Opet, neuspjeh mašte, ako zamislite da je curenje ključa jedini način da zajebete proces.
Moraju implementirati API kako bi upravitelju lozinki treće strane omogućili presretanje pohrane privatnog ključa ili dopustite dodatku treće strane da bude potpuni autentifikator - Stvorite par ključeva, potpišite tvrdnju, provjeru korisnika, itd.
Ako Apple dopušta samo pohranjivanje privatnih ključeva u iCloud, teško ću preporučiti pristupne ključeve skupini korisnika koji koriste iPhone i Windows računala. Ti će ljudi zapeti u generiranju jedne zaporke po ekosustavu i/ili u nadi da će oporavak računa uspjeti.
Klijent Zlonamjerni poslužitelj <> Prava aplikacija
Zlonamjerni poslužitelj kontaktira aplikaciju u ime klijenta, traži potpis od klijenta i zatim ga šalje natrag aplikaciji. Za to im ne treba privatni ključ, samo im treba aplikacija da zatraži ključ i da klijent odgovori točnim ključem. Ovaj mehanizam može se, do određene mjere, ublažiti na strani poslužitelja, ali to se odnosi na lozinke i zaporke.
Vrsta krađe identiteta koju ovo sprječava je web-mjesto za prikupljanje statičkih vjerodajnica koje se pretvara da je stranica za prijavu, ali zapravo ništa ne prenosi na stvarno web-mjesto. I to također promašuje poantu vašeg sljedećeg paragrafa.
"Point of Use" je u stvarnom vremenu. Replay napadi su rijetki i mogu se ublažiti na strani web-aplikacije. Punjenje vjerodajnicama nije "točka upotrebe" - koristi se kad god ga napadač želi koristiti, a ne klijent.
Phishing je definitivno raširen, nikad se nije reklo da nije. Kažem da kod sigurnosnih kopija lozinki pristupni ključevi ne pomažu u ublažavanju spomenutih phishing napada jer sigurnosna kopija postaje žrtva iste metodologije napada kao i stari mehanizam provjere autentičnosti.
Nacionalne države definitivno ciljaju tehničku podršku pretvarajući se da su zaposlenici za resetiranje uređaja/MFA. Dakle, nemam pojma o čemu se ovdje radi.
Bio sam potpuno svjestan da si sarkastičan. Odgovarao sam zajedljivo jer nitko nije pokazao plan za uklanjanje lozinki (do stranice 14).
Moraju implementirati API kako bi upravitelju lozinki treće strane omogućili presretanje pohrane privatnog ključa ili dopustite dodatku treće strane da bude potpuni autentifikator - Stvorite par ključeva, potpišite tvrdnju, provjeru korisnika, itd.
Ako Apple dopušta samo pohranjivanje privatnih ključeva u iCloud, teško ću preporučiti pristupne ključeve skupini korisnika koji koriste iPhone i Windows računala. Ti će ljudi zapeti u generiranju jedne zaporke po ekosustavu i/ili u nadi da će oporavak računa uspjeti.
Da, tako se moj Houzz račun može prijaviti samo putem mog Mac/iPhonea, a ne mog Windows uređaja :/
Jer kada klijent potpisuje stvari, traži FIDO2 autentifikator na temelju MITM domene. Ako ga nema, nećete dobiti FIDO2 autentifikaciju. Ako ima FIDO2 autentifikaciju, još uvijek neće odgovarati onoj koju pravi poslužitelj očekuje, jer dobro, ima vlastitu domenu. Dakle, javni ključ koji ima neće odgovarati privatnom ključu koji se koristi za potpisivanje stvari.
Stoga dodajte svoj Windows uređaj koristeći Windows Hello. Svi Edge, Firefox i Chrome to podržavaju. To je jedna od rijetkih stvari u kojima je Firefox dorastao - podržava tipke specifične za platformu koristeći Windows Hello. Interoperabilnost među preglednicima ipak nije zajamčena.
I to je ono što vam pokušavam objasniti: bilo bi lako autentificirati se s postojećim uređajem i koristiti ga uređaj za dodavanje drugog javnog ključa, koji se generira na drugom, novom uređaju i šalje na stari uređaj od strane nekih sredstva. Na primjer, mogao bih stvoriti novi tajni ključ / par ključeva javnog ključa na svom stolnom računalu, poslati javni ključ na svoje prijenosno računalo, prijaviti se sa svojim prijenosnim računalom i dodati javni ključ stolnog računala. Stalno radim slične stvari sa SSH-om.
Ovdje nema tehničkih prepreka. Ako to nije moguće s pristupnim ključevima, onda je to po izboru.
Uz iznimku androida, gotovo sam se usrao s Googleom iz svog života. Moj jedini razlog za Google račun su aplikacije i ažuriranja trgovine Play. To je to.
Klijent Zlonamjerni poslužitelj <> Prava aplikacija
Zlonamjerni poslužitelj kontaktira aplikaciju u ime klijenta, traži potpis od klijenta i zatim ga šalje natrag aplikaciji. Za to im ne treba privatni ključ, samo im treba aplikacija da zatraži ključ i da klijent odgovori točnim ključem. Ovaj mehanizam može se, do određene mjere, ublažiti na strani poslužitelja, ali to se odnosi na lozinke i zaporke.
Čak i ako imate drugačiji pristupni ključ za zlonamjerni poslužitelj, potpisat ćete tvrdnju s nonce zlonamjernog poslužitelja, što će Prava aplikacija odbiti jer ima drugačiji javni ključ.
Velik dio sigurnosti ovoga dolazi iz činjenice da se parovi ključeva nikada ne koriste ponovno - uvijek se generiraju novi za svaki poslužitelj.
FIDO protokoli koriste standardne tehnike kriptografije s javnim ključem kako bi pružili jaču autentifikaciju i osmišljeni su od temelja za zaštitu privatnosti korisnika.
fidoalliance.org
"Uređaj koristi identifikator korisničkog računa koji pruža usluga za odabir ispravnog ključa i potpisivanje izazova usluge."
Daje li identifikator usluga ili ga čita klijent? Jer ako radi kako kažete, onda da, slažem se, ali u FIDO-ovoj dokumentaciji shvatio sam da to znači da usluga šalje podatke za koji ključ treba koristiti -- u kojem bi slučaju MITM i dalje radio.
Usput, isprobao sam demo na passkeys.io, i Firefox i Vivaldi na Manjaru žele da uključim sigurnosni ključ. Nisam siguran je li to ograničenje preglednika ili demonstracije.
Hvala vam! Ovo bi trebalo biti u člancima koji govore o pristupnim ključevima, a ne na 14. stranici odjeljka za komentare.
Ne koristim Windows Hello jer je to stolno računalo i ne koristim web kameru.
Sada kada imate informacije, hoćete li objaviti kako je vaše vikanje bilo pogrešno ili pogrešno informirano?
Windows Hello može koristiti PIN, skener otiska prsta (čak i USB, imam par njih koji lebde oko mene preuzeti s Amazona za 25 AU po komadu ili tako nešto), ili hardverski ključ (tako da dolazi do neke redundancije na... umjesto izravnog korištenja hardverskog ključa...)
Zapravo već neko vrijeme pokušavam pronaći specifikacije putem Googlea, ali bezuspješno. Vjerojatno zato što u specifikacijama nedostaje SEO i nijedan post na blogu ne spominje specifikacije.
FIDO protokoli koriste standardne tehnike kriptografije s javnim ključem kako bi pružili jaču autentifikaciju i osmišljeni su od temelja za zaštitu privatnosti korisnika.
fidoalliance.org
"Uređaj koristi identifikator korisničkog računa koji pruža usluga za odabir ispravnog ključa i potpisivanje izazova usluge."
Daje li identifikator usluga ili ga čita klijent? Jer ako radi kako kažete, onda da, slažem se, ali u FIDO-ovoj dokumentaciji shvatio sam da to znači da usluga šalje podatke za koji ključ treba koristiti -- u kojem bi slučaju MITM i dalje radio.
Temelji li se to na nagađanjima ili možete ukazati na nešto iz FIDO-a što podupire vaše tvrdnje da je privatni ključ dostupan tijekom autentifikacije i registracije? Način na koji čitam specifikacije WebAuthna, vaš post koji dobiva pozitivne glasove, 100% je pogrešan. Način na koji sam pročitao specifikacije, telefon ili drugi uređaj koji pohranjuje privatni ključ jednostavno dokazuje da ima privatni ključ (možda tako da odgovori na zahtjev dobavljača s vašim javnim ključem?). Jedina stvar koju poslužitelj dobiva iz transakcije je neka vrsta kriptografske potvrde da je privatni ključ valjan. Privatni ključ ostaje 100% na uređaju tijekom ove transakcije. Ovo je način na koji se autentifikacija odvija bez da privatni ključ ikada napusti uređaj (osim kao što je već navedeno kao E2EE blob sinkroniziran s korisnikovim pouzdanim uređajima).
Zapravo već neko vrijeme pokušavam pronaći specifikacije putem Googlea, ali bezuspješno. Vjerojatno zato što u specifikacijama nedostaje SEO i nijedan post na blogu ne spominje specifikacije.
Dobro je što FIDO2 autentifikatori nisu USB uređaji za pohranu. Mislim da su USB-HID. Čini se da onaj koji je trenutno priključen na moje prijenosno računalo sigurno jest.
Zapravo već neko vrijeme pokušavam pronaći specifikacije putem Googlea, ali bezuspješno. Vjerojatno zato što u specifikacijama nedostaje SEO i nijedan post na blogu ne spominje specifikacije.
Zašto bi sigurnosnu specifikaciju dizajnirali na taj način? Ozbiljno? Stotine ljudi u brojnim velikim internetskim korporacijama godinama su radile na tome, ali evo Jarrexa s interneta koji mogu uočiti problem, čak i bez čitanja bilo kojeg dokumenta (jer ih nisu mogli pronaći pretraživanjem motor).
Super, nisam znao da PIN radi. Mislio sam da je Hello uvijek vezan za biometriju, koju nisam imao na ovom računalu.
Nisam siguran da pratim - ako zlonamjerni poslužitelj uzme aplikaciju jednokratno, prosljeđuje je klijentu (jer se pretvara da je zlonamjerni poslužitelj), a zatim uzima odgovor klijentovog potpisa i prosljeđuje ga aplikaciji, što sprječava da se to dogodi u vašem scenarij? U scenariju zlonamjerni poslužitelj ne treba privatni ključ (ne mora ništa potpisati), samo treba odigrati prijenos između klijenta i aplikacije.
Ovdje ću vas zaustaviti. Za milijun i prvi put, ako Google i Microsoft i Google i 1Password et al. sve izbriše vaš pristupni ključ, JEDNOSTAVNO SE PRIJAVITE NA SVOJ GOOGLE RAČUN KORIŠĆENJEM SVOJE LOZINKE. Bez obzira na rizik od zaključavanja koji ste prethodno imali korištenjem lozinki isti je rizik s kojim se susrećete kada spremite pristupni ključ. Apsolutno je nula povećanja. Molim te prestani ponavljati gluposti.
Sada kada ste kritizirali loš SEO specifikacije WebAuthn, hoćete li, molim vas, reći planirate li se javno ispraviti?
Hm, upravo sam pregledao sve članke i nijedan od njih ne objašnjava kako to sprječava MITM napade. Ako imam web stranicu i prevarim vas da je posjetite, ne vidim nijedan razlog zašto ne bi bila podložna MITM napadima.
