Bu yazımda sizlere geçtiğimiz günlerde twitter adresimden bahsetmiş olduğum. Yubico FIDO U2F fiziksel güvenlik aracını ve U2F nin çalışma mantığını ve U2F’in ne olduğunu sizlere kısaca bahsedeceğim.
Nedir bu U2F ?
Universal 2nd Factor (U2F), akıllı kartlarda bulunan benzer güvenlik teknolojisine dayalı uzmanlaşmış USB veya NFC cihazlarını kullanarak iki faktörlü kimlik doğrulamayı güçlendiren ve basitleştiren açık bir kimlik doğrulama standardıdır.
Başlangıçta Google ve Yubico tarafından NXP Semiconductors’ın katkılarıyla geliştirilmiş olsa da standart artık FIDO Birliği tarafından barındırılıyor.
U2F Güvenlik anahtarını hangi platformlar destekliyor?
U2F Güvenlik Anahtarları, sürüm 38’den beri Google Chrome ve Opera 40 sürümünden ayrıca Firefox 57 den beri tarayıcılar tarafından desteklenmektedir. U2F güvenlik anahtarları, Google, Dropbox, GitHub, GitLab gibi U2F protokolünü destekleyen çevrimiçi hizmetlerde ek bir iki adımlı doğrulama yöntemi olarak kullanılabilir ayrıca destekleyen yukarıdakiler dışında pek çok platform bulunmaktadır.
Firefox 57 ve üstü sürümler için firefoxda hali hazırda aktif gelmeyen bu özelliği about:config alanına giriş yaparak ve security.webauth.u2f değerini True olarak değiştirerek kullanmaya başlayabilirsiniz.
not: Bazı web siteleri sadece google chrome üzerinden gelen U2F isteklerini kabul etmektedir. Bu durumun kısa sürede değişeceğine inanıyorum.
Yubico FIDO U2F Nasıl Çalışır
U2F tasdikinin amacı, bir U2F güvenen tarafın (bir web sitesi veya hizmet) bir U2F kimlik doğrulayıcısının doğruluğunu doğrulayabilmesi ve böylece onun tasdik sertifikasına güvenebilmesi için yalnızca bir mekanizma sağlamaktır. Güvenen bir taraf, YubiKey gibi bir kimlik doğrulayıcı hakkında bilgi bulmak için onay belgesine sorar. Sorulan bilgi, kimlik doğrulayıcının satıcısını, aygıt türünü ve güvenlik özelliklerini (örneğin, güvenli öğe tabanlı bir aygıt) içerebilir.
Onaylama bilgilerinin özgünlüğü, belirli bir geçerlilik süresi olan dijital bir imza ile garanti edilir.
Bir cihazın güvenilirliğinin kanıtı olmasının yanı sıra, kimlik doğrulama sertifikası da hangi tarafların kullanabileceğini belirlemek için kullanılabilir. Örneğin, bir bankacılık sitesi kullanıcılarını kendi U2F cihazlarını iki faktörlü kimlik doğrulaması için kullanabilmelerini isteyebilir, ancak yalnızca kullanıcıların belirli onaylı üreticilerin cihazlarını kullanmasına da izin verebilir.
Bununla birlikte, U2F’yi ne tür bir aygıt ya da istemci tarafı yazılımı kullandığını belirlemek için herhangi bir gereklilik yoktur – güvenen taraf ya da hizmet, herhangi bir onay belgesinin türünü ya da belirli bir türünü kabul etmeyi kararlaştırabilir.
Yubico U2F deneyimleme fırsatı
14 Kasım 2017 tarihinde internet üzerinden satın alma işlemini gerçekleştirdim. İsveç’ten türkiyeye normal posta ile gelişi yaklaşık olarak 15 gün sürdü ufak bir zarf içerisinde 2 adet U2F cihazı tarafıma böylelikle ulaşmış oldu.
Geldiğinde direk cihazları denemek için destekleyen bir platforma uğradım bunun için Github tercih ettim özellikle Firefox 57‘yi desteklediği için tarayıcıyıda test etme imkanım oldu.
Bir e-imza’yı anımsatsada java gerektirmeyen tarayıcı tarafında sorunsuz çalışan sizi ek külfetlerden kurtaran bir cihaz.
Özellikle platform bağımsız bir şekilde sadece tarayıcı ile kullanılabiliyor olmasıda cihazı bir adım öne taşıyor.