Seperti yang mungkin Anda ketahui, perangkat Ledger Nano Anda (Ledger Nano S, Nano S Plus, dan Nano X) adalah platform terbuka yang memanfaatkan keamanan Elemen Aman. Sistem Operasi Ledger (OS) memuat aplikasi yang menggunakan API kriptografi. OS ini juga menawarkan mekanisme isolasi dan derivasi kunci.
Teknologi ini memberikan tingkat keamanan yang tinggi bahkan terhadap penyerang yang memiliki akses fisik ke perangkat Anda, menjadikan perangkat Ledger Anda alat yang sempurna untuk mengelola aset digital Anda dengan aman. Namun mereka juga sangat cocok untuk mengamankan kredensial login Anda ke banyak layanan online.
Inilah sebabnya kami mengembangkan aplikasi baru bernama Kunci keamanan, yang mengimplementasikan standar WebAuthn untuk Otentikasi Faktor Kedua (2FA), Otentikasi Banyak Faktor (MFA), atau bahkan autentikasi tanpa kata sandi.
Karena keterbatasan OS, Aplikasi Kunci Keamanan ini memiliki beberapa keterbatasan:
- Ini tidak tersedia di Nano S karena kurangnya dukungan AES-SIV di Nano S OS.
- Kredensial yang Dapat Ditemukan / Tetap didukung tetapi disimpan di bagian flash perangkat yang akan dihapus saat aplikasi dihapus. Itu sebabnya mereka tidak diaktifkan secara default, namun dapat diaktifkan secara manual dengan risiko Anda sendiri dalam pengaturan jika diperlukan. Ini bisa terjadi:
- Jika pengguna memilih untuk menghapus instalasinya dari Ledger Live
- Jika pengguna memilih untuk memperbarui aplikasi ke versi baru yang tersedia
- Jika pengguna memperbarui versi OS
Apa itu WebAuthn?
Otentikasi Web atau disingkat WebAuthn adalah standar yang ditulis oleh W3C dan Aliansi FIDO. Ini menentukan mekanisme otentikasi pengguna berdasarkan kriptografi kunci publik, bukan kata sandi.
Motivasi untuk membangun standar tersebut adalah bahwa keberadaan online kita saat ini dibangun berdasarkan kata sandi dan sebagian besar pelanggaran keamanan terkait dengan kata sandi yang dicuri atau lemah.
Memanfaatkan mekanisme keamanan kriptografi kunci publik
Kriptografi kunci publik, juga dikenal sebagai kriptografi asimetris, adalah mekanisme kriptografi yang didasarkan pada dua kunci terkait:
- Kunci pribadi yang harus dirahasiakan
- Kunci publik, yang dapat dibagikan
Kunci ini berbagi properti berikut:
- Kunci publik dapat digunakan untuk memverifikasi apakah suatu pesan telah ditandatangani oleh kunci pribadi.
Mari kita bayangkan seorang pengguna, Bob, membuat pasangan kunci dan membagikan kunci publik dengan Alice. Jika Bob mengirim pesan kepada Alice, dia dapat menandatangani pesan tersebut menggunakan kunci privatnya dan Alice dapat memverifikasi menggunakan kunci publik bahwa pesan tersebut memang telah ditandatangani oleh Bob, yang merupakan satu-satunya orang yang mengetahui apa itu kunci privat.
Mengenai otentikasi, ini berarti pengguna dapat membuat pasangan kunci dan membagikan kunci publik dengan layanan online. Nantinya, pengguna dapat mengautentikasi dirinya dengan membuktikan kepada layanan online bahwa mereka mengetahui kunci privatnya. Semua ini tanpa harus mengirimkan kunci pribadi ke layanan online! Ini berarti bahwa kunci pribadi tidak dapat dicuri di database server atau disadap selama komunikasi pengguna ke server.
Serangan phishing tangguh
Standar WebAuthn juga memiliki sifat tahan terhadap serangan phishing klasik.
Pada dasarnya, a Phishing serangan adalah serangan di mana peretas menipu Anda agar mengungkapkan informasi sensitif, dalam kasus kami, kredensial login.
Berbeda dengan mekanisme MFA lainnya seperti OTP, mekanisme WebAuthn tahan terhadap serangan semacam itu. Memang benar, setiap pasangan kunci terikat pada asal tertentu, atau domain web, yang berarti bahwa serangan mencoba mengelabui Anda agar menggunakan kredensial WebAuthn di domain berbeda (misalnya situs palsu dengan url best-service.com
alih-alih url situs yang sah best.service.com
) akan gagal karena perangkat autentikasi tidak memiliki pasangan kunci yang sesuai untuk domain tersebut. Oleh karena itu, serangan akan gagal dan lawan tidak akan mendapatkan informasi berguna apa pun.
Keamanan perangkat keras yang kuat
WebAuthn merekomendasikan penggunaan elemen keamanan perangkat keras untuk menyimpan kunci pribadi dengan aman. Mengenai aplikasi Kunci Keamanan Buku Besar, kunci pribadi disimpan dalam Elemen Aman (SE) perangkat yang telah lulus evaluasi keamanan Kriteria Umum โ standar internasional untuk kartu perbankan dan persyaratan negara โ dan telah memperoleh sertifikat EAL5+. Anda dapat menemukan informasi selengkapnya tentang sertifikasi perangkat Ledger di sini.
Pendaftaran yang dibuktikan
Otentikasi WebAuthn dibuktikan, ini berarti server dapat memverifikasi bahwa perangkat otentikasi tersebut sah. Ini dapat diaktifkan pada beberapa layanan untuk mengotorisasi hanya daftar pendek perangkat otentikasi atau untuk mendeteksi sumber penipuan.
Cara kerja WebAuthn
Pertama mari kita tentukan aktor-aktor yang mana saja:
- Grafik Pengguna, yaitu Anda, mencoba mendaftar dengan aman di layanan online.
- Grafik Partai yang Mengandalkan, yang mengacu pada server yang menyediakan akses ke aplikasi perangkat lunak aman menggunakan WebAuthn. Misalnya Google, Facebook, Twitter.
- Grafik User Agent, yang mengacu pada perangkat lunak apa pun, yang bertindak atas nama pengguna, itu โmengambil, merender, dan memfasilitasi interaksi pengguna akhir dengan konten Webโ. Misalnya web browser favorit Anda di Sistem Operasi favorit Anda.
- Grafik Pengautentikasi, yang mengacu pada cara yang digunakan untuk mengonfirmasi identitas pengguna. Dalam hal ini, ini adalah perangkat Ledger Nano Anda yang menjalankan aplikasi Kunci Keamanan.
Ada dua operasi WebAuthn utama, yang dapat dilanjutkan sebagai:
- Pendaftaran selama:
- itu authenticator menerima permintaan, melalui User Agent, Dari Partai yang Mengandalkan, berisi domain web atau asal Pihak Pengandal beserta pengidentifikasi pengguna dan, jika diinginkan, nama pengguna.
- itu authenticator permintaan itu Pengguna persetujuan, membuat pasangan kunci unik, dan kemudian merespons Pihak Pengandal dengan kunci publik.
- Otentikasi di mana:
- itu authenticator menerima, melalui User Agent, permintaan dari Partai yang Mengandalkan, berisi domain web atau asal Pihak Pengandal beserta tantangannya.
- itu authenticator permintaan itu Pengguna menyetujui dan kemudian merespons dengan pesan berisi tanda tangan yang dibuat dengan kunci pribadi terkait kredensial terdaftar.
Anda dapat menemukan penjelasan lebih detail tentang mekanisme di balik WebAuthn di sini.
Bedanya dengan Aplikasi Ledger FIDO-U2F Nano
Aplikasi Ledger FIDO-U2F mengimplementasikan FIDO U2F, versi FIDO2 sebelumnya yang disertakan dalam standar WebAuthn. Versi sebelumnya ini dirancang untuk digunakan sebagai faktor kedua untuk kata sandi sedangkan WebAuthn dimaksudkan untuk memungkinkan otentikasi tanpa kata sandi.
Secara global, ini memungkinkan pengalaman pengguna yang lebih baik:
- Pada perangkat autentikasi dengan layar, asal Pihak Pengandal (atau domain layanan) kini dapat ditampilkan, bukan hashnya.
- Kredensial yang dapat ditemukan (juga disebut kunci residen) telah diperkenalkan dalam spesifikasi FIDO2. Mereka mengizinkan skenario tanpa kata sandi di mana pengguna bahkan tidak perlu memasukkan nama penggunanya pada layanan. Sebaliknya, setelah melakukan Pendaftaran, Pihak Pengandal dapat meminta otentikasi hanya dengan asal dan tanpa daftar kredensial. Setelah menerima permintaan tersebut, pengautentikasi mencari kredensial yang disimpan secara internal (penduduk) yang terkait dengan Pihak Pengandal ini dan menggunakannya untuk mengautentikasi pengguna.
kecocokan
Standar WebAuthn dan oleh karena itu aplikasi Kunci Keamanan Ledger didukung di banyak OS dan browser web:
- Di Windows 10 dan yang lebih baru, ini didukung setidaknya di Edge, Chrome, dan Firefox
- Di MacOS 11.4 dan versi lebih baru, ini didukung di Safari dan Chrome, namun saat ini hanya tersedia sebagian di Firefox. Chrome direkomendasikan, karena ketidakstabilan yang diketahui pada Safari.
- Di Ubuntu 20.04 dan yang lebih baru, ini didukung di Chrome, namun saat ini hanya tersedia sebagian di Firefox.
- Di iOS 14 dan iPadOS 15.5 dan lebih baru, ini didukung di Safari, Chrome, dan Firefox
- Di Android, ini tidak didukung sampai sekarang. Ini harus dimulai dengan layanan Google Play v23.35 (rilis September 2023).
Menggunakan aplikasi Kunci Keamanan Ledger
Layanan WebAuthn
WebAuthn kini telah mencapai adopsi yang luas. Oleh karena itu, aplikasi Kunci Keamanan Ledger dapat digunakan di banyak layanan untuk Otentikasi Banyak Faktor dan terkadang untuk otentikasi tanpa kata sandi.
Berikut adalah ekstrak layanan yang mengimplementasikan Webauthn:
- 1Password
- AWS
- Binance
- Bitbucket
- dropbox
- Gandi
- Gemini
- GitHub
- GitLab
- Microsoft
- Okta
- Salesforce
- Shopify
- Berkedut
Contoh langkah demi langkah
- Unduh Ledger Live dan pilih aplikasi Kunci Keamanan di bagian โBuku Besar Sayaโ untuk menginstalnya di perangkat Anda
- Tetapkan pengaturan yang sesuai pada layanan yang diinginkan (AWS, Dropbox, Facebook, Google, GitHub, Microsoft, Twitter,โฆ)
- Gunakan kunci keamanan Anda untuk Masuk!
Berkat menggabungkan keamanan layanan pihak ketiga dan aplikasi Kunci Keamanan kami, kini Anda telah mengaktifkan keamanan canggih untuk akun Anda
Mengamankan kunci SSH Anda
Kunci SSH digunakan oleh pengembang dalam beberapa situasi kritis, mulai dari autentikasi ke server GIT, hingga menghubungkan ke server produksi penting. Perangkat Ledger sudah memiliki cara untuk mengamankan kunci SSH Anda menggunakan Aplikasi Ledger SSH Nano. Namun, hal ini memerlukan penggunaan Aplikasi Nano khusus dan agen di komputer Anda. Hal ini tidak lagi terjadi. OpenSSH 8.2 memperkenalkan fitur baru yang memungkinkan penggunaan โasliโ perangkat otentikasi FIDO untuk penyimpanan kunci SSH.
Contoh penggunaan
Mari lihat bagaimana ini dapat digunakan untuk berinteraksi dengan repositori GitHub:
1. Buat pasangan:
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. Daftarkan kunci SSH ke akun GitHub Anda (lihat dokumentasi GitHub)
3. Gunakan misalnya untuk mengkloning repositori:
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
Jika Anda memiliki beberapa kunci SSH, Anda dapat mengikuti jawaban StackOverflow ini untuk memilih kunci tertentu, bukan kunci default.
parameter
Saat membuat pasangan kunci SSH menggunakan ssh-keygen
dan kunci keamanan Anda, Anda dapat:
- Pilih kurva pembangkitan pasangan kunci dengan menentukan salah satunya
-t ed25519-sk
or-t ecdsa-sk
- Izinkan penggunaan kunci pribadi SSH tanpa penerimaan manual pada kunci keamanan dengan menentukan
-O no-touch-required
. Namun, beberapa layanan mungkin menolak autentikasi tersebut, seperti halnya GitHub.
Ada tambahan resident
pilihan, tetapi tidak menambah keamanan tambahan dan penggunaannya lebih kompleks.
Xavier Chapron
Teknisi Firmware
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
- PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
- PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
- PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
- Sumber: https://www.ledger.com/blog/strengthen-the-security-of-your-accounts-with-webauthn
- :memiliki
- :adalah
- :bukan
- :Di mana
- $NAIK
- 1
- 10
- 11
- 14
- 15%
- 20
- 2023
- 2FA
- 35%
- 8
- a
- Tentang Kami
- penerimaan
- mengakses
- Akun
- Akun
- akting
- aktor
- menambahkan
- Tambahan
- Adopsi
- Setelah
- lagi
- terhadap
- Agen
- alice
- Semua
- Persekutuan
- mengizinkan
- Membiarkan
- memungkinkan
- sepanjang
- sudah
- juga
- an
- dan
- android
- Apa pun
- Lebah
- aplikasi
- Aplikasi
- aplikasi
- sesuai
- ADALAH
- AS
- Aktiva
- terkait
- At
- menyerang
- Serangan
- mengotentikasi
- Otentikasi
- mengizinkan
- tersedia
- AWS
- Perbankan
- berdasarkan
- BE
- menjadi
- nama
- di belakang
- Lebih baik
- bob
- pelanggaran
- Browser
- Bangunan
- dibangun di
- tapi
- by
- CAN
- Kartu-kartu
- kasus
- sertifikat
- menantang
- Chrome
- menggabungkan
- Umum
- komunikasi
- kesesuaian
- kompleks
- komputer
- komputasi
- Memastikan
- Menghubungkan
- persetujuan
- Mempertimbangkan
- kendala
- Sesuai
- perhitungan
- membuat
- dibuat
- menciptakan
- membuat
- MANDAT
- Surat kepercayaan
- kriteria
- kritis
- kriptografi
- kriptografi
- terbaru
- melengkung
- database
- dedicated
- Default
- Delta
- dirancang
- diinginkan
- terperinci
- menemukan
- dikembangkan
- pengembang
- alat
- Devices
- perbedaan
- berbeda
- digital
- Aset-Aset Digital
- ditampilkan
- tidak
- Tidak
- domain
- dilakukan
- dropbox
- dua
- selama
- e
- setiap
- Tepi
- elemen
- elemen
- diaktifkan
- Enter
- evaluasi
- Bahkan
- contoh
- adanya
- pengalaman
- penjelasan
- ekstrak
- memfasilitasi
- faktor
- GAGAL
- gadungan
- Favorit
- Fitur
- Aliansi FIDO
- Menemukan
- sidik jari
- Firefox
- flash
- berikut
- Untuk
- curang
- dari
- menghasilkan
- generasi
- mendapatkan
- pergi
- GitHub
- Google Play
- hacker
- memiliki
- terjadi
- Perangkat keras
- hardware Security
- hash
- Memiliki
- memiliki
- he
- High
- -nya
- Seterpercayaapakah Olymp Trade? Kesimpulan
- Namun
- HTTPS
- Identifikasi
- identifier
- identitas
- if
- gambar
- mengimplementasikan
- mengimplementasikan
- in
- termasuk
- memang
- informasi
- install
- sebagai gantinya
- berinteraksi
- interaksi
- internal
- Internasional
- ke
- diperkenalkan
- iOS
- iPadOS
- isolasi
- IT
- NYA
- jpg
- hanya
- terus
- kunci
- kunci-kunci
- Tahu
- Mengetahui
- dikenal
- Kekurangan
- kemudian
- paling sedikit
- Buku besar
- Buku Besar Langsung
- Ledger Nano
- Ledger Nano S
- Legit
- sah
- Tingkat
- leveraging
- 'like'
- keterbatasan
- Daftar
- hidup
- beban
- mencatat
- masuk
- lagi
- TERLIHAT
- macos
- utama
- Membuat
- mengelola
- panduan
- manual
- banyak
- Mungkin..
- cara
- berarti
- mekanisme
- mekanisme
- pesan
- MFA
- Microsoft
- mungkin
- lebih
- paling
- Motivasi
- beberapa
- nama
- Bernama
- nano
- Perlu
- dibutuhkan
- New
- tidak
- sekarang
- objek
- diperoleh
- of
- Penawaran
- on
- ONE
- secara online
- hanya
- Buka
- operasi
- sistem operasi
- Operasi
- pilihan
- or
- asal
- OS
- Lainnya
- kami
- sendiri
- pasangan
- parameter
- bagian
- pihak
- Lulus
- password
- sempurna
- dilakukan
- Phishing
- serangan phishing
- fisik
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- Bermain
- plus
- kehadiran
- sebelumnya
- swasta
- Key pribadi
- Kunci Pribadi
- Produksi
- milik
- terlindung
- menyediakan
- menyediakan
- membuktikan
- publik
- Key publik
- kunci publik
- tercapai
- menerima
- penerimaan
- direkomendasikan
- merekomendasikan
- mengacu
- mengenai
- daftar
- terdaftar
- Pendaftaran
- terkait
- melepaskan
- mengandalkan
- merender
- gudang
- permintaan
- permintaan
- wajib
- Persyaratan
- tabah
- mengungkapkan
- Risiko
- berjalan
- s
- Safari
- aman
- sama
- disimpan
- skenario
- Layar
- Kedua
- Bagian
- aman
- aman
- keamanan
- pelanggaran keamanan
- melihat
- mengirim
- mengirimkan
- peka
- September
- Server
- Server
- layanan
- Layanan
- pengaturan
- SHA256
- Share
- saham
- Pendek
- harus
- menandatangani
- tanda tangan
- tertanda
- situs web
- situasi
- Perangkat lunak
- beberapa
- kadang-kadang
- sumber
- tertentu
- spesifikasi
- standar
- awal
- Negara
- state-of-the-art
- Langkah
- dicuri
- penyimpanan
- menyimpan
- tersimpan
- Memperkuat
- seperti itu
- mendukung
- Didukung
- sistem
- Teknologi
- bahwa
- Grafik
- Mereka
- diri
- kemudian
- karena itu
- mereka
- Ketiga
- ini
- Melalui
- untuk
- alat
- Total
- menyentuh
- mencoba
- dua
- Ubuntu
- unik
- Memperbarui
- Pembaruan
- atas
- penggunaan
- menggunakan
- bekas
- Pengguna
- Pengguna Pengalaman
- Pengguna
- kegunaan
- menggunakan
- memeriksa
- versi
- sangat
- adalah
- Cara..
- we
- jaringan
- web browser
- BAIK
- Apa
- sedangkan
- yang
- SIAPA
- mengapa
- lebar
- Wikipedia
- akan
- Windows
- dengan
- dalam
- tanpa
- tertulis
- X
- Kamu
- Anda
- zephyrnet.dll