Nagu te võib-olla teate, on teie Ledger Nano seadmed (Ledger Nano S, Nano S Plus ja Nano X) avatud platvormid, mis võimendavad turvaliste elementide turvalisust. Ledger Operating System (OS) laadib krüptograafilisi API-sid kasutavad rakendused. OS pakub ka isoleerimis- ja võtmetuletusmehhanisme.
See tehnoloogia pakub kõrgetasemelist turvalisust isegi ründaja vastu, kellel on füüsiline juurdepääs teie seadmetele, muutes teie Ledgeri seadmed täiuslikeks tööriistadeks teie digitaalsete varade turvaliseks haldamiseks. Kuid need sobivad väga hästi ka teie sisselogimismandaatide kaitsmiseks paljudes võrguteenustes.
Seetõttu oleme välja töötanud uue rakenduse nimega Turvalisuse võti, mis rakendab WebAuthni standardit teise teguri autentimiseks (2FA), mitmefaktoriliseks autentimiseks (MFA) või isegi paroolita autentimiseks.
OS-i piirangute tõttu on sellel turvavõtme rakendusel mõned piirangud.
- See pole Nano S-is saadaval, kuna Nano S OS-is puudub AES-SIV tugi.
- Leitavaid/residentide mandaate toetatakse, kuid need salvestatakse seadme välklambi osasse, mis rakenduse kustutamisel kustutatakse. Seetõttu ei ole need vaikimisi lubatud, vaid saab vajadusel seadetes omal riisikol käsitsi sisse lülitada. See võib juhtuda:
- Kui kasutaja otsustab selle Ledger Live'ist desinstallida
- Kui kasutaja otsustab värskendada rakendust uuele saadaolevale versioonile
- Kui kasutaja värskendab OS-i versiooni
Mis on WebAuthn?
Web Authentication ehk lühidalt WebAuthn on standard, mille on koostanud W3C ja FIDO Alliance. See määrab kasutajate autentimismehhanismi, mis põhineb paroolide asemel avalike võtmete krüptograafial.
Sellise standardi loomise ajendiks oli see, et meie praegune online-eksistents on üles ehitatud paroolidele ja enamik turvarikkumisi on seotud varastatud või nõrkade paroolidega.
Avaliku võtme krüptograafia turvamehhanismi kasutamine
Avaliku võtme krüptograafia, tuntud ka kui asümmeetriline krüptograafia, on krüptograafiline mehhanism, mis põhineb kahel seotud võtmel:
- Privaatvõti, mida tuleks hoida salajas
- Avalik võti, mida saab jagada
Nendel võtmetel on järgmised omadused:
- Avalikku võtit saab kasutada kontrollimaks, kas sõnum on privaatvõtmega allkirjastatud.
Mõelgem, et kasutaja Bob loob võtmepaari ja jagab avalikku võtit Alice'iga. Kui Bob saadab Alice'ile sõnumi, saab ta oma privaatvõtmega sõnumi allkirjastada ja Alice saab avaliku võtme abil kontrollida, kas Bob on sõnumile tõepoolest alla kirjutanud, kes on ainus, kes teab, mis privaatvõti on.
Seoses autentimisega tähendab see, et kasutaja saab luua võtmepaari ja jagada avalikku võtit võrguteenusega. Hiljem saab kasutaja end autentida, tõestades võrguteenusele, et ta teab privaatvõtit. Seda kõike ilma privaatvõtit võrguteenusesse saatmata! See tähendab, et privaatvõtit ei saa serveri andmebaasides varastada ega kasutajatevahelise suhtluse ajal pealt kuulata.
Andmepüügirünnakutele vastupidav
WebAuthni standardil on ka omadus olla vastupidav klassikaliste andmepüügirünnakute vastu.
Põhimõtteliselt a Phishing rünnak on rünnak, mille käigus häkker meelitab teid avaldama tundlikku teavet, meie puhul sisselogimismandaate.
Vastupidiselt teistele MFA mehhanismidele, nagu OTP, on WebAuthni mehhanism selliste rünnakute suhtes vastupidav. Tõepoolest, iga võtmepaar on seotud kindla päritoluga või veebidomeeniga, mis tähendab, et rünnak, mis püüab teid petta kasutama WebAuthni mandaati teises domeenis (nt võltsitud sait URL-iga best-service.com
saidi õigustatud URL-i asemel best.service.com
) ebaõnnestub, kuna autentimisseadmel pole selle domeeni jaoks vastavat võtmepaari. Seetõttu rünnak ebaõnnestub ja vastane ei saa mingit kasulikku infot.
Tugev riistvaraline turvalisus
WebAuthn soovitab privaatvõtmete turvaliseks salvestamiseks kasutada riistvara turvaelemente. Mis puudutab Ledger Security Key rakendust, siis seadme Secure Element (SE) sees on salvestatud privaatvõtmed, mis on läbinud Common Criteria turvalisuse hindamise – pangakaartide ja riiklike nõuete rahvusvahelise standardi – ning saanud EAL5+ sertifikaadi. Lisateavet Ledgeri seadme sertifikaatide kohta leiate siin.
Tõendatud registreeringud
WebAuthni autentimine on kinnitatud, see tähendab, et server saab kontrollida, kas autentimisseade on legitiimne. Seda saab mõnes teenuses lubada, et autoriseerida vaid lühike autentimisseadmete loend või tuvastada petturlikud allikad.
Kuidas WebAuthn töötab
Kõigepealt täpsustame, millised on erinevad osalejad:
- . Kasutaja, see tähendab teie, proovite turvaliselt võrguteenuses registreeruda.
- . Toetuv pool, mis viitab serverile, mis pakub WebAuthni abil juurdepääsu turvalisele tarkvararakendusele. Näiteks Google, Facebook, Twitter.
- . User Agent, mis viitab mis tahes tarkvarale, mis tegutseb kasutaja nimel, et "otsib, renderdab ja hõlbustab lõppkasutaja suhtlemist veebisisuga". Näiteks teie lemmikveebibrauser teie lemmikoperatsioonisüsteemis.
- . Autentija, mis viitab vahendile, mida kasutatakse kasutaja identiteedi kinnitamiseks. Sel juhul on see teie Ledger Nano seade, milles töötab turvavõtme rakendus.
On kaks peamist WebAuthni toimingut, mida saab jätkata järgmiselt:
- Registreerimine, mille käigus:
- the,en ehtsusti saab taotluse kaudu User Agent, alates Toetuv pool, mis sisaldab sõltuva osapoole päritolu või veebidomeeni koos kasutaja identifikaatori ja valikuliselt kasutajanimega.
- the,en ehtsusti taotleb Kasutaja nõusolekul, loob kordumatu võtmepaari ja vastab seejärel tuginevale poolele avaliku võtmega.
- Autentimine, mille käigus:
- the,en ehtsusti saab, kaudu User Agent, taotlus Toetuv pool, mis sisaldab sõltuva osapoole päritolu või veebidomeeni koos väljakutsega.
- the,en ehtsusti taotleb Kasutaja nõusoleku ja vastab seejärel sõnumiga, mis sisaldab registreeritud mandaadiga seotud privaatvõtmega loodud allkirja.
Täpsema selgituse WebAuthni taga oleva mehhanismi kohta leiate siin.
Erinevus Ledger FIDO-U2F Nano Appiga
Ledger FIDO-U2F rakendus rakendab FIDO U2F, FIDO2 eelmist versiooni, mis sisaldub WebAuthni standardis. See eelmine versioon oli mõeldud kasutamiseks paroolide teise tegurina, samas kui WebAuthn on mõeldud paroolivaba autentimise võimaldamiseks.
Ülemaailmselt võimaldab see paremat kasutuskogemust:
- Ekraaniga autentimisseadmetes saab nüüd selle räsi asemel kuvada sõltuva osapoole päritolu (või teenusedomeeni).
- FIDO2 spetsifikatsioonides on kasutusele võetud leitavad mandaadid (nimetatakse ka residentide võtmeteks). Need võimaldavad paroolita stsenaariume, kus kasutaja ei pea isegi oma kasutajanime teenusesse sisestama. Selle asemel saab usaldav pool pärast registreerimist taotleda autentimist ainult selle päritolu ja ilma mandaatide loendita. Sellise päringu vastuvõtmisel otsib autentija selle sõltuva osapoolega seotud sisemiselt salvestatud (resident) mandaate ja kasutab neid kasutaja autentimiseks.
Ühilduvus
WebAuthni standard ja seetõttu Ledgeri turvavõtme rakendus on toetatud paljudes OS-ides ja veebibrauseris:
- Windows 10 ja uuemates versioonides toetatakse seda vähemalt Edge'is, Chrome'is ja Firefoxis
- MacOS 11.4 ja uuemates versioonides toetavad seda Safari ja Chrome, kuid Firefoxis on see praegu saadaval ainult osaliselt. Safari teadaoleva ebastabiilsuse tõttu on soovitatav kasutada Chrome'i.
- Ubuntu versioonis 20.04 ja uuemates versioonides toetab seda Chrome, kuid Firefoxis on see praegu saadaval ainult osaliselt.
- iOS 14 ja iPadOS 15.5 ja uuemate versioonide puhul toetavad seda Safari, Chrome ja Firefox
- Androidis seda praegu ei toetata. See peaks algama Google Play teenuste versiooniga 23.35 (2023. aasta septembri väljalase).
Pearaamatu turvavõtme rakenduse kasutamine
WebAuthni teenused
WebAuthn on nüüdseks jõudnud laialdaselt kasutusele. Seetõttu saab Ledgeri turvavõtme rakendust kasutada paljudes teenustes mitme teguriga autentimiseks ja mõnikord ka paroolita autentimiseks.
Siin on väljavõte Webauthni rakendavatest teenustest:
- 1Password
- AWS
- Binants
- Bitbucket
- edastuskast
- Gandi
- Kaksikud
- GitHub
- GitLab
- Microsoft
- Okta
- Sales Force
- Shopify
- Tõmblema
- puperdama
Samm-sammult näide
- Laadige alla Ledger Live ja valige jaotises „Minu pearaamat” turvavõtme rakendus, et see oma seadmesse installida
- Määrake soovitud teenuses (AWS, Dropbox, Facebook, Google, GitHub, Microsoft, Twitter jne) sobivad seaded
- Kasutage sisselogimiseks oma turvavõtit!
Tänu oma kolmanda osapoole teenuse turvalisuse ja meie turvavõtmerakenduse ühendamisele olete nüüd lubanud oma kontodele tipptasemel turvalisuse
SSH-võtmete kaitsmine
SSH-võtmeid kasutavad arendajad mõnes kriitilises olukorras, alates autentimisest GIT-serverisse kuni kriitiliste tootmisserveritega ühenduse loomiseni. Ledgeri seadmetel oli juba viis SSH-võtmete kaitsmiseks Ledger SSH Nano rakenduse abil. See eeldas aga spetsiaalse nanorakenduse ja agenti kasutamist arvutis. See pole enam nii. OpenSSH 8.2 tutvustas uut funktsiooni, mis võimaldab SSH-võtmete salvestamiseks kasutada FIDO autentimisseadmeid.
Kasutamise näide
Vaatame, kuidas seda saab kasutada GitHubi hoidlaga suhtlemiseks:
1. Looge paar:
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. Registreerige SSH-võti oma GitHubi kontole (vaadake GitHubi dokumentatsiooni)
3. Kasutage seda näiteks hoidla kloonimiseks:
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
Kui teil on mitu SSH-võtit, võite järgida see StackOverflow vastus et valida vaikeklahvi asemel konkreetne võti.
parameetrid
SSH-võtmepaari loomisel kasutades ssh-keygen
ja oma turvavõtmega, saate teha järgmist.
- Valige võtmepaari genereerimise kõver, määrates kas
-t ed25519-sk
or-t ecdsa-sk
- Lubage SSH privaatvõtme kasutamine ilma turvavõtme käsitsi aktsepteerimiseta, määrates
-O no-touch-required
. Mõned teenused võivad aga sellisest autentimisest keelduda, see kehtib GitHubi puhul.
On olemas täiendav resident
valik, kuid see ei lisa täiendavat turvalisust ja selle kasutamine on keerulisem.
Xavier Chapron
Püsivara insener
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
- PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
- PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
- PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
- Allikas: https://www.ledger.com/blog/strengthen-the-security-of-your-accounts-with-webauthn
- :on
- :on
- :mitte
- : kus
- $ UP
- 1
- 10
- 11
- 14
- 15%
- 20
- 2023
- 2FA
- 35%
- 8
- a
- MEIST
- vastuvõtmine
- juurdepääs
- konto
- Kontod
- kohusetäitja
- osalejad
- lisama
- Täiendavad lisad
- Vastuvõtmine
- pärast
- jälle
- vastu
- Agent
- alice
- Materjal: BPA ja flataatide vaba plastik
- Liit
- võimaldama
- Lubades
- võimaldab
- mööda
- juba
- Ka
- an
- ja
- android
- mistahes
- API-liidesed
- app
- taotlus
- rakendused
- asjakohane
- OLEME
- AS
- vara
- seotud
- At
- rünnak
- Reageerib
- autentida
- Autentimine
- volitada
- saadaval
- AWS
- Pangandus
- põhineb
- BE
- olnud
- nimel
- taga
- Parem
- tera
- rikkumisi
- brauseri
- Ehitus
- ehitatud
- kuid
- by
- CAN
- Kaardid
- juhul
- sertifikaat
- väljakutse
- Kroom
- kombineerimine
- ühine
- Side
- ühilduvus
- keeruline
- arvuti
- arvutustehnika
- Kinnitama
- ühendamine
- nõusolek
- Arvestama
- piiranguid
- Vastav
- loendamine
- looma
- loodud
- loob
- loomine
- MANDAAT
- volikiri
- kriteeriumid
- kriitiline
- krüptograafia
- krüptograafia
- Praegune
- kõver
- andmebaasid
- pühendunud
- vaikimisi
- Delta
- kavandatud
- soovitud
- üksikasjalik
- avastama
- arenenud
- Arendajad
- seade
- seadmed
- erinevus
- erinev
- digitaalne
- Digitaalsed varad
- kuvatakse
- ei
- Ei tee
- domeen
- tehtud
- edastuskast
- kaks
- ajal
- e
- iga
- serv
- element
- elemendid
- lubatud
- sisene
- hindamine
- Isegi
- näide
- olemasolu
- kogemus
- selgitus
- väljavõte
- hõlbustab
- faktor
- FAIL
- võlts
- Lemmik
- tunnusjoon
- FIDO liit
- leidma
- sõrmejälg
- Firefox
- välklamp
- Järel
- eest
- pettusega
- Alates
- teeniva
- põlvkond
- saama
- Git
- GitHub
- Google Play
- häkker
- olnud
- juhtuda
- riistvara
- Riistvara turvalisus
- hash
- Olema
- võttes
- he
- Suur
- tema
- Kuidas
- aga
- HTTPS
- Identifitseerimine
- tunnus
- Identity
- if
- pilt
- rakendamisel
- tööriistad
- in
- lisatud
- tõepoolest
- info
- paigaldama
- selle asemel
- suhelda
- suhtlemist
- sisemiselt
- rahvusvaheliselt
- sisse
- sisse
- iOS
- iPad
- isolatsioon
- IT
- ITS
- jpg
- lihtsalt
- hoitakse
- Võti
- võtmed
- Teadma
- Teades
- teatud
- puudus
- pärast
- kõige vähem
- pearaamat
- Ledger Live
- Ledger Nano
- Ledger Nano S
- legit
- õigustatud
- Tase
- võimendav
- nagu
- piirangud
- nimekiri
- elama
- saadetised
- logi
- Logi sisse
- enam
- välimus
- MacOS
- peamine
- Tegemine
- juhtima
- käsiraamat
- käsitsi
- palju
- mai..
- vahendid
- tähendas
- mehhanism
- mehhanismid
- sõnum
- MFA
- Microsoft
- võib
- rohkem
- kõige
- Motiveerimine
- mitmekordne
- nimi
- Nimega
- nano
- Vajadus
- vaja
- Uus
- ei
- nüüd
- esemeid
- saadud
- of
- Pakkumised
- on
- ONE
- Internetis
- ainult
- avatud
- tegutsevad
- operatsioonisüsteemi
- Operations
- valik
- or
- päritolu
- OS
- Muu
- meie
- enda
- paar
- parameetrid
- osa
- partei
- Vastu võetud
- paroolid
- täiuslik
- teostatud
- Phishing
- andmepüügirünnakud
- füüsiline
- Platvormid
- Platon
- Platoni andmete intelligentsus
- PlatoData
- mängima
- pluss
- olemasolu
- eelmine
- era-
- Private Key
- Privaatvõtmed
- Produktsioon
- kinnisvara
- kaitstud
- annab
- pakkudes
- tõestades
- avalik
- avaliku võtme
- avalikud võtmed
- jõudis
- saab
- vastuvõtt
- soovitatav
- soovitab
- viitab
- kohta
- registreerima
- registreeritud
- Registreerimine
- seotud
- vabastama
- tuginedes
- muudab
- Hoidla
- taotleda
- Taotlusi
- nõutav
- Nõuded
- vetruv
- paljastav
- Oht
- jooksmine
- s
- safari
- ohutult
- sama
- salvestatud
- stsenaariumid
- Ekraan
- Teine
- Osa
- kindlustama
- kindlalt
- turvalisus
- turvarikkumised
- vaata
- saatma
- saadab
- tundlik
- September
- server
- Serverid
- teenus
- Teenused
- seaded
- SHA256
- Jaga
- Aktsiad
- Lühike
- peaks
- kirjutama
- allkiri
- allkirjastatud
- site
- olukordades
- tarkvara
- mõned
- mõnikord
- Allikad
- konkreetse
- spetsifikatsioonid
- standard
- algus
- riik
- modernne
- Samm
- varastatud
- ladustamine
- salvestada
- ladustatud
- Tugevdama
- selline
- toetama
- Toetatud
- süsteem
- Tehnoloogia
- et
- .
- Neile
- ennast
- SIIS
- seetõttu
- nad
- Kolmas
- see
- Läbi
- et
- töövahendid
- Summa
- puudutama
- üritab
- puperdama
- kaks
- Ubuntu
- ainulaadne
- Värskendused
- Uudised
- peale
- Kasutus
- kasutama
- Kasutatud
- Kasutaja
- User Experience
- Kasutajad
- kasutusalad
- kasutamine
- kontrollima
- versioon
- väga
- oli
- Tee..
- we
- web
- veebibrauseri
- Hästi
- M
- samas kui
- mis
- WHO
- miks
- lai
- Wikipedia
- will
- aknad
- koos
- jooksul
- ilma
- kirjalik
- X
- sa
- Sinu
- sephyrnet