Som du måske ved, er dine Ledger Nano-enheder (Ledger Nano S, Nano S Plus og Nano X) åbne platforme, der udnytter sikkerheden i Secure Elements. Ledger Operating System (OS) indlæser applikationer, der bruger kryptografiske API'er. OS tilbyder også isolering og vigtige afledningsmekanismer.
Denne teknologi giver et højt niveau af sikkerhed, selv mod en hacker, der har fysisk adgang til dine enheder, hvilket gør dine Ledger-enheder til det perfekte værktøj til at administrere dine digitale aktiver sikkert. Men de er også meget velegnede til at sikre dine loginoplysninger til mange onlinetjenester.
Derfor har vi udviklet en ny applikation kaldet Sikkerhedsnøgle, der implementerer WebAuthn-standarden for Second Factor Authentication (2FA), Multiple Factor Authentication (MFA) eller endda adgangskodefri godkendelse.
På grund af OS-begrænsninger har denne sikkerhedsnøgle-app nogle begrænsninger:
- Det er ikke tilgængeligt på Nano S på grund af manglende understøttelse af AES-SIV på Nano S OS.
- Identifikationsoplysninger, der kan findes/beboer, understøttes, men gemmes på en del af enhedens flash, der slettes ved sletning af appen. Derfor er de ikke aktiveret som standard, men kan aktiveres manuelt på eget ansvar i indstillingerne, hvis det er nødvendigt. Dette kan ske:
- Hvis brugeren vælger at afinstallere det fra Ledger Live
- Hvis brugeren vælger at opdatere appen til en ny tilgængelig version
- Hvis brugeren opdaterer OS-versionen
Hvad er WebAuthn?
Web Authentication eller WebAuthn for kort er en standard skrevet af W3C og FIDO Alliance. Det specificerer en brugergodkendelsesmekanisme baseret på offentlige nøglekryptering i stedet for adgangskoder.
Motivationen for at bygge en sådan standard var, at vores nuværende online-eksistens er bygget på adgangskoder, og at de fleste sikkerhedsbrud er relateret til stjålne eller svage adgangskoder.
Udnyttelse af offentlig nøglekryptering sikkerhedsmekanisme
Kryptering af offentlig nøgle, også kendt som asymmetrisk kryptografi, er en kryptografisk mekanisme baseret på at have to tilknyttede nøgler:
- En privat nøgle, der bør holdes hemmelig
- En offentlig nøgle, der kan deles
Disse nøgler deler følgende egenskab:
- Den offentlige nøgle kan bruges til at bekræfte, om en besked er blevet underskrevet af den private nøgle.
Lad os overveje, at en bruger, Bob, opretter et nøglepar og deler den offentlige nøgle med Alice. Hvis Bob sender en besked til Alice, kan han underskrive beskeden ved hjælp af sin private nøgle, og Alice kan bekræfte ved hjælp af den offentlige nøgle, at beskeden faktisk er blevet underskrevet af Bob, som er den eneste, der ved, hvad den private nøgle er.
Med hensyn til autentificering betyder det, at en bruger kan oprette et nøglepar og dele den offentlige nøgle med en onlinetjeneste. Senere kan brugeren autentificere sig selv ved at bevise over for onlinetjenesten, at de kender den private nøgle. Alt dette uden at skulle sende den private nøgle til onlinetjenesten! Dette betyder, at den private nøgle ikke kan stjæles på serverdatabaser eller opsnappes under kommunikation mellem bruger og server.
Phishing-angreb modstandsdygtigt
WebAuthn-standarden har også egenskaben til at være modstandsdygtig over for klassiske phishing-angreb.
Grundlæggende, a Phishing angreb er et angreb, hvor en hacker narre dig til at afsløre følsomme oplysninger, i vores tilfælde, login-legitimationsoplysninger.
I modsætning til andre MFA-mekanismer som OTP, er WebAuthn-mekanismen modstandsdygtig over for sådanne angreb. Faktisk er hvert nøglepar bundet til en bestemt oprindelse eller webdomæne, hvilket betyder, at et angreb forsøger at narre dig til at bruge en WebAuthn-legitimationsoplysninger i et andet domæne (f.eks. et falsk websted med url best-service.com
i stedet for legitim websteds-url best.service.com
) vil mislykkes, da godkendelsesenheden ikke vil have et tilsvarende nøglepar for det pågældende domæne. Derfor vil angrebet mislykkes, og modstanderen får ingen brugbar information.
Stærk hardwaresikkerhed
WebAuthn anbefaler at bruge hardwaresikkerhedselementer til sikkert at opbevare de private nøgler. Med hensyn til Ledger Security Key-applikationen gemmes private nøgler i enheden Secure Element (SE), som har bestået en Common Criteria-sikkerhedsevaluering – en international standard for bankkort og statskrav – og har opnået et EAL5+-certifikat. Du kan finde flere oplysninger om Ledger-enhedscertificeringer link..
Attesteret tilmeldinger
WebAuthn-godkendelse er attesteret, det betyder, at serveren kan verificere, at godkendelsesenheden er lovlig. Dette kan aktiveres på nogle tjenester for kun at godkende en kort liste over godkendelsesenheder eller for at opdage svigagtige kilder.
Sådan fungerer WebAuthn
Lad os først specificere, hvilke forskellige aktører der er:
- Bruger, det vil sige dig, der forsøger at registrere sig sikkert på en onlinetjeneste.
- Relying Party, som refererer til en server, der giver adgang til en sikker softwareapplikation ved hjælp af WebAuthn. For eksempel Google, Facebook, Twitter.
- User Agent, som henviser til enhver software, der handler på vegne af en bruger, der "henter, gengiver og letter slutbrugerinteraktion med webindhold". For eksempel din foretrukne webbrowser på dit foretrukne operativsystem.
- Autentifikator, som refererer til et middel, der bruges til at bekræfte en brugeridentitet. I dette tilfælde er dette din Ledger Nano-enhed, der kører sikkerhedsnøgleapplikationen.
Der er to store WebAuthn-operationer, der kan genoptages som:
- Tilmelding hvor:
- og Autentificering modtager en anmodning via User Agent, fra Relying Party, der indeholder den afhængige parts oprindelse eller webdomæne sammen med en bruger-id og eventuelt brugernavnet.
- og Autentificering anmoder om Bruger samtykke, opretter et unikt nøglepar og svarer derefter til den afhængige part med den offentlige nøgle.
- Autentificering, hvor:
- og Autentificering modtager gennem User Agent, en anmodning fra Relying Party, der indeholder den afhængige parts oprindelse eller webdomæne sammen med en udfordring.
- og Autentificering anmoder om Bruger samtykke og svarer derefter med en meddelelse indeholdende en signatur oprettet med den registrerede legitimationsoplysninger tilhørende private nøgle.
Du kan finde en mere detaljeret forklaring af mekanismen bag WebAuthn link..
Forskellen med Ledger FIDO-U2F Nano App
Ledger FIDO-U2F-applikationen implementerer FIDO U2F, en tidligere version af FIDO2, som er inkluderet i WebAuthn-standarden. Denne tidligere version var designet til at blive brugt som en anden faktor for adgangskoder, mens WebAuthn er beregnet til at tillade adgangskodefri godkendelse.
Globalt giver det en bedre brugeroplevelse:
- På godkendelsesenheder med en skærm kan den Relying Party-oprindelse (eller tjenestedomænet) nu vises i stedet for dets hash.
- Opdagelige legitimationsoplysninger (også kaldet resident keys) er blevet introduceret i FIDO2-specifikationerne. De tillader scenarier uden adgangskode, hvor brugeren ikke engang behøver at indtaste sit brugernavn på tjenesten. Efter at have udført registreringen, kan den afhængige part i stedet anmode om en autentificering med kun dens oprindelse og uden legitimationsliste. Ved modtagelse af en sådan anmodning søger autentificeringsgiveren efter internt lagrede (resident) legitimationsoplysninger, der er knyttet til denne afhængige part, og bruger dem til at autentificere brugeren.
Kompatibilitet
WebAuthn-standarden og derfor Ledger Security Key-applikationen understøttes på mange operativsystemer og webbrowsere:
- På Windows 10 og nyere understøttes det i hvert fald på Edge, Chrome og Firefox
- På MacOS 11.4 og nyere understøttes det på Safari og Chrome, men det er kun delvist tilgængeligt på Firefox indtil videre. Chrome anbefales på grund af kendte ustabiliteter med Safari.
- På Ubuntu 20.04 og nyere er det understøttet på Chrome, men det er kun delvist tilgængeligt på Firefox indtil videre.
- På iOS 14 og iPadOS 15.5 og nyere understøttes det på Safari, Chrome og Firefox
- På Android understøttes det ikke lige nu. Det skulle starte med Google Play Services v23.35 (september 2023-udgivelse).
Brug af Ledger Security Key-applikationen
WebAuthn-tjenester
WebAuthn har nu nået en bred anvendelse. Derfor kan Ledger Security Key-applikationen bruges på mange tjenester til multipelfaktorgodkendelse og nogle gange til autentificering uden adgangskode.
Her er et uddrag af de tjenester, der implementerer Webauthn:
- 1Password
- AWS
- Binance
- Bitbucket
- Dropbox
- Gandi
- Gemini
- GitHub
- GitLab
- microsoft
- Okta
- Salesforce
- Shopify
- Twitch
Trin for trin eksempel
- Download Ledger Live og vælg sikkerhedsnøgleapplikationen i afsnittet "My Ledger" for at installere det på din enhed
- Indstil de relevante indstillinger på den ønskede tjeneste (AWS, Dropbox, Facebook, Google, GitHub, Microsoft, Twitter, …)
- Brug din sikkerhedsnøgle til at logge ind!
Takket være at kombinere sikkerheden for din tredjepartstjeneste og vores sikkerhedsnøgleapplikation, har du nu aktiveret en avanceret sikkerhed for dine konti
Sikring af dine SSH-nøgler
SSH-nøgler bruges af udviklere i nogle kritiske situationer, fra godkendelse til en GIT-server, op til forbindelse til kritiske produktionsservere. Ledger-enheder havde allerede en måde at sikre dine SSH-nøgler ved hjælp af Ledger SSH Nano Application. Dette krævede dog brugen af en dedikeret Nano-applikation og en agent på din computer. Dette er ikke længere tilfældet. OpenSSH 8.2 introducerede en ny funktion, der tillader "native" brug af FIDO-godkendelsesenheder til SSH-nøglelagring.
Eksempel på brug
Lad os se, hvordan det kan bruges til at interagere med et GitHub-lager:
1. Opret et par:
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. Registrer SSH-nøglen på din GitHub-konto (se GitHub-dokumentationen)
3. Brug det for eksempel til at klone et depot:
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
Hvis du har flere SSH-nøgler, kan du følge dette StackOverflow-svar for at vælge en bestemt tast i stedet for standardtasten.
parametre
Når du opretter et SSH-nøglepar vha ssh-keygen
og din sikkerhedsnøgle, kan du:
- Vælg nøglepargenereringskurven ved at angive enten
-t ed25519-sk
or-t ecdsa-sk
- Tillad brug af SSH privat nøgle uden manuel accept på sikkerhedsnøglen ved at specificere
-O no-touch-required
. Nogle tjenester kan dog afvise sådan godkendelse, dette er tilfældet for GitHub.
Der er en ekstra resident
mulighed, men det tilføjer ikke yderligere sikkerhed, og dets brug er mere komplekst.
Xavier Chapron
Firmware ingeniør
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://www.ledger.com/blog/strengthen-the-security-of-your-accounts-with-webauthn
- :har
- :er
- :ikke
- :hvor
- $OP
- 1
- 10
- 11
- 14
- 15 %
- 20
- 2023
- 2FA
- 35 %
- 8
- a
- Om
- accept
- adgang
- Konto
- Konti
- handler
- aktører
- tilføje
- Yderligere
- Vedtagelse
- Efter
- igen
- mod
- Agent
- alice
- Alle
- Alliance
- tillade
- tillade
- tillader
- sammen
- allerede
- også
- an
- ,
- android
- enhver
- API'er
- app
- Anvendelse
- applikationer
- passende
- ER
- AS
- Aktiver
- forbundet
- At
- angribe
- Angreb
- autentificere
- Godkendelse
- bemyndige
- til rådighed
- AWS
- Bank
- baseret
- BE
- været
- vegne
- bag
- Bedre
- bob
- brud
- browser
- Bygning
- bygget
- men
- by
- CAN
- Kort
- tilfælde
- certifikat
- udfordre
- Chrome
- kombinerer
- Fælles
- Kommunikation
- kompatibilitet
- komplekse
- computer
- computing
- Bekræfte
- Tilslutning
- samtykke
- Overvej
- begrænsninger
- Tilsvarende
- tælle
- skabe
- oprettet
- skaber
- Oprettelse af
- KREDENTIAL
- Legitimationsoplysninger
- kriterier
- kritisk
- kryptografisk
- kryptografi
- Nuværende
- skøger
- databaser
- dedikeret
- Standard
- Delta
- konstrueret
- ønskes
- detaljeret
- opdage
- udviklet
- udviklere
- enhed
- Enheder
- forskel
- forskellige
- digital
- Digitale aktiver
- vises
- gør
- Er ikke
- domæne
- færdig
- Dropbox
- grund
- i løbet af
- e
- hver
- Edge
- element
- elementer
- aktiveret
- Indtast
- evaluering
- Endog
- eksempel
- eksistens
- erfaring
- forklaring
- ekstrakt
- letter
- faktor
- FAIL
- falsk
- Favorit
- Feature
- FIDO Alliance
- Finde
- fingeraftryk
- Firefox
- Blink
- efter
- Til
- svigagtig
- fra
- generere
- generation
- få
- Git
- GitHub
- Google Play
- hacker
- havde
- ske
- Hardware
- Hardware sikkerhed
- hash
- Have
- have
- he
- Høj
- hans
- Hvordan
- Men
- HTTPS
- Identifikation
- identifikator
- Identity
- if
- billede
- gennemføre
- redskaber
- in
- medtaget
- faktisk
- oplysninger
- installere
- i stedet
- interagere
- interaktion
- internt
- internationalt
- ind
- introduceret
- iOS
- iPad
- isolation
- IT
- ITS
- jpg
- lige
- holdt
- Nøgle
- nøgler
- Kend
- Kendskab til
- kendt
- Mangel
- senere
- mindst
- Ledger
- Ledger Live
- Ledger Nano
- Ledger Nano S
- Legit
- legitim
- Niveau
- løftestang
- ligesom
- begrænsninger
- Liste
- leve
- belastninger
- log
- Logge på
- længere
- UDSEENDE
- MacOS
- større
- Making
- administrere
- manuel
- manuelt
- mange
- Kan..
- midler
- betød
- mekanisme
- mekanismer
- besked
- MFA
- microsoft
- måske
- mere
- mest
- Motivation
- flere
- navn
- Som hedder
- nano
- Behov
- behov
- Ny
- ingen
- nu
- objekter
- opnået
- of
- Tilbud
- on
- ONE
- online
- kun
- åbent
- drift
- operativsystem
- Produktion
- Option
- or
- oprindelse
- OS
- Andet
- vores
- egen
- par
- parametre
- del
- part
- Bestået
- Nulstilling/ændring af adgangskoder
- perfekt
- udføres
- Phishing
- phishing-angreb
- fysisk
- Platforme
- plato
- Platon Data Intelligence
- PlatoData
- Leg
- plus
- tilstedeværelse
- tidligere
- private
- private nøgle
- Private nøgler
- produktion
- ejendom
- beskyttet
- giver
- leverer
- bevise
- offentlige
- offentlig nøgle
- offentlige nøgler
- nået
- modtager
- modtagelse
- anbefales
- anbefaler
- refererer
- om
- register
- registreret
- Registrering
- relaterede
- frigive
- stole
- gør
- Repository
- anmode
- anmodninger
- påkrævet
- Krav
- elastisk
- afslørende
- Risiko
- kører
- s
- Safari
- sikkert
- samme
- gemt
- scenarier
- Skærm
- Anden
- Sektion
- sikker
- sikkert
- sikkerhed
- sikkerhedsbrud
- se
- send
- sender
- følsom
- september
- server
- Servere
- tjeneste
- Tjenester
- indstillinger
- SHA256
- Del
- Aktier
- Kort
- bør
- underskrive
- signatur
- underskrevet
- websted
- situationer
- Software
- nogle
- sommetider
- Kilder
- specifikke
- specifikationer
- standard
- starte
- Tilstand
- state-of-the-art
- Trin
- stjålet
- opbevaring
- butik
- opbevaret
- Styrke
- sådan
- support
- Understøttet
- systemet
- Teknologier
- at
- Them
- selv
- derefter
- derfor
- de
- Tredje
- denne
- Gennem
- til
- værktøjer
- I alt
- forsøger
- to
- Ubuntu
- enestående
- Opdatering
- opdateringer
- på
- Brug
- brug
- anvendte
- Bruger
- Brugererfaring
- brugere
- bruger
- ved brug af
- verificere
- udgave
- meget
- var
- Vej..
- we
- web
- webbrowser
- GODT
- Hvad
- ud fra følgende betragtninger
- som
- WHO
- hvorfor
- bred
- Wikipedia
- vilje
- vinduer
- med
- inden for
- uden
- skriftlig
- X
- Du
- Din
- zephyrnet