După cum probabil știți, dispozitivele dumneavoastră Ledger Nano (Ledger Nano S, Nano S Plus și Nano X) sunt platforme deschise care valorifică securitatea Secure Elements. Sistemul de operare Ledger (OS) încarcă aplicații care utilizează API-uri criptografice. Sistemul de operare oferă, de asemenea, mecanisme de izolare și de derivare a cheilor.
Această tehnologie oferă un nivel ridicat de securitate chiar și împotriva unui atacator care are acces fizic la dispozitivele dvs., făcând dispozitivele dvs. Ledger instrumentele perfecte pentru a vă gestiona activele digitale în siguranță. Dar sunt, de asemenea, foarte potrivite pentru a vă asigura acreditările de conectare la multe servicii online.
Acesta este motivul pentru care am dezvoltat o nouă aplicație numită Cheie de securitate, care implementează standardul WebAuthn pentru autentificarea al doilea factor (2FA), autentificarea cu factori multipli (MFA) sau chiar autentificarea fără parolă.
Din cauza constrângerilor sistemului de operare, această aplicație cheie de securitate are câteva limitări:
- Nu este disponibil pe Nano S din cauza lipsei de suport pentru AES-SIV pe Nano S OS.
- Acreditările care pot fi descoperite / rezidente sunt acceptate, dar sunt stocate pe o parte a flash-ului dispozitivului care va fi ștearsă la ștergerea aplicației. De aceea, acestea nu sunt activate implicit, dar pot fi activate manual pe propriul risc în setări, dacă este necesar. Acest lucru se poate întâmpla:
- Dacă utilizatorul alege să-l dezinstaleze din Ledger Live
- Dacă utilizatorul alege să actualizeze aplicația la o nouă versiune disponibilă
- Dacă utilizatorul actualizează versiunea sistemului de operare
Ce este WebAuthn?
Web Authentication sau WebAuthn pe scurt este un standard scris de W3C și FIDO Alliance. Specifică un mecanism de autentificare a utilizatorilor bazat pe criptografia cu chei publice în loc de parole.
Motivația pentru construirea unui astfel de standard a fost că existența noastră actuală online este construită pe parole și că cele mai multe breșe de securitate sunt legate de parole furate sau slabe.
Utilizarea mecanismului de securitate al criptografiei cu cheie publică
Criptografia cu cheie publică, cunoscută și sub numele de criptografie asimetrică, este un mecanism criptografic bazat pe două chei asociate:
- O cheie privată care ar trebui păstrată secretă
- O cheie publică, care poate fi partajată
Aceste chei au următoarea proprietate:
- Cheia publică poate fi utilizată pentru a verifica dacă un mesaj a fost semnat de cheia privată.
Să considerăm că un utilizator, Bob, creează o pereche de chei și partajează cheia publică cu Alice. Dacă Bob îi trimite un mesaj lui Alice, acesta poate semna mesajul folosind cheia sa privată, iar Alice poate verifica folosind cheia publică că mesajul a fost într-adevăr semnat de Bob, care este singurul care știe ce este cheia privată.
În ceea ce privește autentificarea, aceasta înseamnă că un utilizator poate crea o pereche de chei și poate partaja cheia publică cu un serviciu online. Ulterior, utilizatorul se poate autentifica demonstrând serviciului online că cunoaște cheia privată. Toate acestea fără a fi nevoie să trimiteți cheia privată către serviciul online! Aceasta înseamnă că cheia privată nu poate fi furată pe bazele de date server și nici interceptată în timpul comunicațiilor utilizator-server.
Atac de phishing rezistent
Standardul WebAuthn are, de asemenea, proprietatea de a fi rezistent la atacurile clasice de phishing.
Practic, a Phishing atacul este un atac în care un hacker vă păcălește pentru a dezvălui informații sensibile, în cazul nostru, acreditările de conectare.
Spre deosebire de alte mecanisme MFA precum OTP, mecanismul WebAuthn este rezistent la astfel de atacuri. Într-adevăr, fiecare pereche de chei este legată de o anumită origine sau domeniu web, ceea ce înseamnă că un atac care încearcă să vă păcălească să utilizați o acreditări WebAuthn într-un domeniu diferit (de exemplu, un site fals cu url best-service.com
în loc de adresa URL legitimă a site-ului best.service.com
) va eșua deoarece dispozitivul de autentificare nu va avea o pereche de chei corespunzătoare pentru acel domeniu. Prin urmare, atacul va eșua și adversarul nu va primi informații utile.
Securitate hardware puternică
WebAuthn recomandă utilizarea elementelor de securitate hardware pentru a stoca în siguranță cheile private. În ceea ce privește aplicația Ledger Security Key, cheile private sunt stocate în cadrul dispozitivului Secure Element (SE) care au trecut o evaluare de securitate Common Criteria – un standard internațional pentru cardurile bancare și cerințele de stat – și au obținut un certificat EAL5+. Puteți găsi mai multe informații despre certificările dispozitivelor Ledger aici.
Înregistrări atestate
Autentificarea WebAuthn este atestată, aceasta înseamnă că serverul poate verifica dacă dispozitivul de autentificare este legitim. Acest lucru poate fi activat pe unele servicii pentru a autoriza doar o listă scurtă de dispozitive de autentificare sau pentru a detecta surse frauduloase.
Cum funcționează WebAuthn
Mai întâi să specificăm care sunt diferiții actori:
- Utilizator, adică tu, încercând să te înregistrezi în siguranță pe un serviciu online.
- Partidul de baza, care se referă la un server care oferă acces la o aplicație software securizată folosind WebAuthn. De exemplu Google, Facebook, Twitter.
- Agentul utilizatorului, care se referă la orice software, care acționează în numele unui utilizator, care „preluează, redă și facilitează interacțiunea utilizatorului final cu conținutul web”. De exemplu, browserul dvs. web preferat de pe sistemul dvs. de operare preferat.
- Autentificator, care se referă la un mijloc utilizat pentru a confirma identitatea unui utilizator. În acest caz, acesta este dispozitivul Ledger Nano care rulează aplicația Cheie de securitate.
Există două operațiuni majore WebAuthn, care pot fi reluate ca:
- Înregistrare în care:
- il authenticator primește o cerere, prin intermediul Agentul utilizatorului, de la Partidul de baza, care conține originea părții de baza sau domeniul web împreună cu un identificator de utilizator și, opțional, numele de utilizator.
- il authenticator solicită Utilizator consimțământul, creează o pereche de chei unică și apoi răspunde părții de baza cu cheia publică.
- Autentificare în timpul căreia:
- il authenticator primește, prin intermediul Agentul utilizatorului, o cerere din partea Partidul de baza, care conține originea părții de baza sau domeniul web împreună cu o provocare.
- il authenticator solicită Utilizator consimțământul și apoi răspunde cu un mesaj care conține o semnătură creată cu cheia privată asociată acreditării înregistrate.
Puteți găsi o explicație mai detaliată a mecanismului din spatele WebAuthn aici.
Diferența cu aplicația Ledger FIDO-U2F Nano
Aplicația Ledger FIDO-U2F implementează FIDO U2F, o versiune anterioară a FIDO2 care este inclusă în standardul WebAuthn. Această versiune anterioară a fost concepută pentru a fi utilizată ca un al doilea factor pentru parole, în timp ce WebAuthn este menit să permită autentificarea fără parolă.
La nivel global, permite o experiență mai bună pentru utilizator:
- Pe dispozitivele de autentificare cu ecran, originea părții de încredere (sau domeniul serviciului) poate fi acum afișată în locul hash-ului său.
- Acreditările detectabile (numite și chei rezidente) au fost introduse în specificațiile FIDO2. Acestea permit scenarii fără parolă în care utilizatorul nici măcar nu trebuie să-și introducă numele de utilizator în serviciu. În schimb, după ce a efectuat înregistrarea, Partea care se bazează poate solicita o autentificare doar cu originea și fără lista de acreditări. La primirea unei astfel de solicitări, autentificatorul caută acreditările stocate intern (rezident) asociate acestei părți de încredere și le folosește pentru autentificarea utilizatorului.
Compatibilitate
Standardul WebAuthn și, prin urmare, aplicația Ledger Security Key este acceptată pe multe sisteme de operare și browser web:
- Pe Windows 10 și versiuni ulterioare, este acceptat cel puțin pe Edge, Chrome și Firefox
- Pe MacOS 11.4 și versiuni ulterioare, este acceptat pe Safari și Chrome, dar este disponibil doar parțial pe Firefox deocamdată. Chrome este recomandat, din cauza instabilităților cunoscute cu Safari.
- Pe Ubuntu 20.04 și versiuni ulterioare, este acceptat pe Chrome, dar este disponibil doar parțial pe Firefox deocamdată.
- Pe iOS 14 și iPadOS 15.5 și versiuni ulterioare, este acceptat pe Safari, Chrome și Firefox
- Pe Android, nu este acceptat deocamdată. Ar trebui să înceapă cu serviciile Google Play v23.35 (versiune din septembrie 2023).
Folosind aplicația Ledger Security Key
Servicii WebAuthn
WebAuthn a ajuns acum la o adopție largă. Prin urmare, aplicația Ledger Security Key poate fi utilizată pe multe servicii pentru autentificarea cu factori multipli și, uneori, pentru autentificarea fără parolă.
Iată un extras al serviciilor care implementează Webauthn:
- 1Password
- AWS
- Binance
- BitBucket
- dropbox
- Gandi
- zodia Gemeni
- GitHub
- GitLab
- Microsoft
- Okta
- Salesforce
- Shopify
- TIC nervos
Exemplu pas cu pas
- Descărcați Ledger Live și selectați aplicația Cheie de securitate din secțiunea „My Ledger” pentru a o instala pe dispozitiv
- Setați setările corespunzătoare pentru serviciul dorit (AWS, Dropbox, Facebook, Google, GitHub, Microsoft, Twitter, …)
- Utilizați cheia de securitate pentru a vă autentifica!
Datorită combinării securității serviciului dvs. terță parte și a aplicației noastre Cheie de securitate, ați activat acum o securitate de ultimă generație pentru conturile dvs.
Securizarea cheilor SSH
Cheile SSH sunt folosite de dezvoltatori în unele situații critice, de la autentificare la un server GIT, până la conectarea la servere de producție critice. Dispozitivele Ledger aveau deja o modalitate de a vă securiza cheile SSH folosind Ledger SSH Nano Application. Cu toate acestea, aceasta a necesitat utilizarea unei Nano Aplicații dedicate și a unui agent pe computer. Acesta nu mai este cazul. OpenSSH 8.2 a introdus o nouă caracteristică care permite utilizarea „nativă” a dispozitivelor de autentificare FIDO pentru stocarea cheilor SSH.
Exemplu de utilizare
Să vedem cum poate fi folosit pentru a interacționa cu un depozit GitHub:
1. Creați o pereche:
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. Înregistrați cheia SSH în contul dvs. GitHub (consultați documentația GitHub)
3. Folosiți-l, de exemplu, pentru a clona un depozit:
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
Dacă aveți mai multe chei SSH, puteți urmări acest răspuns StackOverflow pentru a selecta o anumită cheie în loc de cea implicită.
parametrii
Când creați o pereche de chei SSH folosind ssh-keygen
și cheia dvs. de securitate, puteți:
- Alegeți curba de generare a perechii de chei specificând oricare dintre ele
-t ed25519-sk
or-t ecdsa-sk
- Permiteți utilizarea cheii private SSH fără acceptarea manuală a cheii de securitate prin specificarea
-O no-touch-required
. Cu toate acestea, unele servicii pot refuza o astfel de autentificare, acesta este cazul GitHub.
Există un suplimentar resident
opțiune, dar nu adaugă securitate suplimentară, iar utilizarea sa este mai complexă.
Xavier Chapron
Inginer firmware
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.ledger.com/blog/strengthen-the-security-of-your-accounts-with-webauthn
- :are
- :este
- :nu
- :Unde
- $UP
- 1
- 10
- 11
- 14
- 15%
- 20
- 2023
- 2FA
- 35%
- 8
- a
- Despre Noi
- acceptare
- acces
- Cont
- Conturi
- actorie
- actori
- adăuga
- Suplimentar
- Adoptare
- După
- din nou
- împotriva
- Agent
- alice
- TOATE
- Alianță
- permite
- Permiterea
- permite
- de-a lungul
- deja
- de asemenea
- an
- și
- Android
- Orice
- API-uri
- aplicaţia
- aplicație
- aplicatii
- adecvat
- SUNT
- AS
- Bunuri
- asociate
- At
- ataca
- Atacuri
- autentifica
- Autentificare
- autoriza
- disponibil
- AWS
- Bancar
- bazat
- BE
- fost
- folosul
- în spatele
- Mai bine
- Bob
- încălcări
- browser-ul
- Clădire
- construit
- dar
- by
- CAN
- Carduri
- caz
- certificat
- contesta
- Chrome
- combinând
- Comun
- Comunicații
- compatibilitate
- complex
- calculator
- tehnica de calcul
- Confirma
- Conectarea
- consimţământ
- Lua în considerare
- constrângeri
- Corespunzător
- socoteală
- crea
- a creat
- creează
- Crearea
- CREDENTIALĂ
- scrisori de acreditare
- Criteriile de
- critic
- criptografic
- criptografie
- Curent
- curba
- baze de date
- dedicat
- Mod implicit
- Deltă
- proiectat
- dorit
- detaliat
- detecta
- dezvoltat
- Dezvoltatorii
- dispozitiv
- Dispozitive
- diferenţă
- diferit
- digital
- Active digitale
- afișat
- face
- Nu
- domeniu
- făcut
- dropbox
- două
- în timpul
- e
- fiecare
- Margine
- element
- element
- activat
- Intrați
- evaluare
- Chiar
- exemplu
- existenţă
- experienţă
- explicație
- extrage
- facilitează
- factor
- FAIL
- fals
- Favorite
- Caracteristică
- Alianța FIDO
- Găsi
- amprentă digitală
- Firefox
- bliț
- următor
- Pentru
- necinstit
- din
- generator
- generaţie
- obține
- merge
- GitHub
- Google Play,
- hacker
- HAD
- întâmpla
- Piese metalice
- Securitate hardware
- hașiș
- Avea
- având în
- he
- Înalt
- lui
- Cum
- Totuși
- HTTPS
- Identificare
- identificator
- Identitate
- if
- imagine
- Punere în aplicare a
- ustensile
- in
- inclus
- într-adevăr
- informații
- instala
- in schimb
- interacţiona
- interacţiune
- intern
- Internațional
- în
- introdus
- iOS
- iPadOS
- izolare
- IT
- ESTE
- jpg
- doar
- ținut
- Cheie
- chei
- Cunoaște
- Cunoaștere
- cunoscut
- lipsă
- mai tarziu
- cel mai puțin
- carte mare
- Ledger Live
- Ledger Nano
- Ledger Nano S
- Legitim
- legitim
- Nivel
- efectului de pârghie
- ca
- limitări
- Listă
- trăi
- loturile
- log
- Logare
- mai lung
- Se pare
- MacOS
- major
- Efectuarea
- administra
- manual
- manual
- multe
- Mai..
- mijloace
- a însemnat
- mecanism
- mecanisme
- mesaj
- AMF
- Microsoft
- ar putea
- mai mult
- cele mai multe
- motivaţia
- multiplu
- nume
- Numit
- nano
- Nevoie
- necesar
- Nou
- Nu.
- acum
- obiecte
- obținut
- of
- promoții
- on
- ONE
- on-line
- afară
- deschide
- de operare
- sistem de operare
- Operațiuni
- Opțiune
- or
- origine
- OS
- Altele
- al nostru
- propriu
- pereche
- parametrii
- parte
- parte
- Trecut
- Parolele
- Perfect
- efectuată
- Phishing
- atacuri de phishing
- fizic
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- Joaca
- la care se adauga
- prezenţă
- precedent
- privat
- cheie privată
- Cheile private
- producere
- proprietate
- protejat
- furnizează
- furnizarea
- dovedind
- public
- Cheia publică
- chei publice
- atins
- primește
- recepție
- recomandat
- recomandă
- se referă
- cu privire la
- Inregistreaza-te
- înregistrată
- Înscriere
- legate de
- eliberaţi
- bazându-se
- face
- depozit
- solicita
- cereri de
- necesar
- Cerinţe
- elastic
- revelator
- Risc
- funcţionare
- s
- Safari
- în siguranță
- acelaşi
- salvate
- scenarii
- Ecran
- Al doilea
- Secțiune
- sigur
- în siguranță,
- securitate
- breșe de securitate
- vedea
- trimite
- trimite
- sensibil
- Septembrie
- serverul
- Servere
- serviciu
- Servicii
- setări
- SHA256
- Distribuie
- Acțiuni
- Pantaloni scurți
- să
- semna
- semnătură
- semnat
- teren
- situații
- Software
- unele
- uneori
- Surse
- specific
- Specificaţii
- standard
- Începe
- Stat
- de ultimă oră
- Pas
- furate
- depozitare
- stoca
- stocate
- A intari
- astfel de
- a sustine
- Suportat
- sistem
- Tehnologia
- acea
- Lor
- se
- apoi
- prin urmare
- ei
- Al treilea
- acest
- Prin
- la
- Unelte
- Total
- atingeţi
- încercat
- stare de nervozitate
- Două
- Ubuntu
- unic
- Actualizează
- actualizări
- pe
- Folosire
- utilizare
- utilizat
- Utilizator
- Experiența de utilizare
- utilizatorii
- utilizări
- folosind
- verifica
- versiune
- foarte
- a fost
- Cale..
- we
- web
- browser web
- BINE
- Ce
- întrucât
- care
- OMS
- de ce
- larg
- Wikipedia
- voi
- ferestre
- cu
- în
- fără
- scris
- X
- Tu
- Ta
- zephyrnet