Jacarta U2F — доступный USB-токен, совместимый с сервисами Google и не только

На прошлой неделе российская компания «Аладдин Р.Д.», известная в сфере информационной безопасности, представила свой новый продукт. И ничто бы не отличало этот анонс от любого анонса «Аладдин Р.Д.», если бы не одна особенность: новинка предназначена не для корпоративного, а для персонального использования. Это USB-токен Jacarta U2F для двухфакторной аутентификации.

 
Корпус Jacarta U2F полностью изготовлен из пластика, во избежание повреждения статическим электричеством. Обычный USB-коннектор, цветная петля для ключей, маленькая черная кнопка для подтверждения реальности пользователя. Вместо оранжевого, в сочетании с черным доступны и другие цвета.

Новый токен семейства Jacarta работает в соответствии с открытым протоколом универсальной двухфакторной аутентификации U2F, разработанным международным консорциумом FIDO. Официальная поддержка FIDO U2F заявлена для Windows 10 и браузера Edge. Что касается более распространенных на данный момент продуктов, то среди них стоит отметить Google Chrome (Jacarta U2F требует версию 41 или новее). Помимо поддержки в браузере, для использования U2F-токена требуется его поддержка конкретным сервисом. Их список представлен на www.dongleauth.info. Таких сервисов пока немного: в их число входят инструменты Google (Google Drive, Youtube), а также Dropbox, Github, платформа WordPress и менеджер паролей LastPass (хотя на вышеуказанном сайте наличие поддержки не указано). Что касается требований к операционным системам, то они особо не ограничены — достаточно лишь наличие HID-интерфейса, который есть и в Windows, и в OS X, и в Linux.

В отличие от предыдущих решений производителя, Jacarta U2F рассчитан на использование в качестве персонального токена. Попробуем добавить с его помощью второй фактор защиты и посмотрим, насколько это удобно.

Тыкаем аватарку пользователя Google — синяя кнопка «Мой аккаунт» — «Безопасность и вход» — «Двухэтапная аутентификация» — «Приступить к настройке». Далее требуется ввести код подтверждения, пришедший в виде SMS, и мы попадаем в меню.

Следуя инструкциям, регистрируем токен. После успешной регистрации он появится в списке токенов. Перезапустим браузер. Вводим пароль, видим запрос на токен.

Вставляем токен, нажимаем на нем черную кнопочку, аутентификация прошла. Теперь представим, что токена у нас нет. Щелкаем «Выберите другой способ ввода» и видим, что обойти токен можно, если иметь доступ к привязанному номеру телефона. Таким образом, от утери телефона донгл Jacarta U2F не защитит, его можно применять лишь для вспомогательной аутентификации. Если, например, вы не хотите получать одноразовые ключи на телефон.

Добавление ключа в Dropbox осуществляется еще проще, через настройки. И здесь также можно обойти U2F-аутентификацию, если имеется доступ к телефону.

Получается, что, хотя такой способ аутентификации и способен обеспечить дополнительный уровень защиты, толку от него не будет никакого, если в распоряжении злоумышленников оказался телефон. Впрочем, такая политика уже на совести сервисов, и «Аладдин Р.Д.» тут винить не в чем.

Работает токен по технологии открытых ключей. Для каждого сервиса он генерирует уникальную ключевую пару, состоящую из открытой части, хранящейся на сервере, и закрытой части — электронной подписи (памяти токена хватает на 500 пар). При авторизации после проверки имени и пароля система отправляет пользователю запрос, который необходимо подписать с использованием хранящегося на токене закрытого ключа. При успешной проверке подписи пользователь входит в аккаунт.

Главным преимуществом таких ключей, как Jacarta U2F, является простота использования. Нет необходимости в инфраструктуре открытых ключей (PKI), сертификатах, удостоверяющих центрах и всяческом администрировании. Если все элементы системы, от ОС до конкретного сервиса, поддерживают U2F, процедура двухэтапной авторизации очень проста и не требует стороннего вмешательства. Jacarta U2F можно использовать и с мобильными устройствами. В Android для этого требуется поддержка USB OTG, соединение осуществляется через OTG-кабель (также есть версии Jacarta U2F с коннектором Micro-USB). В iOS можно использовать Camera Connection Kit. В ассортименте Аладдин РД имеются версии Jacarta U2F с поддержкой eTokenPass и УКЭП (усиленной квалифицированной электронной подписи). По словам представителей компании, стоимость стандартного токена Jacarta U2F не превысит тысячи рублей, и его можно будет легко найти в широкой продаже.