Стабилната версия на Chrome получава поддръжка за FIDO – компютър – базирани на новини пароли

Може би има играчи, които се интересуват от това Моят отговор на security.nl По тази тема, която повтарям по-долу (леко модифицирана).

Преди: следното доколкото знам. Четох много по тази тема, но не можах да прочета практически опит в нея.

По отношение на защитата на личните ключове (като част от ключовете за достъп): Намерението е частните ключове да са в некриптирано състояние само в хардуерно защитени „сигурни анклави“ на устройствата на крайния потребител. В този смисъл разликата с хардуерния превключвател FIDO2 (като Yubikey, Feitian, Google Titan и др.) е малка.

Важна разлика с хардуерните ключове е, че набор от идентификационни данни (вашите пароли за един или повече акаунти) може да бъде архивиран – ако платформата ги поддържа; Тогава могат криптиран Те се експортират от хардуерно защитения анклав и могат да бъдат възстановени (в криптиран вид) – след което се декриптират в хардуерно защитената зона.

С други думи, облачен акаунт може да се използва за архивиране и синхронизиране на множество устройства. Условията за това са всяко устройство също така да има достатъчно сигурно местоположение (до което имате достъп), да знаете паролата, използвана за криптиране на идентификационните данни – и да имате достъп до облачния акаунт.

Това изглежда работи по-гладко с хардуера на Apple, както и със софтуера на Apple (особено Safari); Ако използвате една и съща парола на всяко от вашите Apple устройства, И на Хардуер + ОС не е твърде стар, И на Вие сте конфигурирали един и същ Apple ID (облачния акаунт на Apple за iCloud, наред с други неща) на всяко устройство и целта е автоматично да синхронизирате вашите пароли между вашите устройства. Освен това (поне частните ключове) са некриптирани само в защитени джобове (до които повечето, ако не всички, приложения нямат достъп).

READ  Повече от един милиард души по света страдат от затлъстяване

Това, разбира се, е страхотно заключване на доставчика, защото не можете да синхронизирате „тайни“ на Apple (включително пароли) с други операционни системи като Android, Windows или Linux. Така че, ако сте започнали с пароли на Apple или Google, е много досадно да преминете към друга платформа (особено когато имате само едно устройство и загубите достъп до него поради загуба, кражба или срив). Така че докато можете да архивирате пароли, за разлика от идентификационните данни в хардуерните ключове, все още има значителни ограничения.

Въпросът е, че никога не правите това себе си Имате достъп до личните си ключове, следователно зловреден софтуер не може. Въпреки това софтуерът, който използвате, трябва да може да подписва цифрово информация (включително „nonce“, което е дълго произволно число, изпратено от сървъра) (в защитения анклав) с правилния частен ключ, доказващ съществуването на частния ключ . На устройството, с което се удостоверявате. Ако използваният софтуер е злонамерен или ако устройството е било компрометирано по някакъв друг начин, не можете да изключите, че злонамерен софтуер е осъществил достъп до един или повече от вашите акаунти; Нито паролите ще ви осигурят „компромис с клиента“.

Относно заключването на доставчика: Разбира се, очакваме хакове, с които можете (използвайки токена за достъп на вашето устройство и парола за Apple ID + 2FA) да изтегляте и декриптирате шифровани „тайни“, архивирани в iCloud – но дали това някога е станало и кога, аз не знам След като такъв хак съществува, разбира се, злонамереният софтуер също може да го използва.

Между другото, Apple представи нещо противоречиво: „предаване на ключ за споделяне“. С това можете да споделите вашите „тайни“. с друг човек При условие, че другото лице също има (поддържано) устройство на Apple.

READ  Apple пуска тънък лаптоп MacBook Air с по-бърз M3 чип | Наркозависими

И накрая, 1Password има и вид ключ за достъп обявявам, наречен от тях „Универсален вход“. Тъй като те твърдят, че поддържат всяка операционна система, предполагам, че личните ключове няма да бъдат в защитени джобове на устройствата във всички случаи, което би могло да улесни кражбата (но това не е по-различно от паролите в „нормален“ мениджър на пароли като KeePass или текущата 1Password). Въпросът обаче е дали всички уебсайтове ще поддържат пароли, като частните ключове са потенциално по-малко сигурни. Докато сте влезли, уебсайтовете могат да попитат (чрез WebAuthn) колко сигурно е съхраняването на частния ключ, напр. „не се експортира“ на машинен ключ FIDO2.

Ключовете за достъп изглеждат добре, но има доста препятствия (и не споменах всички опасности, за които знам по-горе).

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *