را ارائه می دهد، اما شما راه حل بسیار بهتری دارید، دستگاه درج خود. بنابراین بر روی گزینه Choose other کلیک کرده و Security Key را انتخاب کنید

1.  دستگاه درج خود را وصل کنید و آن را به عنوان کلید امنیتی U2F برای این سرویس ثبت کنید

1.   رمز امنیتی خود را نامگذاری کنید

در اینجا نامی را انتخاب می‌کنید که Google هنگام استفاده از دستگاهتان ببیند. این نام با نامی که در اولین راه‌اندازی دستگاه خود انتخاب کردید، یکسان نیست.

1. لذت ببرید!

دفعه بعد که وارد حساب Google خود می شوید، از شما خواسته می شود که ورود به سیستم را در دستگاه خود تأیید کنید.

پشتیبانی از U2F

U2F در مرورگرهای Chrome/Chromium خارج از جعبه فعال است

در Firefox باید U2F را به صورت دستی فعال کنید:

about:config را در نوار آدرس فایرفاکس تایپ کنید و Enter

Search را برای u2f فشار دهید روی security.webauth.u2f دوبار کلیک کنید تا U2F فعال شود (یا کلیک راست کرده و Toggle)

Restoring U2F Counter در درج را انتخاب کنید

بازیابی یک کلمه در درج دیگر (به صفحات بازیابی اختصاصی درج مدلOne و درج مدلT مراجعه کنید) همه کلیدهای U2F را نیز بازیابی می کند، زیرا آنها از یک کلید اصلی مشتق شده اند. به دلیل طراحی U2F، برخی از سرویس‌ها ممکن است شمارنده‌ای را اجرا کنند که تعداد ورود به سیستم را ثبت می‌کند. با این حال، اگر نسخه سیستم عامل 1.4.2 یا بالاتر دارید، شمارنده U2F به طور خودکار بازیابی می شود.

نحوه اضافه کردن U2F به دستور sudo

1. فایل پیکربندی sudo را باز کنید:

sudo nano /etc/pam.d/sudo

1. این را در انتهای فایل اضافه کنید:

# احراز هویت u2f مورد نیاز است pam_u2f.so authfile=/etc/u2f_mappings cue

پیکربندی خود را با باز کردن یک پنجره ترمینال دیگر و اجرای دستور sudo تست کنید. اگر این کارها به درستی انجام شود، از شما رمز عبور خواسته می شود و سپس از شما خواسته می شود «لطفا دستگاه را لمس کنید». دستگاه درج شما همچنین از شما می خواهد که درخواست را تأیید کنید. تبریک می‌گوییم، سیستم شما اکنون به درج شما نیاز دارد که sudo را اجرا کند.