Sekojiet ZDNET: Pievienojiet mūs kā vēlamo avotu Google tīklā.
ZDNET galvenās atziņas
- Dashlane tagad ļauj pieteikties savā paroļu pārvaldniekā ar bezparoles piekļuves atslēgu.
- Šī funkcija ir balstīta uz standarta projektu no World Broad Net Consortium.
- Paredzams, ka tas darbosies Dashlane mobilajā versijā tikai nākamā gada sākumā.
Lielākā daļa kiberdrošības pārkāpumu, no kuriem daudzi izraisa konfidenciālas informācijas izfiltrēšanu vai finansiālus zaudējumus, sākas ar paroles pikšķerēšanas krāpniecību.
Pētījumi rāda ka 98% galalietotāju turpina kļūt par pikšķerētāju upuriem, neskatoties uz apmācību kiberdrošības jomā. Vienīgā atbilde uz pikšķerēšanas postu ir visas nozares centieni atbrīvoties no parolēm (kas ir vai nav izrotātas ar otrā faktora kodiem) kā primāro autentifikācijas līdzekli vietnēs, lietotnēs un citos tiešsaistes pakalpojumos (kopā sauktas par “atkarīgajām pusēm”).
Arī: Kā darbojas piekļuves atslēgas: pilnīgs ceļvedis par jūsu neizbēgamo bezparoles nākotni
Un tas ir tas, ko FIDO Alliance bezparoles piekļuves atslēgas standarts Viss ir par: piedāvājot jaunu, drošu pieteikšanās veidu, kas neprasa noslēpumu, piemēram, paroli, kā daļu no tipiskas autentifikācijas darbplūsmas. (Skatiet ZDNET sēriju par to, kā darbojas piekļuves atslēgas.) Loģika ir šāda: ja nav paroles, ko kopīgot ar likumīgu paļaujas pusi, tad nav paroles, ko nejauši kopīgot ar pikšķerētājiem un citiem sociālajiem inženieriem.
Problēma atrisināta. vai ne? Nu, sava veida.
Akreditācijas datu pārvaldības pēdējā jūdze
Lai izmantotu piekļuves atslēgas, jums būs nepieciešams arī sarunu biedrs, piemēram, paroļu pārvaldnieks, lai veiktu to izveidi, drošu glabāšanu un prezentāciju (pieteikšanās laikā). Vēsturiski tas ir radījis neatrisināmu vistas un olu paradoksu, kad runa ir par pieteikšanos pašā paroļu pārvaldniekā. Ja jums ir jāpiesakās savā paroļu pārvaldniekā, lai jūs varētu pieteikties visā pārējā bez paroles, kā ir iespējama bezparoles pieteikšanās paroļu pārvaldniekā bez šī paroļu pārvaldnieka palīdzības? Galu galā jūs neesat tajā pieteicies. Un, ja ir kāda parole, par kuru jūs nekad nevēlaties iegūt pikšķerēšanu, tā ir jūsu paroļu pārvaldnieka parole — sakāmvārda atslēga uz valstību.
Lai gan šī pēdējā neaizsargātā akreditācijas datu pārvaldības jūdze ir tehniski risināta ar ierosināto paplašinājumu (WebAuthn PRF) uz World Broad Net Consortium standartu (WebAuthn: viens no galvenajiem piekļuves atslēgas standarta veidošanas blokiem), standarta projekts vēl ir plaši jāiekļauj trešo pušu starpplatformu paroļu pārvaldniekos, kas ir pilnībā ieviesti bez paroles.
BitWarden ir viens no standarta piekritēji savā paroļu pārvaldniekā (šeit ir video parādot to darbībā), un paroļu pārvaldnieks pārlūkā Google Chrome tuvina koncepciju, kad lietotāji aktivizē Google papildu aizsardzības programma).
Tagad Dashlane ir sadarbojies ar Yubico, lai pievienotos WebAuthn PRF saderīgo paroļu pārvaldnieku sarakstam, lai novērstu vajadzību pēc galvenās paroles, piesakoties tā paša vārda paroļu pārvaldības lietojumprogrammā.
Izklausās pēc voodoo. Kā tas darbojas?
Runājot par trešo pušu paroļu pārvaldības risinājumiem (ko WebAuthn un piekļuves atslēgas standarti oficiāli dēvē par virtuālie autentifikatori), lietotāja parolei savam paroļu pārvaldniekam faktiski ir divi mērķi. Kā tas bieži notiek ar daudzām citām atkarīgajām pusēm (īpaši tādām, kuras vēl neatbalsta piekļuves atslēgas), parole kalpo par pamatu, lai pieteiktos lietotāja paroļu pārvaldības kontā.
Turklāt lielākajā daļā paroļu pārvaldnieku lietotāja galvenā parole ir slepena materiāla daļa, kas arī spēlē lomu algoritmos, ko izmanto, lai unikāli šifrētu un atšifrētu lietotāja paroļu pārvaldības glabātuvi. (Šis ir īpašs programmatūras konteiners, kurā droši tiek glabāti lietotāja dažādie vietņu un lietotņu akreditācijas dati — un dažreiz arī citi sensitīvi noslēpumi, piemēram, kredītkaršu numuri.) Lai kur šī glabātuve atrodas — jebkurā no jūsu ierīcēm vai paroļu pārvaldnieka mākonī, tā atrodas šifrētā veidā. Vienīgais veids, kā to atšifrēt, jo īpaši, ja ierīce pirmo reizi sāk palaist paroļu pārvaldnieku kā sava veida fona uzdevumu, ir paroles pārvaldnieka galvenā parole. Tas ir viens no iemesliem, kāpēc jūsu glabātuve ir aizsargāta no hakeriem, kad jūsu paroļu pārvaldnieks sinhronizē glabātuvi ar mākoni, lai sinhronizētu to ar citām jūsu ierīcēm. Lai kur tas atrastos šifrētā veidā, hakeriem tas ir bezjēdzīgi.
Arī: Labākie paroļu pārvaldnieki: Eksperts pārbaudīts
Tādējādi paroles atmešana par labu bezparoles piekļuves atslēgai kā pamats autentifikācijai ar paroļu pārvaldnieku faktiski rada divas tehniskas problēmas:
- Jābūt iespējai atsaukt paroļu pārvaldnieka ieejas atslēgu bez paša paroļu pārvaldnieka saziņas.
- Jūsu parole ir jāaizstāj ar citu unikālu un nepikšķerējamu noslēpumu, kas ir konfidenciāla sastāvdaļa glabātuves šifrēšanai un atšifrēšanai.
Ievadiet Yubico’s Yubikey. Vairākus šīs populārās drošības atslēgas modeļus var savienot ar jūsu ierīcēm, izmantojot USB vai, dažu modeļu gadījumā, izmantojot bezvadu tuva lauka sakaru (NFC) standartu (tas pats nozares bezvadu tuvuma standarts, kas ļauj pieskarties tirdzniecības vietas kredītkartes terminālim ar savu kredītkarti vai viedtālruni).
Yubico YubiKey 5C NFC ir iespējots USB-C un bezvadu NFC savienojumam ar galddatoriem, klēpjdatoriem un mobilajām ierīcēm.
Yubico
WebAuthn PRF specifikācija nosaka nozares standarta metodi, ar kuru tiek izmantota fiziska ar FIDO2 saderīga drošības atslēga (oficiāli aprakstīta kā viesabonēšanas autentifikators ar WebAuthn standartu) var pārņemt abas lomas; vispirms kā atsevišķs un drošs ieejas atslēgas konteiners, ko izmantosit, lai pieteiktos savā paroļu pārvaldniekā (tādējādi atrisinot galveno vistas un olu paradoksu), un, otrkārt, kā unikāla un slepena materiāla avots, no kura tiek iegūta šī piekļuves atslēga un atslēgas jūsu glabātuves šifrēšanai un atšifrēšanai.
Arī: labākās drošības atslēgas: ekspertu pārbaudīts
Līdzīgi kā Drošie anklāvi, kas atrodami visās Apple ierīcēs, un uzticamie platformas moduļi (TPM), kas atrodami aparatūrā, kurā darbojas operētājsistēma Home windows, Linux un Android, katrs YubiKey ir unikāli kodēts ar slepenu informāciju, kas to atšķir no citiem YubiKey (kā arī no citiem ar FiDO2 saderīgiem viesabonēšanas autentifikatoriem, piemēram, Google Titāni). Citiem vārdiem sakot, nav divu vienādu viesabonēšanas autentifikatoru.
Kad esat noņēmis paroli savam paroļu pārvaldniekam un ņemot vērā to, kā jūsu paroļu pārvaldnieka piekļuves atslēga, kā arī glabātuves šifrēšanas un atšifrēšanas atslēgas ir iegūtas no šī slepenā materiāla, jūs nevarat pieteikties savā paroļu pārvaldniekā vai atšifrēt savu glabātuvi, iepriekš nepievienojot to pašu fizisko viesabonēšanas autentifikatoru savai ierīcei. Šī iemesla dēļ, tiklīdz izvēlaties izmantot viesabonēšanas autentifikatoru, lai pieteiktos savā paroļu pārvaldniekā, draudu dalībnieki vairs nevarēs pikšķerēt vai citādi sociāli nodrošināt jums paroļu pārvaldnieka akreditācijas datus. Neviens — ne viņi, ne jūs — nevar pieteikties, ja fiziskajā īpašumā nav jūsu viesabonēšanas autentifikatora.
Wager tur ir aizķeršanās vai divas
Kamēr WebAuth PRF saderīgie paroļu pārvaldnieki beidzot atrisina šo pēdējo neaizsargāto jūdzi, ir divas problēmas, no kurām viena praktiski novērš iespēju, ka jūs šodien veiksit pāreju.
Pirmā un acīmredzamākā no šīm problēmām ir saistīta ar iespēju, ka varat pazaudēt savu viesabonēšanas autentifikatoru. Ja jums ir tikai viens viesabonēšanas autentifikators un jūs to pazaudēsit, jūs zaudēsit arī piekļuvi visiem bezparoles kontiem, tostarp paroļu pārvaldnieka kontiem, kuru piekļuves atslēgas tika saglabātas šajā ierīcē.
Tāpat: es atsakos no paroles piekļuves atslēgām viena iemesla dēļ — un tas nav tas, ko jūs domājat
Par laimi, WebAuth PRF standarta darbības veidā ir iespējams izmantot pirmo viesabonēšanas autentifikatoru, lai inicializētu vienu vai vairākus rezerves viesabonēšanas autentifikatorus, lai pasargātu sevi no jebkura no tiem zaudēšanas. Tāpēc ne tikai ieteicams izmantot rezerves viesabonēšanas autentifikatorus. Tas ir obligāti. Bez šādas dublēšanas nav tādas automātiskas atkopšanas rutīnas kā tā, kas pastāv, ja pazaudējat vai aizmirstat paroles pārvaldnieka paroli.
“Jums ir jāiestata papildu atslēga,” ZDNET sacīja Dashlane produktu inovāciju direktors Rew Islam. “Tu [stow] šo taustiņu, kur vien vēlaties, vai pat dodieties ar vairākiem [roaming authenticators]Saskaņā ar islāmu, ja Dashlane piedāvātu atkopšanas darbplūsmu, kas ietvertu slepenu frāzi vai e-pastu, tas pilnībā atceltu WebAuthn saderīgās pieejas, izmantojot YubiKey, pikšķerēšanas drošumu.
Tāpat: jūsu piekļuves atslēgas var būt neaizsargātas pret uzbrukumiem, un ikvienam, tostarp jums, ir jārīkojas
“Ja mēs garantējām 100% jūsu konta pieejamību, tad burtiski nav nekādas drošības,” sacīja islāms. Norādot, ka lielākā daļa šādu automatizēto atkopšanas mehānismu ir neaizsargāti pret sociālo inženieriju, Islāms sacīja: “Es varu piekļūt jūsu kontam.”
Tomēr rezerves viesabonēšanas autentifikatoru pārvaldību ir vieglāk pateikt, nekā izdarīt. Piemēram, pieņemsim, ka dodaties ceļojumā un nevarat zaudēt piekļuvi savam paroļu pārvaldniekam, kamēr esat promenade. Cik daudz viesabonēšanas autentifikatoru jums vajadzētu ņemt līdzi, un kāda ir jūsu stratēģija to glabāšanai, lai viena zaudēšana nebūtu saistīta arī ar citu? Šīs ir lietas, par kurām jums nav jādomā, izmantojot atkopjamu, kaut arī pikšķerējamu paroli.
Ja tas nav pietiekami, lai dotu jums iemeslu pauzei, būs otrs gotcha.
Trūkumi: iOS un Android atbalsts
Viesabonēšanas autentifikatora ideja ir tāda, ka pēc tā iestatīšanas varat to “viesabonēt” uz jebkuru no savām ierīcēm. Piemēram, tam pašam viesabonēšanas autentifikatoram vajadzētu ļaut jums pieteikties paroļu pārvaldniekā no viedtālruņa, kā arī piezīmjdatora. Galu galā tas būs nepieciešams, lai pieteiktos visos savos dažādos kontos no abām ierīcēm. Diemžēl mūsdienās, runājot par WebAuth PRF atbilstību, ir nepilnības attiecībā uz standarta projekta atbalstu operētājsistēmās iOS un Android.
“Kad ir šie standarti, mums jāgaida, kamēr platformas izlems, ko ar tām darīt. Piekļuves atslēgas ir veiksmīgas, jo Microsoft, Google un Apple parakstījās, lai tās ieviestu; ieviešot šīs lietas savās sistēmās, operētājsistēmās, pārlūkprogrammās,” sacīja Islams. “Wager tas nenozīmē, ka viņiem ir jāīsteno katra specifikācijas daļa. Tātad, kas ir noticis? Ieslēgts [iOS] un Android, daži no santehnikas priekš [roaming authenticator] atbalsta vienkārši trūkst.”
Tāpat: šis jaunais kiberuzbrukums liek jums uzlauzt sevi. Lūk, kā to pamanīt
Islāms sagaida, ka, izmantojot dažus jaunus programmatūras izstrādes komplektus (SDK), ko piedāvā Yubico, nepilnības tiks aizpildītas līdz nākamā gada sākumam. Wager pagaidām, ja jums ir nepieciešama piekļuve Dashlane mobilajā ierīcē, tagad nav piemērots laiks, lai pārveidotu paroļu pārvaldnieka konfigurāciju bez paroles. Course of, vismaz attiecībā uz Dashlane, ir neatgriezenisks.
“Mēs zinām, ka tas rada situāciju, kas nav īsti ērta,” sacīja Islams, kurš norādīja, ka jaunais solis joprojām ir nepieciešams, lai virzītu WebAuthn PRF standarta pārņemšanu visā nozarē. “Mums ir vajadzīgs šis diskomforts, lai virzītu noteiktas lietas [in the industry forward]. Tātad tas bija stratēģisks lēmums. Tagad tā ir tikai gaidīšanas spēle.”
Esiet priekšā drošības jaunumiem ar Tech In the present daykas tiek piegādāts jūsu iesūtnē katru rītu.
