كما تعلم، فإن أجهزة Ledger Nano الخاصة بك (Ledger Nano S وNano S Plus وNano X) هي منصات مفتوحة تعمل على الاستفادة من أمان Secure Elements. يقوم نظام تشغيل Ledger (OS) بتحميل التطبيقات التي تستخدم واجهات برمجة التطبيقات المشفرة. يوفر نظام التشغيل أيضًا آليات العزل والاشتقاق الرئيسية.
توفر هذه التقنية مستوى عالٍ من الأمان حتى ضد المهاجم الذي لديه إمكانية الوصول الفعلي إلى أجهزتك، مما يجعل أجهزة Ledger الخاصة بك الأدوات المثالية لإدارة أصولك الرقمية بشكل آمن. ولكنها أيضًا مناسبة تمامًا لتأمين بيانات اعتماد تسجيل الدخول الخاصة بك للعديد من الخدمات عبر الإنترنت.
ولهذا السبب قمنا بتطوير تطبيق جديد يسمى مفتاح الامان، الذي يطبق معيار WebAuthn لمصادقة العامل الثاني (2FA) أو المصادقة المتعددة العوامل (MFA) أو حتى المصادقة بدون كلمة مرور.
نظرًا لقيود نظام التشغيل، فإن تطبيق مفتاح الأمان هذا له بعض القيود:
- إنه غير متوفر على Nano S بسبب عدم دعم AES-SIV على Nano S OS.
- يتم دعم بيانات الاعتماد القابلة للاكتشاف/المقيمة ولكن يتم تخزينها على جزء من فلاش الجهاز الذي سيتم مسحه عند حذف التطبيق. ولهذا السبب لا يتم تمكينها افتراضيًا، ولكن يمكن تمكينها يدويًا على مسؤوليتك الخاصة في الإعدادات إذا لزم الأمر. يمكن أن يحدث هذا:
- إذا اختار المستخدم إلغاء تثبيته من Ledger Live
- إذا اختار المستخدم تحديث التطبيق إلى إصدار جديد متاح
- إذا قام المستخدم بتحديث إصدار نظام التشغيل
ما هو WebAuthn؟
مصادقة الويب أو WebAuthn للاختصار هي معيار مكتوب بواسطة W3C وتحالف FIDO. وهو يحدد آلية مصادقة المستخدمين بناءً على تشفير المفاتيح العامة بدلاً من كلمات المرور.
كان الدافع وراء بناء مثل هذا المعيار هو أن وجودنا الحالي عبر الإنترنت مبني على كلمات المرور وأن معظم الخروقات الأمنية ترتبط بكلمات مرور مسروقة أو ضعيفة.
الاستفادة من آلية أمان تشفير المفتاح العام
تشفير المفتاح العام، المعروف أيضًا باسم التشفير غير المتماثل، هو آلية تشفير تعتمد على وجود مفتاحين مرتبطين:
- مفتاح خاص يجب أن يبقى سراً
- مفتاح عام يمكن مشاركته
تشترك مفاتيح الأطروحات في الخاصية التالية:
- يمكن استخدام المفتاح العام للتحقق مما إذا كانت الرسالة قد تم توقيعها بواسطة المفتاح الخاص.
لنفترض أن المستخدم، بوب، أنشأ زوجًا من المفاتيح وشارك المفتاح العام مع أليس. إذا أرسل بوب رسالة إلى أليس، فيمكنه توقيع الرسالة باستخدام مفتاحه الخاص ويمكن لأليس التحقق باستخدام المفتاح العام من أن الرسالة قد تم توقيعها بالفعل بواسطة بوب، وهو الوحيد الذي يعرف ما هو المفتاح الخاص.
فيما يتعلق بالمصادقة، فهذا يعني أنه يمكن للمستخدم إنشاء زوج مفاتيح ومشاركة المفتاح العام مع خدمة عبر الإنترنت. وفي وقت لاحق، يمكن للمستخدم مصادقة نفسه من خلال إثبات أنه يعرف المفتاح الخاص للخدمة عبر الإنترنت. كل هذا دون الحاجة إلى إرسال المفتاح الخاص للخدمة عبر الإنترنت! وهذا يعني أنه لا يمكن سرقة المفتاح الخاص من قواعد بيانات الخادم أو اعتراضه أثناء اتصالات المستخدم بالخادم.
هجوم التصيد مرن
يتمتع معيار WebAuthn أيضًا بخاصية المرونة في مواجهة هجمات التصيد الاحتيالي الكلاسيكية.
في الأساس ، أ التصيد الهجوم هو هجوم يخدعك فيه أحد المتسللين للكشف عن معلومات حساسة، في حالتنا، بيانات اعتماد تسجيل الدخول.
على عكس آليات MFA الأخرى مثل OTP، فإن آلية WebAuthn مرنة في مواجهة مثل هذه الهجمات. في الواقع، يرتبط كل زوج من المفاتيح بأصل معين، أو مجال ويب معين، مما يعني أن أي هجوم يحاول خداعك لاستخدام بيانات اعتماد WebAuthn في مجال مختلف (على سبيل المثال، موقع مزيف بعنوان url) best-service.com
بدلاً من عنوان URL الشرعي للموقع best.service.com
) سوف يفشل لأن جهاز المصادقة لن يحتوي على زوج مفاتيح مطابق لهذا المجال. لذلك سيفشل الهجوم ولن يحصل الخصم على أي معلومات مفيدة.
أمان قوي للأجهزة
توصي WebAuthn باستخدام عناصر أمان الأجهزة لتخزين المفاتيح الخاصة بأمان. فيما يتعلق بتطبيق Ledger Security Key، يتم تخزين المفاتيح الخاصة داخل الجهاز Secure Element (SE) الذي اجتاز تقييم الأمان Common Criteria - وهو معيار دولي للبطاقات المصرفية ومتطلبات الدولة - وحصل على شهادة EAL5+. يمكنك العثور على مزيد من المعلومات حول شهادات أجهزة Ledger هنا.
التسجيلات المعتمدة
تمت المصادقة على مصادقة WebAuthn، وهذا يعني أنه يمكن للخادم التحقق من شرعية جهاز المصادقة. يمكن تمكين هذا في بعض الخدمات للسماح فقط بقائمة قصيرة من أجهزة المصادقة أو لاكتشاف المصادر الاحتيالية.
كيف يعمل WebAuthn
دعونا أولا نحدد ما هي الجهات الفاعلة المختلفة:
- • مستخدم، أنت تحاول التسجيل بأمان في إحدى الخدمات عبر الإنترنت.
- • الطرف المعول، والذي يشير إلى خادم يوفر الوصول إلى تطبيق برمجي آمن باستخدام WebAuthn. على سبيل المثال جوجل، الفيسبوك، تويتر.
- • وكيل المستخدم، والتي تشير إلى أي برنامج يعمل نيابة عن المستخدم "استرداد وعرض وتسهيل تفاعل المستخدم النهائي مع محتوى الويب". على سبيل المثال، متصفح الويب المفضل لديك على نظام التشغيل المفضل لديك.
- • الموثق، والتي تشير إلى وسيلة تستخدم لتأكيد هوية المستخدم. في هذه الحالة، هذا هو جهاز Ledger Nano الخاص بك الذي يقوم بتشغيل تطبيق Security Key.
هناك عمليتان رئيسيتان لـ WebAuthn، يمكن استئنافهما على النحو التالي:
- التسجيل يتم خلالها:
- ال الموثق يتلقى الطلب، من خلال وكيل المستخدم، من الطرف المعول، يحتوي على أصل الطرف المعتمد أو مجال الويب بالإضافة إلى معرف المستخدم واسم المستخدم بشكل اختياري.
- ال الموثق يطلب مستخدم الموافقة، وإنشاء زوج مفاتيح فريد، ثم الرد على الطرف المعتمد بالمفتاح العام.
- المصادقة خلالها:
- ال الموثق يستقبل، من خلال وكيل المستخدم، طلب من الطرف المعول، يحتوي على أصل الطرف المعتمد أو مجال الويب بالإضافة إلى التحدي.
- ال الموثق يطلب مستخدم الموافقة ثم الرد برسالة تحتوي على توقيع تم إنشاؤه باستخدام المفتاح الخاص المرتبط ببيانات الاعتماد المسجلة.
يمكنك العثور على شرح أكثر تفصيلاً للآلية الكامنة وراء WebAuthn هنا.
الفرق مع تطبيق Ledger FIDO-U2F Nano
يقوم تطبيق Ledger FIDO-U2F بتنفيذ FIDO U2F، وهو إصدار سابق من FIDO2 المضمن في معيار WebAuthn. تم تصميم هذا الإصدار السابق لاستخدامه كعامل ثانٍ لكلمات المرور بينما يهدف WebAuthn إلى السماح بالمصادقة بدون كلمة مرور.
على المستوى العالمي، يتيح تجربة أفضل للمستخدم:
- على أجهزة المصادقة المزودة بشاشة، يمكن الآن عرض أصل الطرف المعتمد (أو مجال الخدمة) بدلاً من التجزئة الخاصة به.
- تم تقديم بيانات الاعتماد القابلة للاكتشاف (وتسمى أيضًا المفاتيح المقيمة) في مواصفات FIDO2. إنها تسمح بسيناريوهات بدون كلمة مرور حيث لا يحتاج المستخدم حتى إلى إدخال اسم المستخدم الخاص به في الخدمة. وبدلاً من ذلك، بعد إجراء التسجيل، يمكن للطرف المعتمد أن يطلب المصادقة بأصلها فقط وبدون قائمة بيانات الاعتماد. عند استلام مثل هذا الطلب، يبحث المصادق عن بيانات الاعتماد المخزنة داخليًا (المقيم) المرتبطة بهذا الطرف المعتمد ويستخدمها لمصادقة المستخدم.
التوافق
يتم دعم معيار WebAuthn وبالتالي تطبيق Ledger Security Key على العديد من أنظمة التشغيل ومتصفحات الويب:
- في نظام التشغيل Windows 10 والإصدارات الأحدث، يتم دعمه على الأقل في Edge وChrome وFirefox
- في نظام التشغيل MacOS 11.4 والإصدارات الأحدث، يتم دعمه على Safari وChrome، ومع ذلك فهو متاح جزئيًا فقط على Firefox في الوقت الحالي. يوصى باستخدام Chrome، نظرًا لعدم الاستقرار المعروف في Safari.
- في Ubuntu 20.04 والإصدارات الأحدث، يتم دعمه على Chrome، ومع ذلك فهو متاح جزئيًا فقط على Firefox في الوقت الحالي.
- على iOS 14 وiPadOS 15.5 والإصدارات الأحدث، يتم دعمه على Safari وChrome وFirefox
- على نظام Android، فهو غير مدعوم حتى الآن. يجب أن يبدأ بإصدار خدمات Google Play v23.35 (إصدار سبتمبر 2023).
استخدام تطبيق Ledger Security Key
خدمات مصادقة الويب
لقد وصل WebAuthn الآن إلى اعتماد واسع النطاق. لذلك، يمكن استخدام تطبيق Ledger Security Key في العديد من الخدمات للمصادقة متعددة العوامل وأحيانًا للمصادقة بدون كلمة مرور.
فيما يلي مقتطف من الخدمات التي تنفذ Webauthn:
- 1Password
- AWS
- Binance
- Bitbucket
- Dropbox
- فيسبوك
- غاندي
- الجوزاء
- GitHub جيثب:
- GitLab
- شراء مراجعات جوجل
- مایکروسافت
- ثمن
- ساليسفورسي
- شوبيفاي
- تويتش
- تويتر
مثال خطوة بخطوة
- قم بتنزيل Ledger Live وحدد تطبيق Security Key في قسم "My Ledger" لتثبيته على جهازك
- ضبط الإعدادات المناسبة على الخدمة المطلوبة (AWS، Dropbox، Facebook، Google، GitHub، Microsoft، Twitter، …)
- استخدم مفتاح الأمان الخاص بك لتسجيل الدخول!
بفضل الجمع بين أمان خدمة الطرف الثالث وتطبيق مفتاح الأمان الخاص بنا، فقد قمت الآن بتمكين أحدث الأمان لحساباتك
تأمين مفاتيح SSH الخاصة بك
يتم استخدام مفاتيح SSH من قبل المطورين في بعض المواقف الحرجة، بدءًا من المصادقة إلى خادم GIT، وحتى الاتصال بخوادم الإنتاج المهمة. تمتلك أجهزة Ledger بالفعل طريقة لتأمين مفاتيح SSH الخاصة بك باستخدام تطبيق Ledger SSH Nano. ومع ذلك، يتطلب هذا استخدام تطبيق Nano مخصصًا ووكيلًا على جهاز الكمبيوتر الخاص بك. لم يعد هذا هو الحال. قدم OpenSSH 8.2 ميزة جديدة تسمح بالاستخدام "الأصلي" لأجهزة مصادقة FIDO لتخزين مفاتيح SSH.
مثال للاستخدام
دعونا نرى كيف يمكن استخدامه للتفاعل مع مستودع GitHub:
1. إنشاء زوج:
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. قم بتسجيل مفتاح SSH في حساب GitHub الخاص بك (راجع وثائق جيثب)
3. استخدمه على سبيل المثال لاستنساخ مستودع:
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
إذا كان لديك عدة مفاتيح SSH، فيمكنك المتابعة هذه إجابة StackOverflow لتحديد مفتاح معين بدلاً من المفتاح الافتراضي.
المعلمات
عند إنشاء زوج مفاتيح SSH باستخدام ssh-keygen
ومفتاح الأمان الخاص بك، يمكنك:
- اختر منحنى إنشاء زوج المفاتيح عن طريق تحديد أي منهما
-t ed25519-sk
or-t ecdsa-sk
- السماح باستخدام مفتاح SSH الخاص دون قبول يدوي لمفتاح الأمان عن طريق التحديد
-O no-touch-required
. ومع ذلك، يمكن لبعض الخدمات رفض مثل هذه المصادقة، وهذا هو الحال بالنسبة لـ GitHub.
هناك اضافية resident
خيار، لكنه لا يضيف أمانًا إضافيًا واستخدامه أكثر تعقيدًا.
كزافييه شابرون
مهندس البرامج الثابتة
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.ledger.com/blog/strengthen-the-security-of-your-accounts-with-webauthn
- :لديها
- :يكون
- :ليس
- :أين
- $ UP
- 1
- 10
- 11
- 14
- 15%
- 20
- 2023
- 2FA
- 35%
- 8
- a
- من نحن
- قبول
- الوصول
- حسابي
- الحسابات
- التمثيل
- الجهات الفاعلة
- تضيف
- إضافي
- تبني
- بعد
- مرة أخرى
- ضد
- الوكيل
- أليس
- الكل
- اليانز
- السماح
- السماح
- يسمح
- على طول
- سابقا
- أيضا
- an
- و
- الروبوت
- أي وقت
- واجهات برمجة التطبيقات
- التطبيق
- تطبيق
- التطبيقات
- مناسب
- هي
- AS
- ممتلكات
- أسوشيتد
- At
- مهاجمة
- الهجمات
- مصادقة
- التحقّق من المُستخدم
- يأذن
- متاح
- AWS
- البنوك والمصارف
- على أساس
- BE
- كان
- باسمى او لاجلى
- وراء
- أفضل
- بوب
- مخالفات
- المتصفح
- ابني
- بنيت
- لكن
- by
- CAN
- بطاقات
- حقيبة
- شهادة
- تحدى
- الكروم
- الجمع بين
- مشترك
- مجال الاتصالات
- التوافق
- مجمع
- الكمبيوتر
- الحوسبة
- أكد
- الرابط
- موافقة
- نظر
- القيود
- المقابلة
- عد
- خلق
- خلق
- يخلق
- خلق
- الاعتماد
- أوراق اعتماد
- المعايير
- حرج
- التشفير
- التشفير
- حالياًّ
- منحنى
- قواعد البيانات
- مخصصة
- الترتيب
- دلتا
- تصميم
- مطلوب
- مفصلة
- بكشف أو
- المتقدمة
- المطورين
- جهاز
- الأجهزة
- فرق
- مختلف
- رقمي
- الأصول الرقمية
- عرض
- هل
- لا
- نطاق
- فعل
- Dropbox
- اثنان
- أثناء
- e
- كل
- حافة
- العنصر
- عناصر
- تمكين
- أدخل
- تقييم
- حتى
- مثال
- وجود
- الخبره في مجال الغطس
- تفسير
- استخراج
- فيسبوك
- يسهل
- عامل
- يفشلون
- زائف
- المفضلة—الحقيبة
- الميزات
- تحالف FIDO
- بصمة
- برنامج فايرفوكس
- Flash
- متابعيك
- في حالة
- محتال
- تبدأ من
- توليد
- جيل
- دولار فقط واحصل على خصم XNUMX% على جميع
- بوابة
- GitHub جيثب:
- شراء مراجعات جوجل
- Google Play
- القراصنة
- كان
- يحدث
- أجهزة التبخير
- أمن الأجهزة
- مزيج
- يملك
- وجود
- he
- مرتفع
- له
- كيفية
- لكن
- HTTPS
- هوية
- معرف
- هوية
- if
- صورة
- تحقيق
- الأدوات
- in
- شامل
- في الواقع
- معلومات
- تثبيت
- بدلًا من ذلك
- تفاعل
- تفاعل
- داخليا
- عالميا
- إلى
- أدخلت
- آيفون
- iPadOS
- عزل
- IT
- انها
- JPG
- م
- أبقى
- القفل
- مفاتيح
- علم
- معرفة
- معروف
- نقص
- الى وقت لاحق
- الأقل
- دفتر الحسابات
- ليدجر لايف
- ليدجر نانو
- ليدجر نانو S
- شرعي
- شرعي
- مستوى
- الاستفادة من
- مثل
- القيود
- قائمة
- حي
- الأحمال
- سجل
- تسجيل الدخول
- يعد
- تبدو
- ماك
- رائد
- القيام ب
- إدارة
- كتيب
- يدويا
- كثير
- مايو..
- يعني
- يعني
- آلية
- آليات
- الرسالة
- MFA
- مایکروسافت
- ربما
- الأكثر من ذلك
- أكثر
- التحفيز
- متعدد
- الاسم
- عين
- نانو
- حاجة
- بحاجة
- جديد
- لا
- الآن
- الأجسام
- تم الحصول عليها
- of
- عروض
- on
- ONE
- online
- فقط
- جاكيت
- تعمل
- نظام التشغيل
- عمليات
- خيار
- or
- الأصل
- OS
- أخرى
- لنا
- الخاصة
- زوج
- المعلمات
- جزء
- حفلة
- مرت
- كلمات السر
- تنفيذ
- التصيد
- هجمات التصيد
- مادي
- منصات التداول
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- بلايستشن
- المزيد
- وجود
- سابق
- خاص
- المفتاح الخاص
- مفاتيح خاصة
- الإنتــاج
- الملكية
- محمي
- ويوفر
- توفير
- تثبت
- جمهور
- مفتاح العام
- المفاتيح العامة
- التي تم الوصول إليها
- يتلقى
- استقبال
- موصى به
- توصي
- يشير
- بخصوص
- تسجيل جديد
- مسجل
- التسجيل
- ذات صلة
- الافراج عن
- الاعتماد
- يجعل
- مستودع
- طلب
- طلبات
- مطلوب
- المتطلبات الأساسية
- مرن
- كاشفا
- المخاطرة
- تشغيل
- s
- سفاري
- بسلام
- نفسه
- تم الحفظ
- سيناريوهات
- شاشة
- الثاني
- القسم
- تأمين
- آمن
- أمن
- اختراقات أمنية
- انظر تعريف
- إرسال
- يرسل
- حساس
- سبتمبر
- الخادم
- خوادم
- الخدمة
- خدماتنا
- إعدادات
- SHA256
- مشاركة
- مشاركة
- قصير
- ينبغي
- إشارة
- توقيع
- وقعت
- الموقع
- حالات
- تطبيقات الكمبيوتر
- بعض
- أحيانا
- مصادر
- محدد
- مواصفات
- معيار
- بداية
- الولايه او المحافظه
- دولة من بين الفن
- خطوة
- مسروق
- تخزين
- متجر
- تخزين
- تعزيز
- هذه
- الدعم
- مدعومة
- نظام
- تكنولوجيا
- أن
- •
- منهم
- أنفسهم
- then
- وبالتالي
- هم
- الثالث
- عبر
- إلى
- أدوات
- الإجمالي
- تواصل
- يحاول
- أو تويتر
- اثنان
- أوبونتو
- فريد من نوعه
- تحديث
- آخر التحديثات
- بناء على
- الأستعمال
- تستخدم
- مستعمل
- مستخدم
- تجربة المستخدم
- المستخدمين
- يستخدم
- استخدام
- تحقق من
- الإصدار
- جدا
- وكان
- طريق..
- we
- الويب
- متصفح الويب
- حسن
- ابحث عن
- في حين
- التي
- من الذى
- لماذا
- واسع
- ويكيبيديا
- سوف
- نوافذ
- مع
- في غضون
- بدون
- مكتوب
- X
- أنت
- حل متجر العقارات الشامل الخاص بك في جورجيا
- زفيرنت