Kot morda veste, so vaše naprave Ledger Nano (Ledger Nano S, Nano S Plus in Nano X) odprte platforme, ki izkoriščajo varnost Secure Elements. Operacijski sistem (OS) Ledger nalaga aplikacije, ki uporabljajo kriptografske API-je. OS ponuja tudi mehanizme izolacije in izpeljave ključev.
Ta tehnologija zagotavlja visoko raven varnosti tudi pred napadalcem, ki ima fizični dostop do vaših naprav, zaradi česar so vaše naprave Ledger popolno orodje za varno upravljanje vaših digitalnih sredstev. So pa tudi zelo primerni za zaščito vaših poverilnic za prijavo v številne spletne storitve.
Zato smo razvili novo aplikacijo, imenovano Varnostni ključ, ki implementira standard WebAuthn za drugofaktorsko avtentikacijo (2FA), večfaktorsko avtentikacijo (MFA) ali celo avtentikacijo brez gesla.
Zaradi omejitev operacijskega sistema ima ta aplikacija za varnostni ključ nekaj omejitev:
- Na Nano S ni na voljo zaradi pomanjkanja podpore za AES-SIV na Nano S OS.
- Poverilnice, ki jih je mogoče odkriti/stalne, so podprte, vendar so shranjene na delu bliskavice naprave, ki bo ob izbrisu aplikacije izbrisan. Zato niso privzeto omogočeni, ampak jih lahko ročno omogočite na lastno odgovornost v nastavitvah, če je to potrebno. To se lahko zgodi:
- Če se uporabnik odloči, da ga odstrani iz Ledger Live
- Če se uporabnik odloči posodobiti aplikacijo na novo razpoložljivo različico
- Če uporabnik posodobi različico OS
Kaj je WebAuthn?
Spletna avtentikacija ali na kratko WebAuthn je standard, ki sta ga napisala W3C in FIDO Alliance. Določa mehanizem za preverjanje pristnosti uporabnikov, ki temelji na kriptografiji javnih ključev namesto gesel.
Motivacija za izgradnjo takega standarda je bila, da naš trenutni spletni obstoj temelji na geslih in da je večina kršitev varnosti povezanih z ukradenimi ali šibkimi gesli.
Izkoriščanje varnostnega mehanizma kriptografije javnega ključa
Kriptografija z javnim ključem, znan tudi kot asimetrična kriptografija, je kriptografski mehanizem, ki temelji na dveh povezanih ključih:
- Zasebni ključ, ki naj bo tajen
- Javni ključ, ki ga je mogoče deliti
Ti ključi imajo naslednje lastnosti:
- Z javnim ključem lahko preverite, ali je sporočilo podpisano z zasebnim ključem.
Recimo, da uporabnik, Bob, ustvari par ključev in deli javni ključ z Alice. Če Bob pošlje sporočilo Alice, lahko sporočilo podpiše s svojim zasebnim ključem in Alice lahko z javnim ključem preveri, ali je sporočilo res podpisal Bob, ki edini ve, kaj je zasebni ključ.
Kar zadeva avtentikacijo, to pomeni, da lahko uporabnik ustvari par ključev in deli javni ključ s spletno storitvijo. Kasneje se lahko uporabnik avtentificira tako, da spletni storitvi dokaže, da pozna zasebni ključ. Vse to brez pošiljanja zasebnega ključa spletni storitvi! To pomeni, da zasebnega ključa ni mogoče ukrasti v strežniških bazah podatkov niti prestreči med komunikacijo med uporabniki in strežniki.
Odporen na lažno predstavljanje
Standard WebAuthn ima tudi lastnost, da je odporen proti klasičnim lažnim predstavljanjem.
V bistvu a Ribarjenje napad je napad, pri katerem vas heker zavede, da razkrijete občutljive podatke, v našem primeru poverilnice za prijavo.
V nasprotju z drugimi mehanizmi MFA, kot je OTP, je mehanizem WebAuthn odporen na takšne napade. Dejansko je vsak par ključev vezan na določeno izvorno ali spletno domeno, kar pomeni, da vas napad skuša zavesti v uporabo poverilnice WebAuthn v drugi domeni (npr. lažno spletno mesto z url best-service.com
namesto zakonitega URL-ja spletnega mesta best.service.com
) ne bo uspelo, ker naprava za preverjanje pristnosti ne bo imela ustreznega para ključev za to domeno. Zato napad ne bo uspel in nasprotnik ne bo dobil nobenih koristnih informacij.
Močna varnost strojne opreme
WebAuthn priporoča uporabo varnostnih elementov strojne opreme za varno shranjevanje zasebnih ključev. Kar zadeva aplikacijo varnostnega ključa Ledger, so zasebni ključi shranjeni v napravi Secure Element (SE), ki je opravila oceno varnosti Common Criteria – mednarodni standard za bančne kartice in državne zahteve – in pridobila certifikat EAL5+. Več informacij o certifikatih naprav Ledger najdete tukaj.
Potrjene registracije
Preverjanje pristnosti WebAuthn je potrjeno, kar pomeni, da lahko strežnik preveri, ali je naprava za preverjanje pristnosti zakonita. To je mogoče omogočiti v nekaterih storitvah za avtorizacijo le kratkega seznama naprav za preverjanje pristnosti ali za odkrivanje goljufivih virov.
Kako deluje WebAuthn
Najprej določimo, kateri so različni akterji:
- O uporabnik, torej vi, ki se poskušate varno registrirati v spletni storitvi.
- O Zanašajoča se stranka, ki se nanaša na strežnik, ki omogoča dostop do varne programske aplikacije z uporabo WebAuthn. Na primer Google, Facebook, Twitter.
- O User Agent, ki se nanaša na kakršno koli programsko opremo, ki deluje v imenu uporabnika, ki »pridobi, upodablja in olajša interakcijo končnega uporabnika s spletno vsebino«. Na primer vaš najljubši spletni brskalnik v vašem najljubšem operacijskem sistemu.
- O Autentifikator, ki se nanaša na sredstvo za potrditev identitete uporabnika. V tem primeru je to vaša naprava Ledger Nano, ki izvaja aplikacijo Varnostni ključ.
Obstajata dve glavni operaciji WebAuthn, ki ju je mogoče nadaljevati kot:
- Registracija, med katero:
- o Overovitelj prejme prošnjo prek User Agent, Iz Zanašajoča se stranka, ki vsebuje izvor ali spletno domeno odvisne stranke skupaj z identifikatorjem uporabnika in po izbiri uporabniškim imenom.
- o Overovitelj zahteva uporabnik soglasje, ustvari edinstven par ključev in nato odgovori odvisni stranki z javnim ključem.
- Avtentikacija, med katero:
- o Overovitelj prejema, prek User Agent, zahtevo od Zanašajoča se stranka, ki vsebuje izvor ali spletno domeno zanašajoče se stranke skupaj z izzivom.
- o Overovitelj zahteva uporabnik soglasje in nato odgovori s sporočilom, ki vsebuje podpis, ustvarjen z registriranim zasebnim ključem, povezanim s poverilnicami.
Najdete lahko podrobnejšo razlago mehanizma za WebAuthn tukaj.
Razlika z aplikacijo Ledger FIDO-U2F Nano
Aplikacija Ledger FIDO-U2F izvaja FIDO U2F, prejšnjo različico FIDO2, ki je vključena v standard WebAuthn. Ta prejšnja različica je bila zasnovana za uporabo kot drugi faktor za gesla, medtem ko naj bi WebAuthn omogočal preverjanje pristnosti brez gesla.
Globalno omogoča boljšo uporabniško izkušnjo:
- Na napravah za preverjanje pristnosti z zaslonom je zdaj mogoče namesto njegove zgoščene vrednosti prikazati izvor (ali domeno storitve) zanašajoče se stranke.
- Poverilnice, ki jih je mogoče odkriti (imenovane tudi rezidenčni ključi), so bile uvedene v specifikacijah FIDO2. Omogočajo scenarije brez gesla, kjer uporabniku sploh ni treba vnesti svojega uporabniškega imena v storitev. Namesto tega lahko zanašajoča se stranka po opravljeni registraciji zahteva avtentikacijo samo s svojim izvorom in brez seznama poverilnic. Po prejemu takšne zahteve avtentifikator poišče interno shranjene (rezidenčne) poverilnice, povezane s to odvisno stranko, in jih uporabi za avtentikacijo uporabnika.
združljivost
Standard WebAuthn in zato aplikacija varnostnega ključa Ledger je podprta v mnogih OS in spletnih brskalnikih:
- V sistemih Windows 10 in novejših je podprt vsaj v Edge, Chrome in Firefox
- V MacOS 11.4 in novejših je podprt v brskalnikih Safari in Chrome, vendar je za zdaj le delno na voljo v Firefoxu. Chrome je priporočljiv zaradi znanih nestabilnosti Safarija.
- V Ubuntu 20.04 in novejših je podprt v Chromu, vendar je za zdaj le delno na voljo v Firefoxu.
- V iOS 14 in iPadOS 15.5 in novejših je podprt v brskalnikih Safari, Chrome in Firefox
- V Androidu trenutno ni podprt. Začeti bi se moral s storitvami Google Play v23.35 (izdaja septembra 2023).
Uporaba aplikacije Ledger Security Key
Storitve WebAuthn
WebAuthn je zdaj dosegel široko uporabo. Zato se lahko aplikacija varnostnega ključa Ledger uporablja v številnih storitvah za večfaktorsko avtentikacijo in včasih za avtentikacijo brez gesla.
Tukaj je izvleček storitev, ki izvajajo Webauthn:
- 1Password
- AWS
- Binance
- Bitbucket
- varno shrambo
- Gandi
- Gemini
- GitHub
- GitLab
- Microsoft
- Okta
- Salesforce
- Shopify
- Trzanje
Primer korak za korakom
- Prenesite Ledger Live in v razdelku »My Ledger« izberite aplikacijo Varnostni ključ, da jo namestite v svojo napravo.
- Nastavite ustrezne nastavitve na želeni storitvi (AWS, Dropbox, Facebook, Google, GitHub, Microsoft, Twitter, …)
- Za prijavo uporabite svoj varnostni ključ!
Zahvaljujoč kombinaciji varnosti vaše storitve tretje osebe in naše aplikacije varnostnega ključa, ste zdaj omogočili najsodobnejšo varnost za svoje račune
Varovanje vaših SSH ključev
Ključe SSH razvijalci uporabljajo v nekaterih kritičnih situacijah, od preverjanja pristnosti na strežniku GIT do povezovanja s kritičnimi produkcijskimi strežniki. Naprave Ledger so že imele način za zaščito vaših ključev SSH z aplikacijo Ledger SSH Nano. Vendar je to zahtevalo uporabo namenske aplikacije Nano in agenta v vašem računalniku. Temu ni več tako. OpenSSH 8.2 je predstavil novo funkcijo, ki omogoča "izvorno" uporabo naprav za preverjanje pristnosti FIDO za shranjevanje ključev SSH.
Primer uporabe
Poglejmo, kako ga je mogoče uporabiti za interakcijo z repozitorijem GitHub:
1. Ustvarite par:
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. Registrirajte ključ SSH v svoj račun GitHub (glejte dokumentacijo GitHub)
3. Uporabite ga na primer za kloniranje repozitorija:
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
Če imate več ključev SSH, lahko sledite ta odgovor StackOverflow da izberete določeno tipko namesto privzete.
parametri
Pri ustvarjanju para ključev SSH z uporabo ssh-keygen
in vaš varnostni ključ, lahko:
- Izberite krivuljo generiranja para ključev tako, da določite bodisi
-t ed25519-sk
or-t ecdsa-sk
- Dovolite uporabo zasebnega ključa SSH brez ročnega sprejema na varnostnem ključu tako, da podate
-O no-touch-required
. Vendar pa lahko nekatere storitve zavrnejo takšno avtentikacijo, to velja za GitHub.
Obstaja dodatna resident
možnost, vendar ne doda dodatne varnosti in je njena uporaba bolj zapletena.
Xavier Chapron
Inženir vdelane programske opreme
- Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
- PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
- PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
- PlatoESG. Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
- PlatoHealth. Obveščanje o biotehnologiji in kliničnih preskušanjih. Dostopite tukaj.
- vir: https://www.ledger.com/blog/strengthen-the-security-of-your-accounts-with-webauthn
- :ima
- : je
- :ne
- :kje
- $GOR
- 1
- 10
- 11
- 14
- 15%
- 20
- 2023
- 2FA
- 35%
- 8
- a
- O meni
- sprejem
- dostop
- Račun
- računi
- igrati
- akterji
- dodajte
- Dodatne
- Sprejetje
- po
- spet
- proti
- Agent
- Alice
- vsi
- Alliance
- omogočajo
- Dovoli
- omogoča
- skupaj
- že
- Prav tako
- an
- in
- Android
- kaj
- API-ji
- aplikacija
- uporaba
- aplikacije
- primerno
- SE
- AS
- Sredstva
- povezan
- At
- napad
- Napadi
- preverjanje pristnosti
- Preverjanje pristnosti
- odobri
- Na voljo
- AWS
- Bančništvo
- temeljijo
- BE
- bilo
- ime
- zadaj
- Boljše
- zrna
- kršitve
- brskalnik
- Building
- zgrajena
- vendar
- by
- CAN
- Kartice
- primeru
- potrdilo
- izziv
- Krom
- združevanje
- Skupno
- Communications
- združljivost
- kompleksna
- računalnik
- računalništvo
- Potrdi
- Povezovanje
- Soglasje
- Razmislite
- omejitve
- Ustrezno
- štetje
- ustvarjajo
- ustvaril
- ustvari
- Ustvarjanje
- POVERILNICA
- Mandatno
- Merila
- kritično
- kriptografijo
- kriptografija
- Trenutna
- krivulja
- baze podatkov
- namenjen
- privzeto
- Delta
- zasnovan
- želeno
- podrobno
- odkrivanje
- razvili
- Razvijalci
- naprava
- naprave
- Razlika
- drugačen
- digitalni
- Digitalna sredstva
- prikazano
- ne
- Ne
- domena
- opravljeno
- varno shrambo
- 2
- med
- e
- vsak
- Edge
- element
- elementi
- omogočena
- Vnesite
- Ocena
- Tudi
- Primer
- Obstoj
- izkušnje
- Razlaga
- ekstrakt
- olajša
- Faktor
- FAIL
- ponaredek
- Priljubljeni
- Feature
- Zavezništvo FIDO
- Najdi
- prstnih odtisov
- Firefox
- Flash
- po
- za
- goljufiva
- iz
- ustvarjajo
- generacija
- dobili
- git
- GitHub
- Google Play
- heker
- imel
- se zgodi
- strojna oprema
- Varnost strojne opreme
- hash
- Imajo
- ob
- he
- visoka
- njegov
- Kako
- Vendar
- HTTPS
- Identifikacija
- identifikator
- identiteta
- if
- slika
- izvajanja
- izvedbe
- in
- vključeno
- prav zares
- Podatki
- namestitev
- Namesto
- interakcijo
- interakcije
- interno
- Facebook Global
- v
- Uvedeno
- iOS
- iPad
- izolacija
- IT
- ITS
- jpg
- samo
- hranijo
- Ključne
- tipke
- Vedite
- Vedeti
- znano
- Pomanjkanje
- pozneje
- vsaj
- Ledger
- Ledger Live
- Ledger Nano
- Ledger Nano S
- Legit
- legitimno
- Stopnja
- vzvod
- kot
- omejitve
- Seznam
- v živo
- obremenitve
- prijavi
- prijava
- več
- POGLEDI
- MacOS
- velika
- Izdelava
- upravljanje
- Navodilo
- ročno
- več
- Maj ..
- pomeni
- pomenilo
- Mehanizem
- Mehanizmi
- Sporočilo
- MZZ
- Microsoft
- morda
- več
- Najbolj
- Motivacija
- več
- Ime
- Imenovan
- nano
- Nimate
- potrebna
- Novo
- št
- zdaj
- predmeti
- pridobljeni
- of
- Ponudbe
- on
- ONE
- na spletu
- samo
- odprite
- deluje
- operacijski sistem
- operacije
- Možnost
- or
- poreklo
- OS
- Ostalo
- naši
- lastne
- par
- parametri
- del
- zabava
- opravil
- gesla
- popolna
- opravljeno
- Ribarjenje
- lažni napadi
- fizično
- Platforme
- platon
- Platonova podatkovna inteligenca
- PlatoData
- Predvajaj
- plus
- Prisotnost
- prejšnja
- zasebna
- zasebni ključ
- Zasebni ključi
- proizvodnja
- nepremičnine
- zaščiteni
- zagotavlja
- zagotavljanje
- dokazovanje
- javnega
- javni ključ
- javni ključi
- dosegel
- prejme
- sprejem
- priporočeno
- priporoča
- nanaša
- o
- Registracija
- registriranih
- registracija
- povezane
- sprostitev
- zanašanje
- ometi
- Skladišče
- zahteva
- zahteva
- obvezna
- Zahteve
- odporno
- razkrivajo
- Tveganje
- tek
- s
- Safari
- varno
- Enako
- shranjena
- scenariji
- Zaslon
- drugi
- Oddelek
- zavarovanje
- Varno
- varnost
- kršitve varnosti
- glej
- pošljite
- pošlje
- občutljiva
- september
- strežnik
- Strežniki
- Storitev
- Storitve
- nastavitve
- SHA256
- Delite s prijatelji, znanci, družino in partnerji :-)
- Delnice
- Kratke Hlače
- shouldnt
- podpisati
- Podpis
- podpisano
- spletna stran
- situacije
- Software
- nekaj
- Včasih
- Viri
- specifična
- specifikacije
- standardna
- Začetek
- Država
- state-of-the-art
- Korak
- ukradeno
- shranjevanje
- trgovina
- shranjeni
- Okrepiti
- taka
- podpora
- Podprti
- sistem
- Tehnologija
- da
- O
- Njih
- sami
- POTEM
- zato
- jih
- tretja
- ta
- skozi
- do
- orodja
- Skupaj za plačilo
- na dotik
- poskuša
- dva
- Ubuntu
- edinstven
- Nadgradnja
- posodobitve
- naprej
- Uporaba
- uporaba
- Rabljeni
- uporabnik
- Uporabniška izkušnja
- Uporabniki
- uporablja
- uporabo
- preverjanje
- različica
- zelo
- je
- način..
- we
- web
- spletni brskalnik
- Dobro
- Kaj
- medtem ko
- ki
- WHO
- zakaj
- široka
- Wikipedia
- bo
- okna
- z
- v
- brez
- pisni
- X
- Vi
- Vaša rutina za
- zefirnet