כפי שאתה אולי יודע, מכשירי Ledger Nano שלך (Ledger Nano S, Nano S Plus ו- Nano X) הם פלטפורמות פתוחות הממנפות את האבטחה של Secure Elements. Ledger Operating System (OS) טוען יישומים המשתמשים בממשקי API קריפטוגרפיים. מערכת ההפעלה מציעה גם מנגנוני בידוד וגזירה מרכזיים.
טכנולוגיה זו מספקת רמה גבוהה של אבטחה אפילו מול תוקף שיש לו גישה פיזית למכשירים שלך, מה שהופך את מכשירי ה- Ledger שלך לכלים המושלמים לניהול הנכסים הדיגיטליים שלך בצורה מאובטחת. אבל הם גם מתאימים מאוד לאבטח את אישורי הכניסה שלך לשירותים מקוונים רבים.
זו הסיבה שפיתחנו אפליקציה חדשה בשם מפתח אבטחה, המיישמת את תקן WebAuthn עבור אימות גורם שני (2FA), אימות מרובה גורמים (MFA) או אפילו אימות ללא סיסמה.
בשל אילוצי מערכת ההפעלה, לאפליקציית מפתח האבטחה הזו יש כמה מגבלות:
- זה לא זמין ב-Nano S בגלל חוסר התמיכה של AES-SIV ב-Nano S OS.
- אישורים ניתנים לגילוי/תושב נתמכים אך מאוחסנים בחלק מהפלאש של המכשיר שיימחק עם מחיקת האפליקציה. זו הסיבה שהם אינם מופעלים כברירת מחדל, אך ניתן להפעיל אותם באופן ידני על אחריותך בלבד בהגדרות במידת הצורך. זה יכול לקרות:
- אם המשתמש בוחר להסיר את התקנתו מ- Ledger Live
- אם המשתמש בוחר לעדכן את האפליקציה לגרסה זמינה חדשה
- אם המשתמש מעדכן את גרסת מערכת ההפעלה
מה זה WebAuthn?
Web Authentication או בקיצור WebAuthn הוא תקן שנכתב על ידי W3C ו-FIDO Alliance. הוא מציין מנגנון אימות משתמשים המבוסס על קריפטוגרפיה של מפתחות ציבוריים במקום סיסמאות.
המניע לבניית תקן כזה היה שהקיום המקוון הנוכחי שלנו בנוי על סיסמאות ושרוב פרצות האבטחה קשורות לסיסמאות גנובות או חלשות.
מינוף מנגנון אבטחת הצפנת מפתח ציבורי
קריפטוגרפיה של מפתח ציבורי, הידוע גם כקריפטוגרפיה אסימטרית, הוא מנגנון הצפנה המבוסס על שני מפתחות משויכים:
- מפתח פרטי שצריך להישמר בסוד
- מפתח ציבורי, שניתן לשתף
מפתחות אלה חולקים את המאפיין הבא:
- ניתן להשתמש במפתח הציבורי כדי לוודא אם הודעה נחתמה על ידי המפתח הפרטי.
בואו ניקח בחשבון משתמש, בוב, יוצר זוג מפתחות ומשתף את המפתח הציבורי עם אליס. אם בוב שולח הודעה לאליס, הוא יכול לחתום על ההודעה באמצעות המפתח הפרטי שלו ואליס יכולה לוודא באמצעות המפתח הציבורי שההודעה אכן נחתמה על ידי בוב, שהוא היחיד שיודע מהו המפתח הפרטי.
לגבי אימות, זה אומר שמשתמש יכול ליצור זוג מפתחות ולשתף את המפתח הציבורי עם שירות מקוון. מאוחר יותר, המשתמש יכול לאמת את עצמו על ידי הוכחה לשירות המקוון שהוא יודע את המפתח הפרטי. כל זאת ללא צורך לשלוח את המפתח הפרטי לשירות המקוון! המשמעות היא שלא ניתן לגנוב את המפתח הפרטי במסדי נתונים של שרתים או ליירט אותו במהלך תקשורת בין משתמש לשרת.
התקפת פישינג עמידה
לתקן WebAuthn יש גם את המאפיין להיות עמיד בפני התקפות דיוג קלאסיות.
בעיקרון, א דיוג התקפה היא התקפה שבה האקר מרמה אותך לחשוף מידע רגיש, במקרה שלנו, אישורי כניסה.
בניגוד למנגנוני MFA אחרים כמו OTP, מנגנון WebAuthn עמיד בפני התקפות כאלה. ואכן, כל זוג מפתחות קשור למקור מסוים, או תחום אינטרנט, מה שאומר שמתקפה שמנסה להערים עליך להשתמש באישור WebAuthn בדומיין אחר (למשל אתר מזויף עם url best-service.com
במקום כתובת אתר לגיטימית best.service.com
) ייכשל מכיוון שלמכשיר האימות לא יהיה זוג מפתחות מתאים עבור אותו תחום. לכן, ההתקפה תיכשל והיריב לא יקבל מידע שימושי.
אבטחת חומרה חזקה
WebAuthn ממליץ להשתמש ברכיבי אבטחת חומרה כדי לאחסן בבטחה את המפתחות הפרטיים. לגבי אפליקציית מפתח האבטחה Ledger, מפתחות פרטיים מאוחסנים בתוך המכשיר Secure Element (SE) אשר עברו הערכת אבטחה Common Criteria - תקן בינלאומי לכרטיסי בנק ודרישות מדינה - וקיבלו תעודת EAL5+. תוכל למצוא מידע נוסף על אישורי מכשירי Ledger כאן.
רישומים מאושרים
אימות WebAuthn מאושר, זה אומר שהשרת יכול לאמת שהתקן האימות חוקי. ניתן להפעיל את זה בשירותים מסוימים כדי לאשר רק רשימה קצרה של התקני אימות או כדי לזהות מקורות הונאה.
איך WebAuthn עובד
ראשית נפרט מהם השחקנים השונים:
- השמיים משתמש, כלומר אתה, מנסה להירשם בבטחה לשירות מקוון.
- השמיים מפלגת הסתמכות, המתייחס לשרת המספק גישה ליישום תוכנה מאובטח באמצעות WebAuthn. למשל גוגל, פייסבוק, טוויטר.
- השמיים סוכן משתמש, המתייחסת לכל תוכנה, הפועלת מטעם משתמש, כי "מאחזר, מעבד ומקל על אינטראקציה של משתמש קצה עם תוכן אינטרנט". לדוגמה דפדפן האינטרנט המועדף עליך במערכת ההפעלה המועדפת עליך.
- השמיים מאמת, המתייחס לאמצעי המשמש לאישור זהות משתמש. במקרה זה, זהו מכשיר ה- Ledger Nano שלך שמריץ את אפליקציית מפתח האבטחה.
ישנן שתי פעולות WebAuthn עיקריות, שניתן לחדש אותן כ:
- הרשמה במהלכה:
- מה היא המאמת מקבל בקשה, דרך סוכן משתמש, מ ה מפלגת הסתמכות, המכיל את מקור הצד המסתמך או דומיין האינטרנט יחד עם מזהה משתמש ובאופן אופציונלי את שם המשתמש.
- מה היא המאמת מבקש את משתמש הסכמה, יוצר זוג מפתחות ייחודי, ולאחר מכן מגיב לצד המסתמך עם המפתח הציבורי.
- אימות שבמהלכו:
- מה היא המאמת מקבל, דרך ה סוכן משתמש, בקשה מאת מפלגת הסתמכות, המכיל את מקור ה-Relying Party או את דומיין האינטרנט יחד עם אתגר.
- מה היא המאמת מבקש את משתמש הסכמה ולאחר מכן מגיב בהודעה המכילה חתימה שנוצרה עם המפתח הפרטי המשויך לאישור הרשום.
אתה יכול למצוא הסבר מפורט יותר על המנגנון מאחורי WebAuthn כאן.
ההבדל עם Ledger FIDO-U2F Nano App
אפליקציית Ledger FIDO-U2F מיישמת את FIDO U2F, גרסה קודמת של FIDO2 הכלולה בתקן WebAuthn. גרסה קודמת זו תוכננה לשמש כגורם שני לסיסמאות בעוד ש-WebAuthn נועד לאפשר אימות ללא סיסמה.
בעולם, זה מאפשר חווית משתמש טובה יותר:
- במכשירי אימות עם מסך, כעת ניתן להציג את מקור הצד המסתמך (או תחום השירות) במקום ה-hash שלו.
- אישורים ניתנים לגילוי (שנקראים גם מפתחות תושב) הוצגו במפרטי FIDO2. הם מאפשרים תרחישים ללא סיסמה שבהם המשתמש אפילו לא צריך להזין את שם המשתמש שלו בשירות. במקום זאת, לאחר ביצוע הרישום, הצד המסומך יכול לבקש אימות רק עם המקור שלו וללא רשימת אישורים. עם קבלת בקשה כזו, המאמת מחפש אישורים מאוחסנים פנימיים (תושב) המשויכים לגורם מסתמך זה ומשתמש בהם לאימות המשתמש.
תְאִימוּת
WebAuthn סטנדרטי ולכן יישומי מפתח אבטחה Ledger נתמכים במערכות הפעלה ודפדפני אינטרנט רבים:
- ב-Windows 10 ואילך, זה נתמך לפחות ב-Edge, Chrome ו-Firefox
- ב-MacOS 11.4 ואילך, הוא נתמך ב-Safari וב-Chrome, אולם הוא זמין רק בחלקו ב-Firefox לעת עתה. Chrome מומלץ, עקב אי יציבות ידועה ב-Safari.
- באובונטו 20.04 ואילך, הוא נתמך ב-Chrome, אולם הוא זמין רק בחלקו ב-Firefox לעת עתה.
- ב-iOS 14 וב-iPadOS 15.5 ואילך, הוא נתמך ב-Safari, Chrome ו-Firefox
- באנדרואיד, זה לא נתמך נכון לעכשיו. זה אמור להתחיל עם שירותי Google Play v23.35 (מהדורה בספטמבר 2023).
שימוש באפליקציית מפתח האבטחה Ledger
שירותי WebAuthn
WebAuthn הגיע כעת לאימוץ רחב. לכן, ניתן להשתמש באפליקציית מפתח האבטחה של Ledger בשירותים רבים עבור אימות מרובה גורמים ולפעמים לאימות ללא סיסמה.
להלן תמצית של השירותים המטמיעים Webauthn:
- 1Password
- AWS
- בינאנס
- סיביות
- Dropbox
- פייסבוק
- גנדי
- מזל תאומים
- GitHub
- GitLab
- מיקרוסופט
- Okta
- Salesforce
- Shopify
- פִּרפּוּר
- טויטר
דוגמה שלב אחר שלב
- הורד את Ledger Live ובחר את אפליקציית מפתח האבטחה בקטע "My Ledger" כדי להתקין אותו במכשיר שלך
- הגדר את ההגדרות המתאימות בשירות הרצוי (AWS, Dropbox, Facebook, Google, GitHub, Microsoft, Twitter, ...)
- השתמש במפתח האבטחה שלך כדי להתחבר!
הודות לשילוב האבטחה של שירות הצד השלישי שלך ואפליקציית מפתח האבטחה שלנו, הפעלת כעת אבטחה מתקדמת לחשבונות שלך
אבטחת מפתחות ה-SSH שלך
מפתחות SSH משמשים מפתחים במצבים קריטיים מסוימים, החל מאימות לשרת GIT ועד לחיבור לשרתי ייצור קריטיים. למכשירי Ledger כבר הייתה דרך לאבטח את מפתחות ה-SSH שלך באמצעות Ledger SSH Nano Application. עם זאת, זה הצריך שימוש ביישום ננו ייעודי ובסוכן במחשב שלך. זה כבר לא המצב. OpenSSH 8.2 הציג תכונה חדשה המאפשרת שימוש "מקורי" בהתקני אימות FIDO לאחסון מפתח SSH.
דוגמה לשימוש
בואו לראות כיצד ניתן להשתמש בו כדי ליצור אינטראקציה עם מאגר GitHub:
1. צור זוג:
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. רשום את מפתח SSH בחשבון GitHub שלך (עיין בתיעוד GitHub)
3. השתמש בו למשל כדי לשכפל מאגר:
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
אם יש לך מפתח SSH מרובים, אתה יכול לעקוב תשובת StackOverflow זו כדי לבחור מפתח ספציפי במקום ברירת המחדל.
פרמטרים
בעת יצירת זוג מפתחות SSH באמצעות ssh-keygen
ומפתח האבטחה שלך, אתה יכול:
- בחר את עקומת יצירת צמד המפתחות על ידי ציון אחת מהן
-t ed25519-sk
or-t ecdsa-sk
- אפשר שימוש במפתח SSH פרטי ללא קבלה ידנית על מפתח האבטחה על ידי ציון
-O no-touch-required
. עם זאת, שירותים מסוימים יכולים לסרב לאימות כזה, זה המקרה עבור GitHub.
יש תוספת resident
אפשרות, אך היא אינה מוסיפה אבטחה נוספת והשימוש בה מורכב יותר.
חאווייר צ'פרון
מהנדס קושחה
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.ledger.com/blog/strengthen-the-security-of-your-accounts-with-webauthn
- :יש ל
- :הוא
- :לֹא
- :איפה
- $ למעלה
- 1
- 10
- 11
- 14
- 15%
- 20
- 2023
- 2FA
- 35%
- 8
- a
- אודות
- קבלה
- גישה
- חֶשְׁבּוֹן
- חשבונות
- משחק
- שחקנים
- להוסיף
- נוסף
- אימוץ
- לאחר
- שוב
- נגד
- סוֹכֵן
- ירייה
- תעשיות
- אליאנס
- להתיר
- מאפשר
- מאפשר
- לאורך
- כְּבָר
- גם
- an
- ו
- דְמוּי אָדָם
- כל
- ממשקי API
- האפליקציה
- בקשה
- יישומים
- מתאים
- ARE
- AS
- נכסים
- המשויך
- At
- לתקוף
- המתקפות
- לאמת
- אימות
- לאשר
- זמין
- AWS
- בנקאות
- מבוסס
- BE
- היה
- בשם
- מאחור
- מוטב
- שילינג
- פרות
- דפדפן
- בִּניָן
- נבנה
- אבל
- by
- CAN
- כרטיסים
- מקרה
- תעודה
- לאתגר
- Chrome
- שילוב
- Common
- תקשורת
- תאימות
- מורכב
- המחשב
- מחשוב
- לאשר
- מקשר
- הסכמה
- לשקול
- אילוצים
- תוֹאֵם
- ספירה
- לִיצוֹר
- נוצר
- יוצר
- יוצרים
- תְעוּדָה
- אישורים
- הקריטריונים
- קריטי
- קריפטוגרפי
- קריפטוגרפיה
- נוֹכְחִי
- זונה
- מאגרי מידע
- מוקדש
- בְּרִירַת מֶחדָל
- דלתא
- מעוצב
- רצוי
- מְפוֹרָט
- לאתר
- מפותח
- מפתחים
- מכשיר
- התקנים
- הבדל
- אחר
- דיגיטלי
- נכסים דיגיטליים
- מוצג
- עושה
- לא
- תחום
- עשה
- Dropbox
- ראוי
- בְּמַהֲלָך
- e
- כל אחד
- אדג '
- אלמנט
- אלמנטים
- מופעל
- זן
- הערכה
- אֲפִילוּ
- דוגמה
- קיום
- ניסיון
- הסבר
- תמצית
- פייסבוק
- מקל
- גורם
- FAIL
- מְזוּיָף
- חביב
- מאפיין
- ברית FIDO
- טביעת אצבעות
- Firefox
- פלאש
- הבא
- בעד
- רמאי
- החל מ-
- יצירת
- דור
- לקבל
- Git
- GitHub
- Play Google
- האקר
- היה
- לקרות
- חומרה
- אבטחת חומרה
- שירים
- יש
- יש
- he
- גָבוֹהַ
- שֶׁלוֹ
- איך
- אולם
- HTTPS
- הזדהות
- מזהה
- זהות
- if
- תמונה
- יישום
- מיישמים
- in
- כלול
- אכן
- מידע
- להתקין
- במקום
- אינטראקציה
- אינטראקציה
- כלפי פנים
- ברמה בינלאומית
- אל תוך
- הציג
- iOS
- iPad
- בדידות
- IT
- שֶׁלָה
- jpg
- רק
- שמר
- מפתח
- מפתחות
- לדעת
- יודע
- ידוע
- חוסר
- מאוחר יותר
- הכי פחות
- פנקס
- ספר לדג'ר לייב
- לדנו ננו
- Ledger Nano S
- חוּקִי
- לגיטימי
- רמה
- מינוף
- כמו
- מגבלות
- רשימה
- לחיות
- המון
- היכנס
- התחבר
- עוד
- נראה
- MacOS
- גדול
- עשייה
- לנהל
- מדריך ל
- באופן ידני
- רב
- מאי..
- אומר
- התכוון
- מנגנון
- מנגנוני
- הודעה
- משרד חוץ
- מיקרוסופט
- יכול
- יותר
- רוב
- מוטיבציה
- מספר
- שם
- שם
- ננו
- צורך
- נחוץ
- חדש
- לא
- עַכשָׁיו
- אובייקטים
- מושג
- of
- המיוחדות שלנו
- on
- ONE
- באינטרנט
- רק
- לפתוח
- פועל
- מערכת הפעלה
- תפעול
- אפשרות
- or
- מקור
- OS
- אחר
- שלנו
- שֶׁלוֹ
- זוג
- פרמטרים
- חלק
- צד
- עבר
- סיסמאות
- ביצעתי
- דיוג
- התקפות פישינג
- גופני
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- ועוד
- נוכחות
- קודם
- פְּרָטִי
- מפתח פרטי
- מפתחות פרטיים
- הפקה
- רכוש
- מוּגָן
- מספק
- מתן
- להוכיח
- ציבורי
- מפתח ציבורי
- מפתחות ציבוריים
- הגיע
- מקבל
- קבלה
- מוּמלָץ
- ממליצה
- מתייחס
- בדבר
- הירשם
- רשום
- הַרשָׁמָה
- קָשׁוּר
- לשחרר
- הסתמכות
- מעבד
- מאגר
- לבקש
- בקשות
- נדרש
- דרישות
- מִתאוֹשֵׁשׁ מַהֵר
- חושף
- הסיכון
- ריצה
- s
- ספארי
- בבטחה
- אותו
- הציל
- תרחישים
- מסך
- שְׁנִיָה
- סעיף
- לבטח
- מאובטח
- אבטחה
- הפרות אבטחה
- לִרְאוֹת
- לשלוח
- שולח
- רגיש
- סֶפּטֶמבֶּר
- שרת
- שרתים
- שרות
- שירותים
- הגדרות
- SHA256
- שיתוף
- שיתופים
- קצר
- צריך
- סִימָן
- חֲתִימָה
- חָתוּם
- אתר
- מצבים
- תוכנה
- כמה
- לפעמים
- מקורות
- ספציפי
- מפרטים
- תֶקֶן
- התחלה
- מדינה
- מדינה-of-the-art
- שלב
- גָנוּב
- אחסון
- חנות
- מאוחסן
- לחזק
- כזה
- תמיכה
- נתמך
- מערכת
- טכנולוגיה
- זֶה
- השמיים
- אותם
- עצמם
- אז
- לכן
- הֵם
- שְׁלִישִׁי
- זֶה
- דרך
- ל
- כלים
- סה"כ
- לגעת
- מנסה
- שתיים
- אובונטו
- ייחודי
- עדכון
- עדכונים
- על
- נוֹהָג
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- חוויית משתמש
- משתמשים
- שימושים
- באמצעות
- לאמת
- גרסה
- מאוד
- היה
- דֶרֶך..
- we
- אינטרנט
- דפדפן אינטרנט
- טוֹב
- מה
- ואילו
- אשר
- מי
- למה
- רָחָב
- ויקיפדיה
- יצטרך
- חלונות
- עם
- בתוך
- לְלֹא
- כתוב
- X
- אתה
- זפירנט