Wraz z postępem często przychodzą zmiany. Niektóre są ekscytujące, na przykład zapewniają nowe funkcje i szersze wsparcie, podczas gdy inne są wstrząsem i w skrajnych przypadkach, powodują niekorzystne skutki dla użytkowników końcowych. Yubico zobowiązało się do informowania użytkowników o najnowszych zmianach w protokołach bezpieczeństwa.
Jedna z najświeższych informacji – Chrome wraz z aktualizacją do wersji v.98, planowaną na luty 2022, całkowicie usunie API do Universal 2nd Factor (U2F)
Jeśli korzystacie z U2F, dzięki prostym aktualizacjom kodu, przełączycie się na interfejs API WebAuthn w Chrome, a wszystko to przy zachowaniu kompatybilność z kluczami YubiKey. Jeśli chcesz dowiedzieć się więcej, zapraszamy do tekstu poniżej. Dodatkowo zapraszamy do rejestracji na seminarium Yubico, które odbędzie się 22 lutego, pod tytułem: MFA with WebAuthn: Implementation Updates and the Road Ahead
Jak zmiana wpłynie na użytkowników?
Należy zwrócić uwagę, że U2F oznacza w Chrome dwie rzeczy:
– protokół uwierzytelniania;
– interfejs API.
Nadchodząca aktualizacja oznacza, że jedynie interfejs API U2F jest przestarzały, a uwierzytelnianie za pomocą protokołu U2F będzie nadal obsługiwane, ale przez interfejs API WebAuthn.
Oryginalny sposób implementacji U2F z Chrome polegał na wykorzystaniu API U2F. Od tego czasu przyjęto protokół WebAuthn. Te dwa protokoły mogą nie wyglądać na powiązane, ale U2F jest prekursorem WebAuthn. Specyfikacja WebAuthn została zaprojektowana z myślą o kompatybilności wstecznej, aby U2F działał z WebAuthn.
Dewaluacja interfejsu API U2F oznacza, że usługi będą musiały przejść migrację do interfejsu API WebAuthn, aby nadal obsługiwać odporne na phishing uwierzytelnianie wieloskładnikowe (MFA) za pomocą kluczy Yubikey w swoich usługach. Co więcej, przyjęcie API WebAuthn zwiększy liczbę miejsc, w których użytkownik może używać swojego Yubikey, ponieważ jest on obsługiwany przez inne główne przeglądarki, takie jak Safari i Edge.
W listopadzie 2021 r. w Chrome w wersji v.95, użytkownicy usług z interfejsem API Chrome U2F, zaczęli otrzymywać niepokojące ostrzeżenie, że usługa, na której pracują, korzysta z interfejsu API U2F, który zostanie wyłączony z końcem z dniem 22.02.2022.
Aby uzyskać więcej informacji u źródła, Google przedstawił tutaj wersje i oś czasu Chrome.
Jak przeprowadzić migrację?
Jak wspomniano wcześniej, interfejs API WebAuthn jest wstecznie zgodny z poświadczeniami U2F. Aby przeprowadzić migrację, właściciele usług muszą wykonać kilka czynności, aby zapewnić użytkownikom możliwość dalszego korzystania z istniejących poświadczeń U2F.
Kluczowe zmiany po stronie klienta polegają na zmianie metody rejestru U2F API w celu wywołania metody WebAuthn API navigator.credentials.create(). Aby wywołać metodę WebAuthn API navigator.credentials.get(), należy zaktualizować metodę podpisywania interfejsu API U2F.
Zmiany w usłudze backendu lub grupie odpowiadającej (RP) mogą być również potrzebne w zależności od tego, jak zaimplementowano U2F.
Więcej informacji w dokumentacji Yubico napisanej dla serwera Yubico Open Source WebAuthn, zatem pamiętaj, że Twoja implementacja może być nieco inna.
A jeśli potrzebuję więcej czasu?
Jeśli potrzebujesz więcej czasu na migrację, istnieje kilka sposobów na uzyskanie rozszerzenia usługi, aby nadal korzystać z interfejsu API U2F do lipca 2022 r. za pośrednictwem Google. Opcje obejmują zarejestrowanie się w wersji próbnej wycofania lub włączenie U2fSecurityKeyApiEnabled.
Przygotowano na podstawie wpisu w blogu Yubico z dnia 2.02.2022r.
