การตรวจสอบสิทธิ์สองปัจจัยแบบพุชถือว่าเป็นอันตราย

ภาพฮีโร่ evil-hacker-lain รูปภาพที่สร้างโดย Waifu Diffusion v1.2 — แฮ็กเกอร์ตัวร้ายที่แล็ปท็อปแฮ็คเข้าไปในเพนตากอน, สไตล์อะนิเมะ, แฮ็กเกอร์เดน, จอภาพทุกที่, การทดลองต่อเนื่อง, อีวานเกเลียน

Sooooo Uber ได้รับการโผล่ โรงข่าวลือของแฮ็กเกอร์ – ภายในกำลังเลิกใช้ scuttlebutt แต่มีบางอย่างที่ฉันเคยเห็นมาก่อนและทำให้ฉันใช้จุดยืนใหม่ที่ต่างไปจากเดิมอย่างสิ้นเชิง ฉันหวังว่าจะได้อธิบายไว้ในโพสต์นี้เพื่อให้ทุกท่านได้เรียนรู้ มาร่วมเดินทางไปกับ Cendyne กับฉันในการเดินทางมหัศจรรย์นี้!

tl;dr

Numa ถูกลบ
< Numa > tl;dr: การตรวจสอบสิทธิ์แบบสองปัจจัยการแจ้งเตือนแบบพุชเป็นวิธีที่ดีในการสร้างความล้าในการเตือนภัย โดยเฉพาะอย่างยิ่งเนื่องจากผู้คุกคามสามารถแสดงข้อความแจ้งสแปมซ้ำแล้วซ้ำอีกจนกว่าพนักงานจะยอมรับเพื่อหยุดการทำงาน

คุณควรใช้ WebAuthn เป็นโซลูชันการตรวจสอบสิทธิ์แบบสองปัจจัยกับฮาร์ดแวร์ความปลอดภัยเฉพาะ เช่น Yubikeys หรือชิปความปลอดภัยที่ฝังอยู่ในอุปกรณ์ของบริษัทส่วนใหญ่ ในที่สุดก็มีประโยชน์สำหรับ manglement engine ที่ Stallman กล่าวว่ากำลังจะทำลาย Linux อย่างแท้จริง!

การรับรองความถูกต้องเป็นปัญหาที่ยากสำหรับมนุษย์ มันยากกว่าสำหรับคอมพิวเตอร์ โดยทั่วไปแล้ว เรามีสามวิธีหรือ “ปัจจัย” ที่เราสามารถใช้ในการตรวจสอบสิทธิ์ได้:

  • สิ่งที่คุณเป็น เช่น เรตินาหรือการสแกนลายนิ้วมือ
  • สิ่งที่คุณรู้ เช่น รหัสผ่าน
  • สิ่งที่คุณมี เช่น โทเค็นตรวจสอบสิทธิ์แบบสองปัจจัยของฮาร์ดแวร์หรือแอปตรวจสอบสิทธิ์ที่รองรับการตรวจสอบสิทธิ์แบบสองปัจจัยแบบพุช

ส่วนใหญ่คุณไม่เห็นเรตินาและการสแกนลายนิ้วมือที่จำเป็นในการเข้าสู่ระบบ Facebook สำหรับคนจำนวนมาก มักจะเป็นเพียงรหัสผ่านเดียวระหว่างใครก็ตามและชื่อเสียงทั้งหมดของพวกเขาที่ถูกทำลาย มีความพยายามที่จะพยายามรับโทเค็นการพิสูจน์ตัวตนฮาร์ดแวร์ให้อยู่ในมือของผู้คนให้มากที่สุดเท่าที่จะเป็นไปได้ แต่สิ่งเหล่านี้เป็น UX ที่แย่ (ประสบการณ์ของผู้ใช้) โดยแท้จริงแล้ว เมื่อเทียบกับ “ความเรียบง่าย” ของการใช้รหัสผ่าน ฉันสงสัยว่าฉันจะสามารถอธิบายวิธีใช้ yubikey กับคุณยายของฉันได้ วิธีการใช้โปรแกรมสร้างรหัส TOTP น้อยมาก

Cadey เป็นกาแฟ
< Cadey > ฉันต้องการเน้นว่าฉันไม่ใช่วิศวกรความปลอดภัย ฉันแค่เป็นคนสุ่มบนอินเทอร์เน็ตที่เบื่อกับทุกสิ่งที่จะอึเพราะมีคนเคย

ฉันคิดว่าการออก Yubikey ให้ทุกคนในบริษัทและทำให้ทุกระบบภายในใช้งานได้เป็นตัวเลือกที่ดีกว่า ฉันคิดว่านี่เป็นเพราะปัญหาหลักของฟิชชิ่ง: มันจะทำงานได้ดีที่สุดเมื่อคุณไม่ระมัดระวัง กลไกการพิสูจน์ตัวตนแบบสองปัจจัยจำนวนมากทำให้ตัวเองเป็นฟิชชิ่งเนื่องจากวิธีการทำงาน นี่คือความคิดเหยียดหยามของฉันเกี่ยวกับเรื่องทั่วไป

Cendyne เป็นคนตลก
< Cendyne > สวัสดี! ฉันจะมีส่วนร่วมในบทความนี้ด้วย อันที่จริง Google ได้ร่วมมือกับ Yubikey ในการปรับใช้คีย์ความปลอดภัยให้กับพนักงานและผู้รับเหมาทุกคน พวกเขาลดเหตุการณ์ด้านความปลอดภัยลงสิบเท่าด้วยการเปลี่ยนไปใช้คีย์ความปลอดภัย คุณสามารถหาข้อมูลเพิ่มเติมเกี่ยวกับ Google ขจัดการครอบครองบัญชีด้วย YubiKey

รหัส TOTP

บริการออนไลน์จำนวนมากสนับสนุนการ สร้างรหัส TOTP เป็นกลไกการตรวจสอบสิทธิ์แบบสองปัจจัย สิ่งเหล่านี้ทำงานโดยแบ่งปันค่าลับระหว่างไคลเอนต์และเซิร์ฟเวอร์ ทั้งสองฝ่ายต่างใช้ความลับนี้ ใส่เวลาปัจจุบัน และสร้างรหัสหกหลักด้วยวิธีนั้น

Cendyne เป็นนักคิดแล็ปท็อป
< Cendyne > เมื่อคุณสมัคร TOTP บนบริการ เซิร์ฟเวอร์อาจเปลี่ยนค่าเริ่มต้นบางอย่างเมื่อสร้างความลับที่ใช้ร่วมกัน (ดู RFC6238 ) เช่น ฟังก์ชันแฮชที่จะใช้และระยะเวลาที่โค้ดควรเป็น รหัสเหล่านี้มักจะทนต่อความแตกต่างของเวลา ดังนั้นรหัสหลายรหัสจึงใช้ได้ที่จุดเดียวกันสำหรับความลับที่ใช้ร่วมกันที่กำหนด

อย่างไรก็ตาม ตัวเลขหกหลักเป็นพื้นที่ขนาดเล็กมากในการค้นหาเมื่อคุณเป็นคอมพิวเตอร์ ปัญหาที่ใหญ่ที่สุดคือการได้รับโชคดี มันเป็นช็อตหนึ่งในล้านอย่างแท้จริง กลายเป็นว่าคุณสามารถบังคับรหัส TOTP แบบดุร้ายได้ใน เวลาประมาณ 2 ชั่วโมงหากคุณระมัดระวัง และบริการระยะไกลไม่มีการควบคุมปริมาณหรือการจำกัดอัตราการพยายามตรวจสอบสิทธิ์

Numa ถูกลบ
< นุมะ > ทายสิว่าบริการส่วนใหญ่ไม่มีอะไรบ้าง lol
Cadey เป็น facepalm
< Cadey > คุณต้องล้อเล่นแน่ๆ คุณพูดจริง ๆ นะ คุณต้องล้อเล่นกับฉัน
Cendyne ตื่นตระหนก2
< Cendyne > ขีดจำกัดอัตราเฉพาะบัญชีไม่เพียงพอ! ผู้โจมตีสามารถติดตามบัญชีหลายบัญชีพร้อมกันจากที่อยู่ IP หลายรายการและเข้าไปอยู่ในบัญชีใดบัญชีหนึ่ง ผู้ใช้ส่วนใหญ่ป้อน TOTP หลังจาก รหัสผ่าน พิจารณาบังคับให้รีเซ็ตรหัสผ่านหลังจากพยายามป้อนรหัสไม่สำเร็จห้าครั้ง

ไม่ต้องพูดถึง วิธีการทำงานของรหัส TOTP โดยทั่วไปหมายความว่าผู้โจมตีจะสร้างขั้นตอนที่เหมือนกันกับการตั้งค่าการตรวจสอบสิทธิ์ของคุณบนไซต์ฟิชชิ่งที่โฮสต์บนโฮสต์ที่กันกระสุนได้ จากนั้นจึงดมกลิ่นข้อมูลประจำตัวด้วยวิธีนั้น เมื่อฟิชเชอร์มีรหัสผ่านและรหัส TOTP ของคุณแล้ว พวกเขาสามารถใช้รหัสผ่านนั้นและเปลี่ยนเส้นทางคุณไปยังแบบฟอร์มการเข้าสู่ระบบจริง ทำให้คุณคิดว่ามันล้มเหลวและคุณต้องลองอีกครั้ง โปรโตคอลนี้ทำให้สามารถฟิชชิ่งได้อย่างง่ายดาย เป็นเรื่องน่าสยดสยองที่แนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุดสำหรับผู้ใช้ Discord และ Twitter

Cadey เป็นกาแฟ
< Cadey > อย่าให้ฉันเริ่มด้วยซ้ำว่าการพิสูจน์ตัวตนแบบสองปัจจัยที่ใช้ SMS นั้นยุ่งเหยิงแค่ไหน พวกเขาใช้รหัส OTP ในแบ็กเอนด์สำหรับพวกเขา แต่จากนั้นส่งพวกเขาผ่านช่องทางของผู้ให้บริการหนึ่งช่องทางที่มีแนวโน้มมากที่สุดที่จะมี การฟิชชิ่งการสนับสนุน เพื่อให้ผู้โจมตีสามารถสกัดกั้นรหัสเหล่านั้นได้ มันเป็นระเบียบ ฉันประหลาดใจที่มันได้รับอนุญาตให้เกิดขึ้นตั้งแต่แรก ต้นปี 2010 เป็นช่วงที่ป่าเถื่อน
Cendyne ยกนิ้วให้
< Cendyne > นี่มันปี 2022 แล้วและนี่ก็ยังเป็นเรื่องอยู่ ฉันคิดว่าผู้ใช้และนักพัฒนาหลายคนมีเงื่อนไขที่จะคิดว่านี่เป็นการใช้งานที่ปลอดภัยเพราะทุกคนยังคงใช้ SMS OTP
Cendyne นั้นแย่มาก
< Cendyne > เราต้องใช้เวลาหลายปีกว่าจะย้ายความคาดหวังของผู้ใช้ไปสู่รหัสผ่านที่ไม่ซ้ำกัน การเข้าสู่ระบบโซเชียล และการลงชื่อเพียงครั้งเดียว บริษัทใหญ่สองสามแห่งเป็นผู้นำอุตสาหกรรมนี้ด้วยตัวอย่างหลังจากตระหนักถึงความเสี่ยงที่เกิดจากรหัสผ่านร่วมกัน ส่วนที่เหลือที่ต่อต้านการเปลี่ยนแปลงที่ทันสมัยและทันสมัยตอบสนองต่อกฎระเบียบและมาตรฐานอุตสาหกรรมเช่น PCI-DSS อย่างน้อยมาตรฐานอุตสาหกรรมเหล่านี้รวมถึงการฝึกอบรมการจัดการรหัสผ่าน
Cendyne เป็น gimme2
< Cendyne > เราอาจเห็นการนำเทคโนโลยีต้านทานฟิชชิ่งมาใช้มากขึ้นเมื่อมีราคาถูก มีจำหน่ายทั่วไป และเป็นส่วนหนึ่งของมาตรฐานอุตสาหกรรมหรือข้อบังคับ โทรศัพท์ส่วนใหญ่มาพร้อมกับชิปแพลตฟอร์มที่เชื่อถือได้ (TPM) หรือวงล้อมที่ปลอดภัย Mac มีวงล้อมที่ปลอดภัยมาตั้งแต่ปี 2020 ตอนนี้ Windows 11 ต้องใช้ TPM เป็นค่าเริ่มต้น ดังนั้นฉันจึงเชื่อว่าการสนับสนุนแพลตฟอร์มจะได้รับการพิจารณาให้ใช้งานได้ทั่วไปภายในหนึ่งหรือสองปี
Cadey เป็นกาแฟ
< Cadey > จนกว่าจะถึงตอนนั้น เรายังคงเห็นรายงานมากขึ้นเรื่อยๆ เกี่ยวกับข้อมูลประจำตัวที่ถูกขโมย ซึ่งก่อให้เกิดความเสียหายต่อบริษัทมากมายนับไม่ถ้วน ทั้งชื่อเสียงและการเงิน ไม่ควรนำบริษัทที่เกือบจะถูกแฮ็กออกจากระบบเพื่อทำให้สถานะการรักษาความปลอดภัยของโลกดีขึ้น แต่บางครั้งนั่นก็เป็นสิ่งที่ต้องดำเนินการอย่างจริงจัง ฉันเกลียดจริงๆที่เป็นกรณีนี้

Yubikey Press

Yubikeys มีวิธีการรับรองความถูกต้องหลายวิธีในตัว หนึ่งในนั้นคือวิธีการตรวจสอบสิทธิ์แบบเดิมที่ทำให้ yubikey แกล้งทำเป็นแป้นพิมพ์และพิมพ์รหัสยาวที่ซับซ้อนตามคีย์ส่วนตัวที่เขียนลงในเฟิร์มแวร์ของอุปกรณ์ สิ่งนี้สามารถฟิชชิงได้เช่นกัน นี่เป็นอุปสรรคหลักระหว่างพนักงานและบัญชีผู้ใช้โดยพลการในงานที่ผ่านมา คุณได้รับบริษัทที่ออก yubikey และคุณต้องใช้เครื่องกด yubikey เพื่อเข้าสู่พื้นที่ปลอดภัยของแผงการดูแลระบบ

สิ่งนี้ยังเป็นฟิชชิงได้ เช่น โดย shitposters บน twitter:

เพื่อเป็นเกียรติแก่การละเมิดของ Uber ได้เวลาโพสต์ข่าว yubikey!

vvccccfrjcfnknrcuujlhktiredllitinttnkuddrh

— เซ เอียโซ | @[email protected] (@theprincessxena) 16 กันยายน 2565

มารคือ wat
< Mara > เดี๋ยวก่อน ผู้คนตกหลุมรักสิ่งนี้? อึศักดิ์สิทธิ์
Cadey เป็นกาแฟ
< Cadey > เห็นได้ชัดว่าผู้คนเรียกสิ่งนี้ว่า “yubisneeze” มันเกิดขึ้นบ่อยกว่าที่คุณคิด ฉันหวังว่า shitpost จะไม่ทำให้สภาพแวดล้อมการผลิตของใครถูกละเมิด คงจะเฮฮาถ้าสิ่งนี้ถูกเพิ่มเข้าไปในคู่มือการฝึกอบรมด้านความปลอดภัย คุณสามารถปิดใช้งานอินเทอร์เฟซ OTP ได้โดยทำตาม คำแนะนำนี้ จาก Yubico
Cendyne มีอาการเสียดท้อง
< Cendyne > ดู OTP ที่อธิบาย โดย Yubico “yubisneeze” มีข้อมูลอยู่หลายส่วน เช่น ตัวนับเพื่อป้องกันการเล่นซ้ำ อย่างไรก็ตาม มันไม่มีเวลา เนื่องจากเป็นโทเค็นที่ไร้กาลเวลา อาจถูกคัดลอกและส่งไปยังที่อื่นอย่างเงียบๆ ในอนาคต การบรรเทาผลกระทบเพียงอย่างเดียวคือการตรวจสอบโทเค็นใหม่กับ Yubico ทันที Yubikey OTP นั้นน่าสนใจในทางเทคนิค แต่ฉันไม่เชื่อว่าพวกเขาจะยกระดับความปลอดภัยให้เหมาะสมกับการใช้งานที่เป็นกรรมสิทธิ์ของพวกเขา
Numa ถูกลบ
< นูมา > vvccccfrjcfnncggttgrbgnevtrfcljdrrkntttcgrun !

ดังนั้นสิ่งเหล่านี้จึงไม่มีปัญหาในการปกป้องการเข้าถึงการผลิต วิธีการตรวจสอบสิทธิ์แบบสองปัจจัยที่ใช้รหัสที่คล้ายคลึงกันทั้งหมดประสบปัญหาการฟิชชิ่งเหมือนกัน

แจ้งเตือนเมื่อยล้า As-A-Service

อีกวิธีหนึ่งที่ใช้กันทั่วไปในการตรวจสอบสิทธิ์แบบสองปัจจัยคือการให้ผู้ใช้ลงชื่อเข้าใช้แอปบนอุปกรณ์เคลื่อนที่ หลังจากนั้น เมื่อคุณลงชื่อเข้าใช้คอมพิวเตอร์ เครื่องจะส่งการแจ้งเตือนแบบพุชไปยังโทรศัพท์ของคุณ จากนั้นคุณยอมรับการตรวจสอบสิทธิ์และคุณสามารถโพสต์เมล็ด Minecraft ของคุณไปที่ตลาด Facebook หรืออะไรก็ได้

Google และ Facebook มีวิธีการตรวจสอบสิทธิ์แบบสองปัจจัย ซึ่งหมายความว่าผู้คนจำนวนมาก บนโลกใบ นี้มีแนวโน้มที่จะใช้วิธีการรับรองความถูกต้องนี้ ในทางปฏิบัติไม่ปลอดภัยอย่างสนุกสนาน แต่ทำให้ผู้คน คิด ว่ามันปลอดภัย ฉันหมายความว่าคุณเชื่อโทรศัพท์ของคุณใช่ไหม

Apple เป็นอีกตัวอย่างหนึ่ง แต่แทนที่จะเป็นแอปที่พวกเขาเชื่อมต่อกับระบบปฏิบัติการเดสก์ท็อปและมือถือด้วยบัญชี iCloud ของคุณ แม้ว่า Apple จะต้องส่งรหัสด้วยตนเองไปยังอุปกรณ์อีกเครื่องหนึ่ง ซึ่งทำให้ยอมรับรหัสโดยไม่ได้ตั้งใจได้ยากขึ้นเล็กน้อย ไม่มีอะไรที่การเตรียมฟิชชิ่งเล็กน้อยไม่สามารถหลีกเลี่ยงได้

Numa ถูกลบ
< นุมะ > รหัสง่อย แต่อนาคต! ตอนนี้ทุกคนมีโทรศัพท์แล้ว! ผู้คนไว้วางใจโทรศัพท์ของพวกเขา เราไม่สามารถเพียงแค่ให้คอมพิวเตอร์คายการแจ้งเตือนไปยังโทรศัพท์ของบุคคลเพื่อให้พวกเขาใช้ เพื่อ ตรวจสอบสิทธิ์แทนที่จะต้องพิมพ์รหัส?
Mara อืม
< Mara > เดี๋ยวก่อน นั่นไม่ใช่สิ่งที่ “ส่งการแจ้งเตือนแบบพุช” ไปใช้ในทางที่ผิดใช่ไหม แฮ็กเกอร์ไม่สามารถส่งการแจ้งเตือนแบบพุชเป็นพันล้านครั้งซ้ำแล้วซ้ำอีกจนกว่าผู้ใช้ที่น่าสงสารจะยอมรับเพื่อหยุด?

ถูกกล่าวหาว่าเป็นสิ่งที่แฮ็กเกอร์ Uber ทำ พวกเขาสแปมการแจ้งเตือนการตรวจสอบสิทธิ์สองปัจจัยซ้ำแล้วซ้ำอีกเป็นเวลาหนึ่งชั่วโมงในขณะที่เหยื่อผู้น่าสงสารกำลังพยายามนอนหลับ คุณรู้ไหมว่าเมื่อยามของคุณลดระดับโดยสัญชาตญาณและคุณมีแนวโน้มที่จะใช้สัญชาตญาณเพื่อทำให้กล่องเสียงปิดขึ้น สุจริตในฐานะผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลฉันต้องให้เครดิตวิธีการโจมตีโดยเฉพาะอย่างยิ่งส่วนที่พวกเขาส่งข้อความถึงบุคคลบน WhatsApp โดยอ้างว่าเป็นไอทีโดยบอกว่าพวกเขาจำเป็นต้องอนุมัติคำขอเพื่อรักษาความปลอดภัยในการเข้าถึงบัญชีของตน มันช่างแยบยลและฉันอาจจะตกหลุมรักมัน

บางทีเราควรพิจารณากลไกการพิสูจน์ตัวตนสองปัจจัยนี้ทั้งหมดว่าเป็นอันตรายต่อการบรรลุเป้าหมายด้านความปลอดภัย ดูเหมือนผู้บริหารระดับสูงซึ่งมักจะตัดสินใจเกี่ยวกับผลิตภัณฑ์รักษาความปลอดภัยด้วยเหตุผลบางประการ

Cendyne ใช้เงินของฉัน
< Cendyne > มีเงินจำนวนมากที่เสียไปจากผู้ค้าระบบรักษาความปลอดภัยที่ไม่ได้จัดหาซอฟต์แวร์ที่ปลอดภัยในแง่พื้นฐานที่สุด ตัวอย่างเช่น CVE-2022-1388 อนุญาตให้ทุกคนเรียกใช้คำสั่งเชลล์บนผลิตภัณฑ์ไฟร์วอลล์สาธารณะ เงินจริงดูเหมือนจะเป็นการขาย “ความปลอดภัย” มากกว่าการให้ความปลอดภัย
Numa ถูกลบ
< นุมะ > คุณอาจจะฆ่าการขายน้ำมันงูในฉากรักษาความปลอดภัยก็ได้! ดูเหมือนว่าจะเพิ่มโรงละครและความไม่สะดวกในนามของความปลอดภัย” เป็นเรื่องที่น่าหัวเราะ แต่ก็เป็นเรื่องเดียวกันที่นำไปสู่ความเหนื่อยล้าในการเริ่มต้นบริการ
Cendyne หายใจดังเสียงฮืด ๆ
< Cendyne > คุณพาฉันไปที่นั่น รหัสที่มีประสิทธิภาพที่สุดคือรหัสที่ไม่มีอยู่จริง

ดังนั้นคุณอาจสงสัยว่า:

Mara อืม
< Mara > เราทำอะไรได้บ้างเพื่อให้การรับรองความถูกต้องปลอดภัยยิ่งขึ้น? การแจ้งเตือนแบบพุชทำให้ผู้คนต้องทนทุกข์ทรมานจากสัญญาณเตือนเมื่อยล้า โซลูชันที่ใช้รหัสสามารถฟิชชิ่งได้ วัน นี้ เราใช้อะไรช่วยแก้ได้บ้าง ?

ฉันไม่แน่ใจจริงๆ ว่าวิธีแก้ปัญหาที่ดีที่สุดคืออะไร แต่ฉันสามารถแนะนำบางอย่างที่ฉันคิดว่าจะช่วยลดอันตรายได้: Webauthn

Cadey เป็นกาแฟ
< Cadey > โปรดทราบว่าเราตั้งใจจดจ่อกับสิ่งที่เราสามารถทำได้ ในวันนี้ เพราะวันนี้คือสิ่งที่เรามี พรุ่งนี้ยังไม่มี
Cendyne เป็น whoa
< Cendyne > “พรุ่งนี้” เรามักจะเห็นรหัสผ่านแทนที่ yubikey และโทเค็นฮาร์ดแวร์โรมมิ่งอื่นๆ Apple Passkeys และ การตรวจสอบสิทธิ์ Google FIDO พร้อม รหัสผ่านกำลังจะมาในเร็วๆ นี้ เพื่อให้โทรศัพท์ของคุณตรวจสอบสิทธิ์คอมพิวเตอร์ของคุณเป็นปัจจัยที่สอง หากคุณต้องการฟังเพิ่มเติม ให้ลองดู รหัสผ่านพอดคาสต์ ที่มี Adam Langley
Cendyne ประหลาดใจ - pikachu
< Cendyne > แต่เอ่อ… ขอให้โชคดีในการซื้อโทเค็นฮาร์ดแวร์จำนวนมากในตอนนี้ หลังจากเหตุการณ์ Uber หลายคนกำลังล้างสต๊อกของ Yubico

WebAuthn

WebAuthn เป็นโปรโตคอลสำหรับการใช้อุปกรณ์ฮาร์ดแวร์เพื่อตรวจสอบสิทธิ์ผู้ใช้ด้วยหลักฐานการเป็นเจ้าของ แนวคิดพื้นฐานคือคุณมีโมดูลความปลอดภัยของฮาร์ดแวร์บางชนิด (เช่น Secure Enclave ของ iPhone หรือ Yubikey) ที่มีคีย์ส่วนตัว จากนั้นเซิร์ฟเวอร์จะตรวจสอบลายเซ็นกับคีย์สาธารณะของอุปกรณ์เพื่อตรวจสอบสิทธิ์เซสชัน นอกจากนี้ยังได้รับการตั้งค่าเพื่อไม่ให้การโจมตีแบบฟิชชิงเกิดขึ้นได้ การลงทะเบียน WebAuthn แต่ละครั้งจะถูกผูกไว้กับโดเมนที่ตั้งค่าไว้ ไม่สามารถใช้คู่คีย์สำหรับ xeiaso.net เพื่อรับรองความถูกต้องกับ evil-xeiaso.net

ประสบการณ์ผู้ใช้นั้นยอดเยี่ยมมาก เว็บไซต์ส่งคำขอไปยัง API การตรวจสอบสิทธิ์ จากนั้น เบราว์เซอร์ จะสร้างหน้าต่างการตรวจสอบสิทธิ์ในลักษณะที่ไม่สามารถจำลองด้วยเทคโนโลยีเว็บได้ เบราว์เซอร์ จะถามคุณเองว่าคุณต้องการใช้ตัวรับรองความถูกต้องแบบใด (โดยปกติแล้วจะให้คุณเลือกระหว่างโมดูลความปลอดภัยฮาร์ดแวร์แบบฝังหรือคีย์ความปลอดภัย USB) จากนั้นดำเนินการจากที่นั่น เป็นไปไม่ได้ที่จะฟิชชิ่งนี้ แม้ว่ารูปแบบภาพจะถูกคัดลอก ผู้รับรองความถูกต้องจะไม่ทำอะไรเลยเพื่อรับรองความถูกต้องของเบราว์เซอร์!

บล็อกภาพฮีโร่/webauthen-test

เนื่องจากเบราว์เซอร์อาจไม่ทราบว่าผู้ใช้ต้องการใช้ตัวรับรองความถูกต้องใด เบราว์เซอร์จะแจ้งผู้ใช้ให้ระบุตัวรับรองความถูกต้องของแพลตฟอร์มหรือสำหรับตัวตรวจสอบสิทธิ์ข้ามเขตเช่น Yubikey ตัวตรวจสอบความถูกต้องของแพลตฟอร์มจะรวมเอาไบโอเมตริกซ์ เช่น Face ID, Touch ID หรือ Windows Hello เข้ากับโมดูลแพลตฟอร์มที่เชื่อถือได้หรือวงล้อมที่ปลอดภัยเพื่อรับรองความถูกต้อง ในขณะที่ผู้ตรวจสอบสิทธิ์โรมมิ่งอาจต้องมีการทดสอบสถานะและ PIN ที่เป็นทางเลือก ขั้นตอนพิเศษนี้ยังปกป้องความเป็นส่วนตัวของผู้ใช้จากการเรียกไคลเอ็นต์จากไดรฟ์ เมื่อไบโอเมตริกซ์หรือ PIN ได้รับการตรวจสอบแล้ว เซิร์ฟเวอร์จะได้รับแฟล็กที่ผู้ใช้ได้รับการยืนยันแล้ว ข้อมูลไบโอเมตริกซ์และ PIN จะไม่ถูกส่งไปยังเซิร์ฟเวอร์ yubikey มาตรฐานที่ไม่มี PIN จะปรากฏเป็นไม่ได้รับการยืนยัน

มารมีความสุข
< Mara > หากต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับ WebAuthn ฉันขอแนะนำให้ดู BlackHat talk “Demystifying WebAuthn” (สไลด์เด็ ค ) จะช่วยให้คุณเข้าใจวิธีการทำงาน

งานยังคงดำเนินต่อไปในการทำให้ WebAuthn ใช้งานง่ายขึ้นและดีขึ้น Apple เพิ่งเปิดตัว Passkeys พร้อม iOS 16 ซึ่งจะช่วยให้คุณใช้ iPhone เป็นตัวตรวจสอบฮาร์ดแวร์สำหรับอุปกรณ์อื่น ๆ รวมถึง iPads และเครื่อง Windows วิธีนี้จะเปลี่ยน Secure Enclave ของ iPhone ของคุณให้เป็นคีย์ความปลอดภัยแบบโรมมิ่งที่คุณใช้กับเครื่องอื่นได้อย่างมีประสิทธิภาพ มอบสิ่งที่ดีที่สุดให้กับคุณทั้งสองโลก คุณจะได้รับประโยชน์จากโปรเซสเซอร์ความปลอดภัยในอุปกรณ์ชั้นนำของอุตสาหกรรมของ Apple และ ยังมีความสามารถในการใช้กับเครื่องอื่นๆ ของคุณด้วย การรับประกันที่มีอยู่ของ WebAuthn ทั้งหมดจะถูกนำไปใช้ รวมถึงข้อเท็จจริงที่ว่าข้อมูลรับรอง WebAuthn แต่ละรายการเชื่อมโยงกับเว็บไซต์เดียว วันนี้ คุณสามารถเลือก “เพิ่มโทรศัพท์ Android ใหม่” ใน Chrome และสแกนด้วยอุปกรณ์ iOS ของคุณ Safari ยังไม่ตามทัน เราคาดหวังสิ่งนี้ในภายหลัง

Cendyne ฮูเร่
< Cendyne > จุดแข็งของ WebAuthn ในการต่อต้านฟิชชิ่งนั้นสร้างขึ้นจากการเชื่อมโยงต้นทาง นั่นคือสิ่งที่เบราว์เซอร์ของผู้ใช้มองเห็น เนื่องจากเว็บไซต์คือสิ่งที่ผู้ตรวจสอบสิทธิ์เห็น เว็บไซต์อื่น? กุญแจอีกดอก! การรับรองความถูกต้อง WebAuthn ของไซต์หนึ่งไม่สามารถใช้กับไซต์อื่นได้ เนื่องจากต้นทาง (โดเมนของไซต์) ถูกผูกไว้กับคีย์ที่ตัวตรวจสอบสิทธิ์ใช้! ไม่เพียงเท่านั้น แต่ผู้ใช้ด้วย!
Cendyne เดาว่าฉันจะตาย
< Cendyne > แม้ว่าไซต์จะไม่ผูกชื่อผู้ใช้ (หรือใช้ชื่อผู้ใช้จำลอง) เมื่อตรวจสอบสิทธิ์ คุณจะมีความขัดแย้งระหว่างผู้ใช้

โดยสรุป การแจ้งเตือนแบบพุชสำหรับการตรวจสอบสิทธิ์ควรถือเป็นอันตราย คุณไม่ควรใช้สิ่งเหล่านี้ และคุณควรให้ความสำคัญกับการย้ายไปยังโทเค็นการรับรองความถูกต้องของฮาร์ดแวร์ เช่น Yubikeys คุ้มกับค่าฮาร์ดแวร์และค่าฝึกอบรมในการทำเช่นนี้


Mara เป็นแฮ็กเกอร์
< Mara > ส่วนนี้ของบทความเป็นทางเลือก

เป็นโบนัส นี่เป็นวิธีหนึ่งที่คนในเว็บ 3 จะได้รับสิ่งนี้มากกว่าผิด พวกเขาใช้ระบบเข้ารหัส Ethereum เป็นปัจจัยรับรองความถูกต้อง

EIP-4361: ลงชื่อเข้าใช้ด้วย Ethereum

WebAuthn เป็นโปรโตคอลที่คุณได้รับองค์ประกอบฮาร์ดแวร์เพื่อลงนามในข้อความเพื่อพิสูจน์ว่าคุณเป็นเจ้าของคู่คีย์ที่เป็นปัญหา และอนุญาตให้มีการตรวจสอบสิทธิ์ผ่านโฟลว์ “สิ่งที่คุณเป็นเจ้าของ” ใน Ethereum และระบบนิเวศบล็อกเชนอื่น ๆ ทุกคนมีคู่คีย์ที่ลงนามข้อความสำหรับคำแนะนำเช่น “โอน NFT ไปยังที่อยู่อื่น” หรือ “ส่งเงินที่อยู่นี้บางส่วน” เท่านี้ก็เพียงพอแล้วที่จะช่วยให้คุณสร้างปัจจัยรับรองความถูกต้องได้ จุดแข็งของปัจจัยการตรวจสอบสิทธิ์นี้คือ…ไม่น่าสงสัย แต่ด้วยการปฏิบัติตาม EIP-4361 คุณสามารถเปลี่ยนคีย์คู่ Ethereum ให้เป็นปัจจัยการตรวจสอบสิทธิ์สำหรับเว็บแอปพลิเคชันได้ สิ่งนี้จะเชื่อมต่อกับกระเป๋าเงินฮาร์ดแวร์ด้วย WalletConnect หรือกระเป๋าซอฟต์แวร์ที่มีส่วนขยายเบราว์เซอร์เช่น MetaMask การทำงานนี้คล้ายกับวิธีการทำงานของ WebAuthn แต่ด้วยหลักการหลักเหล่านี้:

  • การตรวจสอบสิทธิ์ทำได้โดยยืนยันว่าผู้ใช้มีสิทธิ์เข้าถึงคีย์ส่วนตัวเพื่อลงนามในข้อความที่ได้รับการตรวจสอบความถูกต้องด้วยคีย์สาธารณะ เช่นเดียวกับ WebAuthn
  • แอป Wallet จะแสดง URL ของไซต์ที่คุณกำลังพยายามตรวจสอบความถูกต้อง และไม่มีวิธีใดที่จะปลอมแปลงได้อย่างง่ายดาย
  • การสร้างคู่คีย์ Ethereum ใหม่นั้นฟรี และทุกคนสามารถทำได้โดยไม่ต้องซื้อฮาร์ดแวร์เพื่อทำหน้าที่เป็นเอสโครว์ของคีย์
Mara เป็นแฮ็กเกอร์
< Mara > จุดสุดท้ายมีความสำคัญเนื่องจากข้อจำกัดในการส่งออกเกี่ยวกับการเข้ารหัสอาจทำให้ผู้คนในประเทศเช่นรัสเซียซื้อคีย์ FIDO2 ได้ ยาก การเข้ารหัสไม่ได้ถูกมองว่าเป็นอาวุธยุทโธปกรณ์อีกต่อไป แต่เป็นสิ่งที่ทรงพลังมากพอที่จะให้รัฐบาลหยุดชั่วคราว ตัวอย่างเช่น OpenBSD มีพื้นฐานมาจากแคนาดา ในกรณีที่กฎหมายการส่งออกเกี่ยวกับการเข้ารหัสในสหรัฐอเมริกามีความเกี่ยวข้องอีกครั้ง

แต่เนื่องจากการดำเนินการทั้งหมดนี้ มีจุดอ่อนดังต่อไปนี้:

  • ไม่มีวิธีระดับโปรโตคอลที่จะบอกได้ว่าผู้ใช้ใช้องค์ประกอบความปลอดภัยประเภทใด หากมี มีฮาร์ดแวร์หลายประเภท “cold wallets” และหนึ่งในกลยุทธ์ที่ใช้บ่อยที่สุดคือการสร้าง “hot wallet” ที่เป็นเพียงคู่คีย์ที่จัดการโดยส่วนขยายของเบราว์เซอร์ เช่น MetaMask
  • ในแอปพลิเคชัน web3 จำนวนมาก คู่คีย์ Ethereum เป็น เพียงปัจจัยรับรองความถูกต้องเท่านั้น ซึ่งหมายความว่าหากมีใครสามารถเข้าถึงคู่คีย์หรือวลีกู้คืนของคุณได้ พวกเขาสามารถ ขโมยลิงของคุณ ได้ และคุณไม่สามารถเอากลับคืนมาได้โดยไม่พยายามเจรจากับผู้คุกคาม
  • การแยกคีย์ส่วนตัวของที่อยู่ Ethereum ถือเป็นคุณลักษณะด้านความปลอดภัย และขอแนะนำให้ผู้คนเขียนคีย์ส่วนตัวลงบนกระดาษและเก็บไว้ในที่ปลอดภัย ประสบการณ์ผู้ใช้ครั้งแรกของสิ่งต่าง ๆ ในพื้นที่ Ethereum จะบังคับให้คุณจดวลีกู้คืนโดยถามคุณว่ามันคืออะไรและฉันสามารถจินตนาการได้ว่ามีกี่คนที่ทำอย่างนั้นด้วยกลไกที่ปลอดภัยจริงๆ มีผลิตภัณฑ์ที่น่าสนใจสำหรับทำสิ่งต่าง ๆ เช่น เจาะวลีเมล็ดพันธุ์ของคุณให้เป็นโลหะ เพื่อให้คุณสามารถใส่วัตถุที่เป็นโลหะนั้นลงในตู้นิรภัยได้
  • วิธีนี้ใช้กับส่วนขยายของเบราว์เซอร์แทนที่จะฝังลงในระบบปฏิบัติการอย่างถูกต้อง ซึ่งหมายความว่าเป็นไปได้ในทางทฤษฎีที่จะฟิชชิ่ง แต่ดูเหมือนว่าในทางปฏิบัติจะยากมาก
Mara เป็นแฮ็กเกอร์
< Mara > เป็นที่น่าสังเกตว่ามีสิ่งเช่นกระเป๋าเงินสัญญาหลายลายเซ็นโดยที่กระเป๋าเงินนั้นเป็นสัญญาอัจฉริยะในบล็อคเชน ตัวอย่างนี้คือ Safe ซึ่งฉันบอกว่าเป็นการนำไปใช้อย่างแพร่หลายที่สุด วิธีนี้ช่วยให้คุณใช้วิธีการเพิ่มเติมเพื่อให้แน่ใจว่าคีย์ส่วนตัว m-of-n ลงนามในข้อความแทนที่จะใส่ไข่ทั้งหมดลงในตะกร้าใบเดียวด้วยคีย์เดียว การทำเช่นนี้หมายความว่าคุณต้องจ่ายค่าธรรมเนียมน้ำมันทุกครั้งที่ลงชื่อเข้าใช้ การดำเนินการสัญญาอัจฉริยะนั้นไม่ฟรี
Cadey เป็นกาแฟ
< Cadey > จริงๆ แล้ว ฉันไม่แน่ใจว่าทั้งหมดนี้คุ้มค่าหรือไม่ แต่อย่างน้อยที่สุด มันก็มี บางอย่าง และมันถูกฝังลึกลงไปในระบบนิเวศน์มากพอที่จะทำได้ อย่าง เหมาะสมในหลายเว็บไซต์ มีหูด UX ที่เกี่ยวข้องอยู่มาก แต่ส่วนมากเป็นอาการเฉพาะถิ่นของการต่อกิ่งบางอย่างบนเบราว์เซอร์หลังจากข้อเท็จจริง อย่างไรก็ตาม มันเป็น อะไรบางอย่าง และเป็นมากกว่ารหัส TOTP
หนูมีความสุข
< Numa > คุณสามารถใช้กระเป๋าสตางค์ bitcoin ของฮาร์ดแวร์แฟนซีตัวใดตัวหนึ่งเป็นข้อมูลรับรอง WebAuthn ได้!

ใส่ความเห็น

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น