Разработчики менеджера паролей Dashlane первыми воспользовались преимуществами малоизвестной функции, поддерживаемой процессорами Intel Core восьмого поколения. Речь идет о двухфакторной аутентификации исключительно средствами ПК, не прибегая к помощи телефона.
Аутентификация Universal Second Factor (U2F) поддерживается восьмым поколением архитектуры Core. Как правило, двухфакторная аутентификация (two-factor authentication, 2FA), рекомендуемая на протяжении многих лет как дополнительное средство защиты электронной почты, облачного хранилища и других источников данных, подразумевает передачу на телефон пользователя специального кода посредством приложения или SMS. Архитектура Intel Core восьмого поколения и связанное с нею программное обеспечение позволяют пользователю обойтись без телефона. Для аутентификации транзакции 2FA достаточно нажать соответствующую программную «кнопку».
С технической точки зрения в поддержке U2F нет ничего нового. В седьмом поколении чипов Intel Core, разрабатывавшихся под кодовым наименованием Kaby Lake, появилась технология Software Guard Extensions. По сути, SGX представляет собой защищенную область внутри чипа, предназначенную для хранения ключей шифрования. Но до сих пор поддержка SGX обеспечивалась только в двух сервисах: Dropbox и Duo Security.
«Обладателям восьмого поколения чипов Core мы предлагаем воспользоваться преимуществами встроенной технологии и использовать U2F в качестве дополнительного средства аутентификации», — заявила менеджер компании Dashlane по вопросам стратегического партнерства Эллисон Бейкер. Она подтвердила, что U2F будет работать с восьмым поколением чипов Core для потребителей, а для бизнеса технология Intel vPro требоваться не будет.
«Вам не понадобится телефон или что-то еще, — добавила Бейкер. — Только ПК, поддерживающий технологию Intel».
Почему это так важно? Проникновение злоумышленников в ваш ПК грозит немалыми неприятностями, вот почему были придуманы Windows Hello, пользовательские PIN-коды и пароли Windows. Но с появлением веб-сервисов, доступных фактически из любой точки, возникла необходимость создать еще один уровень безопасности, который защитил бы пользователей от непрошеных гостей. Двухфакторная аутентификация поможет обеспечить безопасность транзакций такого рода; U2F обещает избавить вас от хлопот.
Аутентификация Universal Second Factor поддерживается архитектурой чипов Intel Core восьмого поколения Источник: Intel |
Реализация U2F в чипах Core
Организация FIDO Alliance разработала U2F в качестве открытого стандарта, призванного упростить двухфакторную аутентификацию. Для регистрации в интернет-сервисах наподобие Dashlane создаются два ключа — открытый, зарегистрированный в самом сервисе, и закрытый, хранящийся в чипе Core на клиентском ПК.
Клиентским закрытым ключом, объяснила Бейкер, подписывается сообщение, которое сервис идентифицирует как исходящее от клиентского ПК. Подпись проставляется после того, как пользователь уведомляет о своем присутствии нажатием специальной кнопки на экране. Кнопку эту выводит связующее программное обеспечение Intel Online Connect. Корпорация Intel уже много лет занимается созданием решений безопасности для ПК. В прошлом году Intel продемонстрировала технологию Authenticate, в которой использовались отпечатки пальцев, PIN-коды, пары телефонов и другие средства.
Для аутентификации Dashlane пользователю требуется ввести пароль. Затем Intel Online Connect находит ключ безопасности. Чтобы отправить этот ключ, необходимо нажать кнопку, которая отображается на протяжении 15 секунд в отдельном окне в случайной области экрана. При выводе окна используется технология Intel Protected Transaction Display, позволяющая чипу непосредственно формировать изображение на экране. Пользователь видит на экране кнопку. В случае атаки типа «человек посередине» атакующий увидит перед собой всего лишь пустой черный прямоугольник.
U2F укрепляет первую линию защиты ПК и создается при помощи Windows Hello, PIN-кода или пароля. Если атакующему удалось подобрать PIN-код в тот момент, когда вы отошли от компьютера, то ему понадобится еще и пароль Dashlane. При традиционной двухфакторной аутентификации посредством телефона специальный сервис отправляет код на этот телефон и предупреждает вас о совершении атаки.
Сервисы наподобие Dashlane дают возможность воспользоваться функциями U2F, встроенными в чипы Intel Core. Паролей обычно вполне достаточно, но постоянно вводить сложные, труднозапоминаемые пароли весьма неудобно. Задача заключается в том, чтобы обеспечить необходимую безопасность, не перекладывая это бремя на пользователя, и, похоже, Intel удалось найти достаточно быстрый и удобный способ защиты.