Kuten ehkä tiedät, Ledger Nano -laitteesi (Ledger Nano S, Nano S Plus ja Nano X) ovat avoimia alustoja, jotka hyödyntävät Secure Elements -turvallisuutta. Ledger Operating System (OS) lataa sovelluksia, jotka käyttävät salaussovellusliittymiä. Käyttöjärjestelmä tarjoaa myös eristys- ja avainjohtamismekanismeja.
Tämä tekniikka tarjoaa korkean suojan jopa hyökkääjää vastaan, jolla on fyysinen pääsy laitteihisi, mikä tekee Ledger-laitteistasi täydellisen työkalun digitaalisten resurssien turvalliseen hallintaan. Mutta ne sopivat myös erittäin hyvin turvaamaan kirjautumistietosi moniin verkkopalveluihin.
Tästä syystä olemme kehittäneet uuden sovelluksen nimeltä Turva-avain, joka toteuttaa WebAuthn-standardin Second Factor Authentication (2FA), Multiple Factor Authentication (MFA) tai jopa salasanattoman todennuksen.
Käyttöjärjestelmän rajoituksista johtuen tällä suojausavainsovelluksella on joitain rajoituksia:
- Se ei ole saatavilla Nano S:lle, koska Nano S OS ei tue AES-SIV:tä.
- Löydettävät / asukkaat tunnistetiedot ovat tuettuja, mutta ne tallennetaan laitteen flashin osaan, joka pyyhitään sovelluksen poistamisen yhteydessä. Siksi ne eivät ole oletusarvoisesti käytössä, vaan ne voidaan tarvittaessa ottaa käyttöön manuaalisesti omalla vastuullasi asetuksista. Tämä voi tapahtua:
- Jos käyttäjä päättää poistaa sen Ledger Livestä
- Jos käyttäjä päättää päivittää sovelluksen uuteen saatavilla olevaan versioon
- Jos käyttäjä päivittää käyttöjärjestelmän version
Mikä on WebAuthn?
Web Authentication eli WebAuthn on W3C:n ja FIDO Alliancen kirjoittama standardi. Se määrittää käyttäjien todennusmekanismin, joka perustuu julkisten avainten salaukseen salasanojen sijaan.
Motiivi tällaisen standardin rakentamiselle oli se, että nykyinen online-elämämme perustuu salasanoihin ja useimmat tietoturvaloukkaukset liittyvät varastettuihin tai heikkoihin salasanoihin.
Hyödynnetään julkisen avaimen salauksen suojausmekanismia
Julkisen avaimen salaus, joka tunnetaan myös nimellä asymmetrinen kryptografia, on salausmekanismi, joka perustuu kahteen yhdistettyyn avaimeen:
- Yksityinen avain, joka tulee pitää salassa
- Julkinen avain, joka voidaan jakaa
Opinnäytetyön avaimet jakavat seuraavan ominaisuuden:
- Julkisella avaimella voidaan varmistaa, onko viesti allekirjoitettu yksityisellä avaimella.
Ajatellaanpa, että käyttäjä, Bob, luo avainparin ja jakaa julkisen avaimen Alicen kanssa. Jos Bob lähettää viestin Alicelle, hän voi allekirjoittaa viestin yksityisellä avaimellaan ja Alice voi varmistaa julkisella avaimella, että Bob on todellakin allekirjoittanut viestin, joka on ainoa, joka tietää, mikä yksityinen avain on.
Todennuksen osalta tämä tarkoittaa, että käyttäjä voi luoda avainparin ja jakaa julkisen avaimen verkkopalvelun kanssa. Myöhemmin käyttäjä voi todentaa itsensä todistamalla verkkopalvelulle tietävänsä yksityisen avaimen. Kaikki tämä ilman, että sinun tarvitsee lähettää yksityistä avainta verkkopalveluun! Tämä tarkoittaa, että yksityistä avainta ei voida varastaa palvelintietokannoista eikä siepata käyttäjien välisen viestinnän aikana.
Tietojenkalasteluhyökkäys on kestävä
WebAuthn-standardilla on myös ominaisuus olla kestävä klassisia tietojenkalasteluhyökkäyksiä vastaan.
Periaatteessa, a Phishing hyökkäys on hyökkäys, jossa hakkeri huijaa sinut paljastamaan arkaluontoisia tietoja, meidän tapauksessamme kirjautumistietoja.
Toisin kuin muut MFA-mekanismit, kuten OTP, WebAuthn-mekanismi on kestävä tällaisia hyökkäyksiä vastaan. Jokainen avainpari on todellakin sidottu tiettyyn alkuperään tai verkkotunnukseen, mikä tarkoittaa, että hyökkäys yrittää huijata sinut käyttämään WebAuthn-tunnistetietoja eri verkkotunnuksessa (esim. väärennetty sivusto, jossa on URL-osoite best-service.com
laillisen sivuston URL-osoitteen sijaan best.service.com
) epäonnistuu, koska todennuslaitteella ei ole vastaavaa avainparia kyseiselle toimialueelle. Siksi hyökkäys epäonnistuu eikä vastustaja saa mitään hyödyllistä tietoa.
Vahva laitteistosuojaus
WebAuthn suosittelee käyttämään laitteiston suojauselementtejä yksityisten avainten turvalliseen tallentamiseen. Ledger Security Key -sovelluksen osalta laitteen Secure Elementiin (SE) on tallennettu yksityisiä avaimia, jotka ovat läpäisseet Common Criteria -turvallisuusarvioinnin – pankkikorttien ja valtion vaatimusten kansainvälisen standardin – ja saaneet EAL5+-sertifikaatin. Löydät lisätietoja Ledger-laitesertifioinneista tätä.
Todistetut rekisteröinnit
WebAuthn-todennus on varmennettu, mikä tarkoittaa, että palvelin voi varmistaa, että todennuslaite on laillinen. Tämä voidaan ottaa käyttöön joissakin palveluissa vain lyhyen luettelon todennuslaitteista valtuuttamiseksi tai vilpillisten lähteiden havaitsemiseksi.
Miten WebAuthn toimii
Selvitetään ensin, mitkä ovat eri toimijat:
- - käyttäjä, eli sinä yrität rekisteröityä turvallisesti verkkopalveluun.
- - Luotettava puolue, joka viittaa palvelimeen, joka tarjoaa pääsyn suojattuun ohjelmistosovellukseen WebAuthnin avulla. Esimerkiksi Google, Facebook, Twitter.
- - User Agent, joka viittaa mihin tahansa ohjelmistoon, joka toimii käyttäjän puolesta "hakee, hahmontaa ja helpottaa loppukäyttäjien vuorovaikutusta verkkosisällön kanssa". Esimerkiksi suosikki selaimesi suosikkikäyttöjärjestelmässäsi.
- - Authenticator, joka viittaa keinoon, jota käytetään käyttäjän henkilöllisyyden vahvistamiseen. Tässä tapauksessa tämä on Ledger Nano -laitteesi, joka käyttää suojausavainsovellusta.
On olemassa kaksi suurta WebAuthn-toimintoa, joita voidaan jatkaa seuraavasti:
- Ilmoittautuminen, jonka aikana:
- Ishayoiden opettaman authenticator vastaanottaa pyynnön kautta User Agent, Alkaen Luotettava puolue, joka sisältää luottavan osapuolen alkuperän tai verkkotunnuksen sekä käyttäjätunnuksen ja valinnaisesti käyttäjänimen.
- Ishayoiden opettaman authenticator pyytää käyttäjä suostumus, luo yksilöllisen avainparin ja vastaa sitten luottavalle osapuolelle julkisella avaimella.
- Todennus, jonka aikana:
- Ishayoiden opettaman authenticator vastaanottaa, kautta User Agent, pyyntö Luotettava puolue, joka sisältää luottavan osapuolen alkuperän tai verkkotunnuksen sekä haasteen.
- Ishayoiden opettaman authenticator pyytää käyttäjä suostumuksen ja vastaa sitten viestillä, joka sisältää allekirjoituksen, joka on luotu rekisteröidyllä valtuustietoon liittyvällä yksityisellä avaimella.
Löydät tarkemman selityksen WebAuthnin takana olevasta mekanismista tätä.
Ero Ledger FIDO-U2F Nano App -sovellukseen
Ledger FIDO-U2F -sovellus toteuttaa FIDO U2F:n, FIDO2:n aiemman version, joka sisältyy WebAuthn-standardiin. Tämä edellinen versio on suunniteltu käytettäväksi salasanojen toisena tekijänä, kun taas WebAuthn on tarkoitettu sallimaan salasanaton todennus.
Globaalisti se mahdollistaa paremman käyttökokemuksen:
- Näytöllisissä todennuslaitteissa luottavan osapuolen alkuperä (tai palvelualue) voidaan nyt näyttää sen hashin sijaan.
- FIDO2-spesifikaatioissa on otettu käyttöön tunnistettavat tunnistetiedot (joita kutsutaan myös vakituisiksi avaimiksi). Ne mahdollistavat salasanattomat skenaariot, joissa käyttäjän ei tarvitse edes syöttää käyttäjätunnustaan palveluun. Sen sijaan Luotettava osapuoli voi Rekisteröinnin suorittamisen jälkeen pyytää todennusta vain alkuperästään ilman valtuusluetteloa. Vastaanotettuaan tällaisen pyynnön todentaja etsii sisäisesti tallennettuja (asuvia) valtuustietoja, jotka liittyvät tähän luottavaan osapuoleen, ja käyttää niitä käyttäjän todentamiseen.
Yhteensopivuus
WebAuthn-standardi ja siten Ledger Security Key -sovellus on tuettu monissa käyttöjärjestelmissä ja verkkoselaimissa:
- Windows 10:ssä ja uudemmissa sitä tuetaan ainakin Edgessä, Chromessa ja Firefoxissa
- MacOS 11.4:ssä ja uudemmissa versioissa sitä tuetaan Safarissa ja Chromessa, mutta se on toistaiseksi saatavilla vain osittain Firefoxissa. Chromea suositellaan Safarin tunnetun epävakauden vuoksi.
- Ubuntu 20.04:ssä ja uudemmissa versioissa sitä tuetaan Chromessa, mutta se on toistaiseksi saatavilla vain osittain Firefoxissa.
- iOS 14:ssä ja iPadOS 15.5:ssä ja uudemmissa versioissa sitä tuetaan Safarissa, Chromessa ja Firefoxissa
- Androidissa sitä ei tueta toistaiseksi. Sen pitäisi alkaa Google Play Palveluiden versiolla 23.35 (julkaisu syyskuussa 2023).
Ledger Security Key -sovelluksen käyttäminen
WebAuthn-palvelut
WebAuthn on nyt saavuttanut laajan käyttöönoton. Siksi Ledger Security Key -sovellusta voidaan käyttää monissa palveluissa monitekijäiseen todennukseen ja joskus myös salasanattomaan todentamiseen.
Tässä on ote Webauthnia toteuttavista palveluista:
- 1Password
- AWS
- Binance
- Bitbucket
- dropbox
- Gandi
- Kaksoset
- GitHub
- GitLab
- Microsoft
- Okta
- Salesforce
- Shopify
- Nykiä
Askel askeleelta esimerkki
- Lataa Ledger Live ja asenna se laitteellesi valitsemalla Suojausavain-sovellus My Ledger -osiossa
- Aseta sopivat asetukset haluamaasi palveluun (AWS, Dropbox, Facebook, Google, GitHub, Microsoft, Twitter,…)
- Käytä suojausavainta kirjautuaksesi sisään!
Kolmannen osapuolen palvelusi turvallisuuden ja suojausavainsovelluksemme yhdistämisen ansiosta olet nyt ottanut käyttöön uusimman suojauksen tileillesi
SSH-avainten suojaaminen
Kehittäjät käyttävät SSH-avaimia joissakin kriittisissä tilanteissa GIT-palvelimen todentamisesta kriittisiin tuotantopalvelimiin yhdistämiseen. Ledger-laitteilla oli jo tapa suojata SSH-avaimet Ledger SSH Nano -sovelluksella. Tämä vaati kuitenkin erillisen nanosovelluksen ja agentin käyttöä tietokoneellasi. Näin ei enää ole. OpenSSH 8.2 esitteli uuden ominaisuuden, joka mahdollistaa FIDO-todennuslaitteiden "alkuperäisen" käytön SSH-avainten tallentamiseen.
Esimerkki käytöstä
Katsotaanpa, kuinka sitä voidaan käyttää vuorovaikutukseen GitHub-tietovaraston kanssa:
1. Luo pari:
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. Rekisteröi SSH-avain GitHub-tilillesi (katso GitHub-dokumentaatio)
3. Käytä sitä esimerkiksi arkiston kloonaamiseen:
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
Jos sinulla on useita SSH-avaimia, voit seurata tämä StackOverflow vastaus valitaksesi tietyn avaimen oletusnäppäimen sijaan.
parametrit
Kun luot SSH-avainparia käyttämällä ssh-keygen
ja suojausavaimesi, voit:
- Valitse avainparin muodostuskäyrä määrittämällä jompikumpi
-t ed25519-sk
or-t ecdsa-sk
- Salli yksityisen SSH-avaimen käyttö ilman suojausavaimen manuaalista hyväksyntää määrittämällä
-O no-touch-required
. Jotkut palvelut voivat kuitenkin kieltäytyä tällaisesta todentamisesta, kuten GitHubissa.
On ylimääräinen resident
vaihtoehto, mutta se ei lisää turvallisuutta ja sen käyttö on monimutkaisempaa.
Xavier Chapron
Laiteohjelmistoinsinööri
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.ledger.com/blog/strengthen-the-security-of-your-accounts-with-webauthn
- :on
- :On
- :ei
- :missä
- $ YLÖS
- 1
- 10
- 11
- 14
- 15%
- 20
- 2023
- 2FA
- 35%
- 8
- a
- Meistä
- hyväksyminen
- pääsy
- Tili
- Tilit
- toimiva
- toimijoiden
- lisätä
- lisä-
- Hyväksyminen
- Jälkeen
- uudelleen
- vastaan
- Agentti
- alice
- Kaikki
- Liitto
- sallia
- Salliminen
- mahdollistaa
- pitkin
- jo
- Myös
- an
- ja
- android
- Kaikki
- API
- sovelluksen
- Hakemus
- sovellukset
- sopiva
- OVAT
- AS
- Varat
- liittyvä
- At
- hyökkäys
- Hyökkäykset
- todentaa
- Authentication
- valtuuttaa
- saatavissa
- AWS
- Pankkitoiminta
- perustua
- BE
- ollut
- puolesta
- takana
- Paremmin
- bob
- rikkomisesta
- selain
- Rakentaminen
- rakennettu
- mutta
- by
- CAN
- Kortit
- tapaus
- todistus
- haaste
- kromi
- yhdistely
- Yhteinen
- Yhteydenpito
- yhteensopivuus
- monimutkainen
- tietokone
- tietojenkäsittely
- Vahvistaa
- Kytkeminen
- suostumus
- Harkita
- rajoitteet
- vastaava
- laskenta
- luoda
- luotu
- luo
- Luominen
- TOIMINTAKERTOMUS
- Valtakirja
- kriteerit
- kriittinen
- salauksen
- kryptografia
- Nykyinen
- käyrä
- tietokannat
- omistautunut
- oletusarvo
- Delta
- suunniteltu
- haluttu
- yksityiskohtainen
- havaita
- kehitetty
- kehittäjille
- laite
- Laitteet
- ero
- eri
- digitaalinen
- Digitaaliset varat
- näyttöön
- ei
- ei
- verkkotunnuksen
- tehty
- dropbox
- kaksi
- aikana
- e
- kukin
- reuna
- elementti
- elementtejä
- käytössä
- enter
- arviointi
- Jopa
- esimerkki
- olemassaolo
- experience
- selitys
- uute
- Helpottaa
- tekijä
- FAIL
- väärennös
- Suosikki
- Ominaisuus
- FIDO-liittolainen
- Löytää
- sormenjälki
- Firefox
- salama
- jälkeen
- varten
- vilpillinen
- alkaen
- tuottaa
- sukupolvi
- saada
- mennä
- GitHub
- Google Play
- hakkeri
- HAD
- tapahtua
- Palvelimet
- Laitteistoturva
- hasis
- Olla
- ottaa
- he
- Korkea
- hänen
- Miten
- Kuitenkin
- HTTPS
- Tunnistaminen
- tunniste
- Identiteetti
- if
- kuva
- täytäntöönpanosta
- työkoneet
- in
- mukana
- todellakin
- tiedot
- asentaa
- sen sijaan
- olla vuorovaikutuksessa
- vuorovaikutus
- sisäisesti
- kansainvälisesti
- tulee
- käyttöön
- iOS
- iPad
- eristäminen
- IT
- SEN
- jpg
- vain
- säilytetään
- avain
- avaimet
- Tietää
- tietäen
- tunnettu
- Lack
- myöhemmin
- vähiten
- pääkirja
- Pääkirja Live
- Ledger Nano
- Ledger Nano S
- Legit
- laillinen
- Taso
- vipuvaikutuksen
- pitää
- rajoitukset
- Lista
- elää
- kuormat
- log
- Kirjaudu sisään
- kauemmin
- ulkonäkö
- MacOS
- merkittävä
- Tekeminen
- hoitaa
- manuaalinen
- käsin
- monet
- Saattaa..
- välineet
- tarkoitti
- mekanismi
- mekanismit
- viesti
- UM
- Microsoft
- ehkä
- lisää
- eniten
- Motivoiminen
- moninkertainen
- nimi
- nimetty
- nano
- Tarve
- tarvitaan
- Uusi
- Nro
- nyt
- esineet
- saatu
- of
- Tarjoukset
- on
- ONE
- verkossa
- vain
- avata
- toiminta
- käyttöjärjestelmän
- Operations
- Vaihtoehto
- or
- alkuperä
- OS
- Muut
- meidän
- oma
- pari
- parametrit
- osa
- puolue
- Hyväksytty
- salasanat
- täydellinen
- suoritettu
- Phishing
- tietojenkalasteluhyökkäykset
- fyysinen
- Platforms
- Platon
- Platonin tietotieto
- PlatonData
- Pelaa
- plus
- läsnäolo
- edellinen
- yksityinen
- yksityinen avain
- Yksityiset avaimet
- tuotanto
- omaisuus
- suojattu
- tarjoaa
- tarjoamalla
- osoittautumassa
- julkinen
- julkinen avain
- julkiset avaimet
- saavutettu
- vastaanottaa
- vastaanotto
- suositeltu
- suosittelee
- viittaa
- suhteen
- ilmoittautua
- kirjattu
- Rekisteröinti
- liittyvä
- vapauta
- luottaen
- tekee
- säilytyspaikka
- pyyntö
- pyynnöt
- tarvitaan
- vaatimukset
- kimmoisa
- paljastava
- Riski
- juoksu
- s
- safari
- turvallisesti
- sama
- tallennettu
- skenaariot
- Näytön
- Toinen
- Osa
- turvallinen
- turvallisesti
- turvallisuus
- turvallisuus rikkomukset
- nähdä
- lähettää
- lähettää
- sensible
- syyskuu
- palvelin
- servers
- palvelu
- Palvelut
- settings
- SHA256
- Jaa:
- osakkeet
- Lyhyt
- shouldnt
- merkki
- allekirjoitus
- allekirjoitettu
- paikka
- tilanteita
- Tuotteemme
- jonkin verran
- joskus
- Lähteet
- erityinen
- tekniset tiedot
- standardi
- Alkaa
- Osavaltio
- huippu-
- Vaihe
- varastettu
- Levytila
- verkkokaupasta
- tallennettu
- Vahvistaa
- niin
- tuki
- Tuetut
- järjestelmä
- Elektroniikka
- että
- -
- Niitä
- itse
- sitten
- siksi
- ne
- kolmas
- tätä
- Kautta
- että
- työkalut
- Yhteensä
- kosketa
- yrittää
- viserrys
- kaksi
- Ubuntu
- unique
- Päivitykset
- Päivitykset
- päälle
- Käyttö
- käyttää
- käytetty
- käyttäjä
- Käyttäjäkokemus
- Käyttäjät
- käyttötarkoituksiin
- käyttämällä
- todentaa
- versio
- hyvin
- oli
- Tapa..
- we
- verkko
- Web-selain
- HYVIN
- Mitä
- taas
- joka
- KUKA
- miksi
- leveä
- wikipedia
- tulee
- ikkunat
- with
- sisällä
- ilman
- kirjallinen
- X
- Voit
- Sinun
- zephyrnet