Như bạn có thể biết, các thiết bị Ledger Nano (Ledger Nano S, Nano S Plus và Nano X) là các nền tảng mở tận dụng tính bảo mật của Các phần tử bảo mật. Hệ điều hành sổ cái (OS) tải các ứng dụng sử dụng API mật mã. HĐH cũng cung cấp các cơ chế cách ly và dẫn xuất khóa.
Công nghệ này cung cấp mức độ bảo mật cao ngay cả trước kẻ tấn công có quyền truy cập vật lý vào thiết bị của bạn, biến thiết bị Ledger của bạn trở thành công cụ hoàn hảo để quản lý tài sản kỹ thuật số của bạn một cách an toàn. Nhưng chúng cũng rất phù hợp để bảo mật thông tin đăng nhập của bạn cho nhiều dịch vụ trực tuyến.
Đây là lý do tại sao chúng tôi đã phát triển một ứng dụng mới có tên là Chìa khóa bảo mật, triển khai tiêu chuẩn WebAuthn cho Xác thực yếu tố thứ hai (2FA), Xác thực nhiều yếu tố (MFA) hoặc thậm chí xác thực không cần mật khẩu.
Do các hạn chế của hệ điều hành, Ứng dụng khóa bảo mật này có một số hạn chế:
- Nó không có sẵn trên Nano S do thiếu sự hỗ trợ của AES-SIV trên hệ điều hành Nano S.
- Thông tin xác thực có thể khám phá/thường trú được hỗ trợ nhưng được lưu trữ trên một phần flash của thiết bị và sẽ bị xóa khi xóa ứng dụng. Đó là lý do tại sao chúng không được bật theo mặc định nhưng bạn có thể tự chịu rủi ro khi bật thủ công trong cài đặt nếu cần. Điều này có thể xảy ra:
- Nếu người dùng chọn gỡ cài đặt nó khỏi Ledger Live
- Nếu người dùng chọn cập nhật ứng dụng lên phiên bản mới có sẵn
- Nếu người dùng cập nhật phiên bản hệ điều hành
WebAuthn là gì?
Xác thực Web hay viết tắt là WebAuthn là một tiêu chuẩn được viết bởi W3C và Liên minh FIDO. Nó chỉ định cơ chế xác thực người dùng dựa trên mật mã khóa công khai thay vì mật khẩu.
Động lực để xây dựng một tiêu chuẩn như vậy là vì sự tồn tại trực tuyến hiện tại của chúng ta được xây dựng dựa trên mật khẩu và hầu hết các vi phạm bảo mật đều liên quan đến mật khẩu bị đánh cắp hoặc yếu.
Tận dụng cơ chế bảo mật mật mã khóa công khai
Mật mã khóa công khai, còn được gọi là mật mã bất đối xứng, là một cơ chế mã hóa dựa trên việc có hai khóa liên kết:
- Khóa riêng cần được giữ bí mật
- Khóa công khai có thể được chia sẻ
Các khóa này có chung thuộc tính sau:
- Khóa chung có thể được sử dụng để xác minh xem tin nhắn có được ký bằng khóa riêng hay không.
Hãy xem xét một người dùng, Bob, tạo một cặp khóa và chia sẻ khóa chung với Alice. Nếu Bob gửi tin nhắn cho Alice, anh ấy có thể ký tin nhắn bằng khóa riêng của mình và Alice có thể xác minh bằng khóa chung rằng tin nhắn thực sự đã được ký bởi Bob, người duy nhất biết khóa riêng là gì.
Về xác thực, điều này có nghĩa là người dùng có thể tạo cặp khóa và chia sẻ khóa chung với một dịch vụ trực tuyến. Sau đó, người dùng có thể tự xác thực bằng cách chứng minh với dịch vụ trực tuyến rằng họ biết khóa riêng. Tất cả điều này mà không cần phải gửi khóa riêng đến dịch vụ trực tuyến! Điều này có nghĩa là khóa riêng không thể bị đánh cắp trên cơ sở dữ liệu máy chủ cũng như không bị chặn trong quá trình liên lạc giữa người dùng với máy chủ.
Tấn công lừa đảo có khả năng phục hồi
Tiêu chuẩn WebAuthn cũng có đặc tính chống lại các cuộc tấn công lừa đảo cổ điển.
Về cơ bản, một Lừa đảo tấn công là một cuộc tấn công trong đó tin tặc lừa bạn tiết lộ thông tin nhạy cảm, trong trường hợp của chúng tôi là thông tin đăng nhập.
Trái ngược với các cơ chế MFA khác như OTP, cơ chế WebAuthn có khả năng phục hồi tốt trước các cuộc tấn công như vậy. Thật vậy, mỗi cặp khóa được liên kết với một nguồn gốc hoặc tên miền web cụ thể, điều đó có nghĩa là một cuộc tấn công đang cố lừa bạn sử dụng thông tin xác thực WebAuthn trong một tên miền khác (ví dụ: trang web giả mạo có url best-service.com
thay vì url trang web hợp pháp best.service.com
) sẽ không thành công vì thiết bị xác thực sẽ không có cặp khóa tương ứng cho miền đó. Vì vậy, cuộc tấn công sẽ thất bại và đối thủ sẽ không nhận được bất kỳ thông tin hữu ích nào.
Bảo mật phần cứng mạnh mẽ
WebAuthn khuyên bạn nên sử dụng các thành phần bảo mật phần cứng để lưu trữ khóa riêng tư một cách an toàn. Đối với ứng dụng Khóa bảo mật sổ cái, khóa riêng được lưu trữ trong Phần tử bảo mật (SE) của thiết bị đã vượt qua đánh giá bảo mật Tiêu chí chung – một tiêu chuẩn quốc tế cho thẻ ngân hàng và các yêu cầu của tiểu bang – và đã đạt được chứng chỉ EAL5+. Bạn có thể tìm thêm thông tin về chứng nhận thiết bị Ledger tại đây.
Đăng ký chứng thực
Xác thực WebAuthn được chứng thực, điều này có nghĩa là máy chủ có thể xác minh rằng thiết bị xác thực là hợp pháp. Điều này có thể được kích hoạt trên một số dịch vụ để chỉ cấp phép cho một danh sách ngắn các thiết bị xác thực hoặc để phát hiện các nguồn lừa đảo.
Cách WebAuthn hoạt động
Trước tiên hãy xác định các tác nhân khác nhau là gì:
- Sản phẩm người sử dang, chính là bạn, đang cố gắng đăng ký một dịch vụ trực tuyến một cách an toàn.
- Sản phẩm Đảng dựa vào, đề cập đến máy chủ cung cấp quyền truy cập vào ứng dụng phần mềm bảo mật bằng WebAuthn. Ví dụ: Google, Facebook, Twitter.
- Sản phẩm User Agent, đề cập đến bất kỳ phần mềm nào, hoạt động thay mặt cho người dùng, “truy xuất, hiển thị và tạo điều kiện cho người dùng cuối tương tác với nội dung Web”. Ví dụ: trình duyệt web yêu thích của bạn trên Hệ điều hành yêu thích của bạn.
- Sản phẩm Người xác thực, đề cập đến một phương tiện được sử dụng để xác nhận danh tính người dùng. Trong trường hợp này, đây là thiết bị Ledger Nano của bạn đang chạy ứng dụng Khóa bảo mật.
Có hai hoạt động WebAuthn chính có thể được tiếp tục dưới dạng:
- Đăng ký trong thời gian:
- các Authenticator nhận được yêu cầu thông qua User Agent, từ Đảng dựa vào, chứa Nguồn gốc hoặc tên miền web của Relying Party cùng với mã nhận dạng người dùng và tên người dùng tùy chọn.
- các Authenticator yêu cầu người sử dang đồng ý, tạo một cặp khóa duy nhất và sau đó phản hồi Bên tin cậy bằng khóa chung.
- Xác thực trong đó:
- các Authenticator nhận được, thông qua User Agent, yêu cầu từ Đảng dựa vào, chứa nguồn gốc hoặc tên miền web của Relying Party cùng với một thử thách.
- các Authenticator yêu cầu người sử dang đồng ý và sau đó trả lời bằng một tin nhắn chứa chữ ký được tạo bằng khóa riêng liên quan đến thông tin xác thực đã đăng ký.
Bạn có thể tìm thấy lời giải thích chi tiết hơn về cơ chế đằng sau WebAuthn tại đây.
Sự khác biệt của Ledger FIDO-U2F Nano App
Ứng dụng Ledger FIDO-U2F đang triển khai FIDO U2F, phiên bản trước của FIDO2 được đưa vào tiêu chuẩn WebAuthn. Phiên bản trước này được thiết kế để sử dụng làm yếu tố thứ hai cho mật khẩu trong khi WebAuthn nhằm cho phép xác thực không cần mật khẩu.
Trên toàn cầu, nó cho phép trải nghiệm người dùng tốt hơn:
- Trên các thiết bị xác thực có màn hình, giờ đây, nguồn gốc (hoặc miền dịch vụ) của Relying Party có thể được hiển thị thay vì hàm băm của nó.
- Thông tin xác thực có thể khám phá (còn được gọi là khóa thường trú) đã được giới thiệu trong thông số kỹ thuật FIDO2. Chúng cho phép các tình huống không cần mật khẩu trong đó người dùng thậm chí không cần nhập tên người dùng của mình trên dịch vụ. Thay vào đó, sau khi thực hiện Đăng ký, Bên tin cậy có thể yêu cầu xác thực chỉ với nguồn gốc và không có danh sách thông tin xác thực. Khi nhận được yêu cầu như vậy, người xác thực sẽ tìm kiếm thông tin xác thực được lưu trữ nội bộ (thường trú) được liên kết với Bên tin cậy này và sử dụng chúng để xác thực người dùng.
Khả năng tương thích
Tiêu chuẩn WebAuthn và do đó ứng dụng Ledger Security Key được hỗ trợ trên nhiều hệ điều hành và trình duyệt web:
- Trên windows 10 trở lên, nó được hỗ trợ ít nhất trên Edge, Chrome và Firefox
- Trên MacOS 11.4 trở lên, nó được hỗ trợ trên Safari và Chrome, tuy nhiên hiện tại nó chỉ khả dụng một phần trên Firefox. Nên sử dụng Chrome do tính không ổn định đã biết với Safari.
- Trên Ubuntu 20.04 trở lên, nó được hỗ trợ trên Chrome, tuy nhiên hiện tại nó chỉ khả dụng một phần trên Firefox.
- Trên iOS 14 và iPadOS 15.5 trở lên, nó được hỗ trợ trên Safari, Chrome và Firefox
- Trên Android hiện tại nó không được hỗ trợ. Quá trình này sẽ bắt đầu với Dịch vụ Google Play v23.35 (bản phát hành tháng 2023 năm XNUMX).
Sử dụng ứng dụng Khóa bảo mật sổ cái
Dịch vụ WebAuthn
WebAuthn hiện đã được áp dụng rộng rãi. Do đó, ứng dụng Khóa bảo mật sổ cái có thể được sử dụng trên nhiều dịch vụ để Xác thực nhiều yếu tố và đôi khi để xác thực không cần mật khẩu.
Dưới đây là trích đoạn các dịch vụ triển khai Webauthn:
- 1Password
- AWS
- Binance
- Cai Xô nhỏ
- Dropbox
- Gandi
- Gemini
- GitHub
- GitLab
- microsoft
- Okta
- Salesforce
- Shopify
- Twitch
Ví dụ từng bước
- Tải Ledger Live và chọn ứng dụng Security Key trong phần “My Ledger” để cài đặt trên thiết bị của bạn
- Đặt cài đặt phù hợp trên dịch vụ mong muốn (AWS, Dropbox, Facebook, Google, GitHub, Microsoft, Twitter, …)
- Sử dụng khóa bảo mật của bạn để đăng nhập!
Nhờ kết hợp tính bảo mật của dịch vụ bên thứ ba và ứng dụng Khóa bảo mật của chúng tôi, giờ đây bạn đã kích hoạt tính năng bảo mật tiên tiến cho tài khoản của mình
Bảo mật khóa SSH của bạn
Khóa SSH được các nhà phát triển sử dụng trong một số tình huống quan trọng, từ xác thực đến máy chủ GIT cho đến kết nối với các máy chủ sản xuất quan trọng. Các thiết bị sổ cái đã có cách bảo mật khóa SSH của bạn bằng Ứng dụng Ledger SSH Nano. Tuy nhiên, điều này yêu cầu sử dụng Ứng dụng Nano chuyên dụng và một tác nhân trên máy tính của bạn. Đây không còn là trường hợp. OpenSSH 8.2 đã giới thiệu một tính năng mới cho phép sử dụng “bản địa” các thiết bị xác thực FIDO để lưu trữ khóa SSH.
Ví dụ về cách sử dụng
Hãy xem cách nó có thể được sử dụng để tương tác với kho lưu trữ GitHub:
1. Tạo một cặp:
$ssh-keygen -t ed25519-sk -f ~/.ssh/id_mykey_sk Generating public/private ed25519-sk key pair.
You may need to touch your authenticator to authorize key generation.
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_mykey_sk
Your public key has been saved in /home/user/.ssh/id_mykey_sk.pub
The key fingerprint is:
SHA256:ZdHzzXRboYdbVXpLN12EKyDEYycNMDXRJV45ECYEBp8 user@LPFR0218
The key's randomart image is:
+[ED25519-SK 256]-+
| ..=BO=*=o. +B|
| o o*==+= +.B|
| E. =+. *.XB|
| o . Bo*|
| S o . |
| |
| |
| |
| |
+----[SHA256]-----+
2. Đăng ký khóa SSH vào tài khoản GitHub của bạn (xem tài liệu GitHub)
3. Ví dụ: sử dụng nó để sao chép một kho lưu trữ:
$git clone :LedgerHQ/app-bitcoin-new.git
Cloning into 'app-bitcoin-new'...
Confirm user presence for key ED25519-SK SHA256:iGu/I9kjxypEHkQIGmgTLBCA8ftm4Udu1DfkK2BwE0o
remote: Enumerating objects: 5625, done.
remote: Counting objects: 100% (10/10), done.
remote: Compressing objects: 100% (10/10), done.
remote: Total 5625 (delta 1), reused 2 (delta 0), pack-reused 5615
Receiving objects: 100% (5625/5625), 2.11 MiB | 636.00 KiB/s, done.
Resolving deltas: 100% (4055/4055), done.
Nếu bạn có nhiều khóa SSH, bạn có thể làm theo câu trả lời StackOverflow này để chọn một khóa cụ thể thay vì khóa mặc định.
Thông số
Khi tạo cặp khóa SSH bằng cách sử dụng ssh-keygen
và khóa bảo mật của mình, bạn có thể:
- Chọn đường cong tạo cặp khóa bằng cách chỉ định một trong hai
-t ed25519-sk
or-t ecdsa-sk
- Cho phép sử dụng khóa riêng SSH mà không cần chấp nhận thủ công đối với khóa bảo mật bằng cách chỉ định
-O no-touch-required
. Tuy nhiên, một số dịch vụ có thể từ chối xác thực như vậy, đây là trường hợp của GitHub.
Có một bổ sung resident
tùy chọn, nhưng nó không bổ sung thêm tính bảo mật và cách sử dụng nó phức tạp hơn.
Xavier Chapron
Kỹ sư phần mềm
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.ledger.com/blog/strengthen-the-security-of-your-accounts-with-webauthn
- : có
- :là
- :không phải
- :Ở đâu
- $ LÊN
- 1
- 10
- 11
- 14
- 15%
- 20
- 2023
- 2FA
- 35%
- 8
- a
- Giới thiệu
- chấp nhận
- truy cập
- Tài khoản
- Trợ Lý Giám Đốc
- diễn xuất
- diễn viên
- thêm vào
- thêm vào
- Nhận con nuôi
- Sau
- một lần nữa
- chống lại
- Đại lý
- bắn
- Tất cả
- Liên minh
- cho phép
- Cho phép
- cho phép
- dọc theo
- Đã
- Ngoài ra
- an
- và
- Android
- bất kì
- API
- ứng dụng
- Các Ứng Dụng
- các ứng dụng
- thích hợp
- LÀ
- AS
- Tài sản
- liên kết
- At
- tấn công
- Các cuộc tấn công
- xác nhận
- Xác thực
- ủy quyền
- có sẵn
- AWS
- Ngân hàng
- dựa
- BE
- được
- thay mặt
- sau
- Hơn
- ngũ cốc
- vi phạm
- trình duyệt
- Xây dựng
- xây dựng
- nhưng
- by
- CAN
- Thẻ
- trường hợp
- Giấy chứng nhận
- thách thức
- cơ rôm
- kết hợp
- Chung
- Truyền thông
- khả năng tương thích
- phức tạp
- máy tính
- máy tính
- Xác nhận
- Kết nối
- đồng ý
- Hãy xem xét
- khó khăn
- Tương ứng
- hơn nữa
- tạo
- tạo ra
- tạo ra
- Tạo
- CHỨNG CHỈ
- Credentials
- tiêu chuẩn
- quan trọng
- mật mã
- mật mã
- Current
- đường cong
- cơ sở dữ liệu
- dành riêng
- Mặc định
- đồng bằng
- thiết kế
- mong muốn
- chi tiết
- phát hiện
- phát triển
- phát triển
- thiết bị
- Thiết bị (Devices)
- sự khác biệt
- khác nhau
- kỹ thuật số
- Tài sản kỹ thuật số
- hiển thị
- làm
- Không
- miền
- thực hiện
- Dropbox
- hai
- suốt trong
- e
- mỗi
- Cạnh
- thành phần
- các yếu tố
- kích hoạt
- đăng ký hạng mục thi
- đánh giá
- Ngay cả
- ví dụ
- sự tồn tại
- kinh nghiệm
- giải thích
- trích xuất
- tạo điều kiện
- yếu tố
- FAIL
- giả mạo
- Yêu thích
- Đặc tính
- Liên minh FIDO
- Tìm kiếm
- dấu vân tay
- Firefox
- Đèn flash
- tiếp theo
- Trong
- lừa đảo
- từ
- tạo ra
- thế hệ
- được
- đi
- GitHub
- Google play
- của hacker
- có
- xảy ra
- phần cứng
- An ninh phần cứng
- băm
- Có
- có
- he
- Cao
- của mình
- Độ đáng tin của
- Tuy nhiên
- HTTPS
- Xác định
- định danh
- Bản sắc
- if
- hình ảnh
- thực hiện
- thực hiện
- in
- bao gồm
- thực sự
- thông tin
- cài đặt, dựng lên
- thay vì
- tương tác
- tương tác
- nội bộ
- Quốc Tế
- trong
- giới thiệu
- iOS
- iPadOS
- cô lập
- IT
- ITS
- jpg
- chỉ
- giữ
- Key
- phím
- Biết
- Biết
- nổi tiếng
- Thiếu sót
- một lát sau
- ít nhất
- Ledger
- Sổ cái trực tiếp
- Ledger Nano
- Ledger Nano S
- Legit
- hợp pháp
- Cấp
- tận dụng
- Lượt thích
- hạn chế
- Danh sách
- sống
- tải
- đăng nhập
- đăng nhập
- còn
- NHÌN
- hệ điều hành Mac
- chính
- Làm
- quản lý
- nhãn hiệu
- thủ công
- nhiều
- Có thể..
- có nghĩa
- có nghĩa là
- cơ chế
- cơ chế
- tin nhắn
- MFA
- microsoft
- Might
- chi tiết
- hầu hết
- Động lực
- nhiều
- tên
- Được đặt theo tên
- nano
- Cần
- cần thiết
- Mới
- Không
- tại
- đối tượng
- thu được
- of
- Cung cấp
- on
- ONE
- Trực tuyến
- có thể
- mở
- hoạt động
- hệ điều hành
- Hoạt động
- Tùy chọn
- or
- nguồn gốc
- OS
- Nền tảng khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- riêng
- đôi
- thông số
- một phần
- bên
- thông qua
- Mật khẩu
- hoàn hảo
- thực hiện
- Lừa đảo
- tấn công lừa đảo
- vật lý
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Play
- thêm
- sự hiện diện
- trước
- riêng
- Key Private
- Khóa riêng
- Sản lượng
- tài sản
- bảo vệ
- cung cấp
- cung cấp
- chứng minh
- công khai
- chính công
- khóa công khai
- đạt
- nhận
- tiếp nhận
- đề nghị
- đề nghị
- đề cập
- về
- ghi danh
- đăng ký
- Đăng Ký
- liên quan
- phát hành
- dựa vào
- Trình bày
- kho
- yêu cầu
- yêu cầu
- cần phải
- Yêu cầu
- đàn hồi
- để lộ
- Nguy cơ
- chạy
- s
- Safari
- một cách an toàn
- tương tự
- lưu
- kịch bản
- Màn
- Thứ hai
- Phần
- an toàn
- an toàn
- an ninh
- vi phạm an ninh
- xem
- gửi
- gửi
- nhạy cảm
- Tháng Chín
- máy chủ
- Các máy chủ
- dịch vụ
- DỊCH VỤ
- thiết lập
- SHA256
- Chia sẻ
- cổ phiếu
- ngắn
- nên
- đăng ký
- chữ ký
- Ký kết
- website
- tình huống
- Phần mềm
- một số
- đôi khi
- nguồn
- riêng
- thông số kỹ thuật
- Tiêu chuẩn
- Bắt đầu
- Tiểu bang
- nhà nước-of-the-art
- Bước
- ăn cắp
- là gắn
- hàng
- lưu trữ
- Tăng cường
- như vậy
- hỗ trợ
- Hỗ trợ
- hệ thống
- Công nghệ
- việc này
- Sản phẩm
- Them
- tự
- sau đó
- vì thế
- họ
- Thứ ba
- điều này
- Thông qua
- đến
- công cụ
- Tổng số:
- chạm
- cố gắng
- hai
- Ubuntu
- độc đáo
- Cập nhật
- Cập nhật
- trên
- Sử dụng
- sử dụng
- đã sử dụng
- người sử dang
- Kinh nghiệm người dùng
- Người sử dụng
- sử dụng
- sử dụng
- xác minh
- phiên bản
- rất
- là
- Đường..
- we
- web
- trình duyệt web
- TỐT
- Điều gì
- trong khi
- cái nào
- CHÚNG TÔI LÀ
- tại sao
- rộng
- Wikipedia
- sẽ
- cửa sổ
- với
- ở trong
- không có
- viết
- X
- Bạn
- trên màn hình
- zephyrnet