защитный ключ fido что это такое на хуавей
FIDO: биометрическая технология, которая защитит ваши пароли
Наиболее популярным способом обеспечить защиту профиля пользователя на сайте сегодня является двухфакторная аутентификация: вы вводите пароль, и на ваш телефон приходит смс с кодом, который нужно ввести в еще одно поле. Однако даже эта технология сегодня не считается идеальной.
На помощь приходят биометрические технологии — в частности, технология, называемая FIDO.
Как работает FIDO
Природа паролей побуждает нас быть ленивыми. Длинные, сложные пароли (самые безопасные) для нас сложнее всего создать и запомнить. Поэтому многие берут какой-то простой пароль, немного его «дорабатывают» и пользуются — это огромная проблема, потому что у хакеров давно есть списки популярных паролей. И хакеры автоматизируют атаки путем «заполнения учетных данных», пытаясь найти, что именно вы добавили к вашему «стандартному» паролю.
FIDO работает на основе распознавания лиц и отпечатков пальцев — это умеют многие современные смартфоны.
«Пароль — это то, что вы знаете. Устройство — это то, что у вас есть. Биометрия — это то, чем вы являетесь. Мы движемся к тому, что пароль всегда будет при вас — и нужда в его запоминании просто отпадет», — сказал Стивен Кокс, главный архитектор безопасности SecureAuth.
FIDO, или Fast Identity Online, стандартизирует использование аппаратных устройств (сканер отпечатков пальцев, камеры) для создания уникальной «биометрической карточки», которая и позволит пользователю регистрироваться и заходить на сайты.
Подделать отпечатки пальцев или лицо намного сложнее и дороже — так что, по мнению Эндрю Шикиара, исполнительного директора FIDO Alliance, «… в течение следующих пяти лет у каждой крупной потребительской интернет-услуги будет альтернативная регистрация без пароля».
FIDO также выгоден и компаниям, поскольку устраняет опасения по поводу утечек данных (в частности, конфиденциальной информации клиентов). Похищенные «биометрические карточки» не позволят хакерам войти в систему, потому что их надо не просто ввести, но и подтвердить.
Вот один из способов входа на основе FIDO без паролей. Вы открываете страницу входа в систему на своем ноутбуке, вводите имя пользователя, нажмите кнопку, а затем пользуетесь биометрической аутентификацией ноутбука, например, Touch ID от Apple или Windows Hello. Если ваша система не оснащена нужными устройствами, вы можете подключить по Bluetooth телефон — и точно так же использовать FIDO.
Технология готова — готовы ли мы?
Большим преимуществом этого подхода является то, что устройство безопасности FIDO (телефон, ноутбук, иной гаджет) не будут работать с фальшивыми сайтами, потому что ключи безопасности регистрируются только для сайтов-оригиналов.
«Вместо того, чтобы «грузить» пользователя проверкой сайта, мы переложили ее на систему», — отметил Марк Ришер, руководитель отдела аутентификации в Google, в своем блоге.
В компании уже более 10 000 сотрудников перешли на подобный способ, что сократило число взломов их аккаунтов практически до нуля.
Однако у некоторых экспертов есть опасения: а захотят ли люди разрешать использование своих данных? Одно дело — цифры и буквы, а другое — отпечатки пальцев и снимки лица.
«Имена пользователей и пароли по-прежнему будут наиболее распространенным вариантом. Пока есть выбор и пока популярна тема «тотального контроля» на основе биометрических данных, люди будут работать по старинке», — отмечают они.
Добавьте «Правду.Ру» в свои источники в Яндекс.Новости или News.Google, либо Яндекс.Дзен
Быстрые новости в Telegram-канале Правды.Ру. Не забудьте подписаться, чтоб быть в курсе событий.
Защитный ключ Fido на телефоне андроид: что это
Мы живем в эпоху, когда необходимо постоянно заботиться о личной безопасности. Но, а также потому, что мы живем в век цифровых технологий, в первую очередь, мы должны позаботиться о безопасности наших онлайн-данных, на нашем смартфоне, онлайн-банкинге, электронной почте и так далее. А в сегодняшней статье мы поговорим о ключе безопасности Fido, а также о двухфакторной аутентификации как более безопасном способе защиты ваших данных.
Что же такое FIDO, двухфакторная аутентификация, как это работает на устройствах
Учитывая, насколько далеко продвинулась технология, что почти каждый теперь имеет возможность носить смартфон в кармане, что сравнимо с мощными компьютерами и важными носителями данных. Теперь вы можете сделать любой смартфон своим ключом к двухфакторной аутентификации. А если вы хотите максимально обезопасить себя, то используйте его для всех своих личных онлайн аккаунтов.
Наиболее популярными и уязвимыми целями являются службы Google, которые неоднократно подвергались хакерским атакам. Но для защиты своих клиентов разработчики сделали специальные способы защиты в виде ключей за несколько шагов. И если пользователь хочет получить доступ к своим учетным записям, то ему определенно нужно пройти все эти этапы.
Конечно, вы можете использовать физический ключ, но на самом деле это приносит дополнительные неудобства. Поэтому лучшее решение — это сделать свой смартфон ключом. То есть ваш iPhone или Android будет своего рода верификатором всех попыток доступа к вашим устройствам. И вы сами подтвердите эти попытки или отвергнете их. Самым популярным ключом безопасности является FIDO. Это новый стандарт U2F Open аутентификации, разработанный специально для Android-устройств.
Для кого доступны эти возможности
Как правило, все эти меры безопасности были придуманы для наиболее уязвимых людей, а именно:
Но, все эти функции теперь доступны для всех, так что это никогда не повредит сделать ваш счет неприступной крепости.
Конечно, для того, чтобы установить все эти меры безопасности на свой смартфон — необходимо, чтобы на вашем устройстве была установлена современная операционная система, как для Android, так и для iPhone.
Как настроить
Если вы достаточно смелы, чтобы выполнить все эти шаги, то вам следует зайти в настройки телефона под защитой, в аккаунт Google, а затем в двухфакторную аутентификацию. Тогда просто добавь ключ-карту и ты можешь идти.
Google добавила в Android поддержку FIDO2, чтобы избавиться от паролей
Несмотря на очевидные преимущества, которые несут в себе биометрические методы идентификации, они практически не используются для авторизации на сайтах и в онлайн-сервисах. Поэтому, чтобы повысить удобство Android, Google приняла решение внедрить в операционную систему стандарт защиты FIDO2. Благодаря ему пользователи смартфонов под управлением Android 7.0 и новее смогут проходить авторизацию на сайтах без необходимости вводить пароль, который зачастую представляет собой довольно запутанную комбинацию символов.
Пока пароль есть, его можно украсть, решили в консорциуме Fido Alliance и помогли Google нативно встроить FIDO2, проприетарный стандарт авторизации, в Android.
Что такое FIDO2
Он предполагает избавление от паролей с заменой их на более совершенные методы установления личности пользователя. Например, на дактилоскопирование, распознавание лица или сканирование радужной оболочки глаза – в зависимости от того метода идентификации, который доступен на конкретном смартфоне. А при отсутствии таковых – на авторизацию с использованием PIN-кода.
Соль в том, что даже при регистрации на том или ином сайте пароль не используется. Все, что потребуется от пользователя, — ввести адрес электронной почты, логин и подтвердить действие сканированием биометрических данных. Правда, это возможно только на FIDO2-совместимых веб-сайтах и приложениях.
Авторизация с использованием FIDO2 выгодно отличается от авторизации с использованием паролей не только из-за быстроты, но и по ряду других причин.
Преимущества FIDO2
Во-первых, поскольку процесс распознавания биометрических данных, которые использует FIDO2, производится локально, не покидая пределов устройства, это предельно надежно. Обмануть FIDO2 сможет только тот, кто либо сумеет подделать ваш отпечаток, либо напечатает на 3D-принтере идеально повторяющую ваше лицо маску.
Во-вторых, подделать биометрические данные гораздо сложнее, чем подобрать конкретную комбинацию или мастер-пароль, который, как правило, бывает предельно простым, если речь идет об использовании менеджера паролей. В конце концов, кто будет заморачиваться с тем, чтобы, например, печатать вашу маску. А ведь для нее еще нужно сделать слепок!
И, в-третьих, обмануть FIDO2 на порядок сложнее, чем пользователя, потому что стандарт невосприимчив к фишинговым атакам. Даже если пользователь перейдет по фальшивой ссылке из письма, FIDO2 распознает обман и не выведет на экран окно с авторизацией. Тут главное не поддаться панике и не начать с силой давить на сканер отпечатков или яростно вглядываться в камеру.
Подписывайся на наш канал в Яндекс.Дзен, не затягивай.
Защитный ключ Fido на телефоне андроид: что это такое
06.06.2020 9,444 Просмотры
Мы живем в такое время, когда необходимо всегда заботиться о персональной безопасности. Но, а так как мы живем во время цифровых технологий, то прежде всего нужно позаботиться о безопасности наших данных в сети, на нашем смартфоне, онлайн-банкинге, электронной почте и так далее. И в сегодняшней статье речь пойдёт о защитном ключе Fido, а также двухфакторной аутентификации, как более безопасный способ защиты ваших данных.
Что же такое FIDO, двухфакторная аутентификация, как это работает на устройствах
Учитывая тот факт, насколько технологии прошли вперёд, что теперь практически у каждого есть возможность носить у себя в кармане смартфон, который сопоставим с мощными компьютерами и носителями важной информации. Сейчас можно любой смартфон сделать своим ключом для двухфакторной аутентификации. И если вы хотите максимально защититься, тогда используете её абсолютно для всех своих личных аккаунтов в сети.
Самыми популярными, а также самыми уязвимыми мишенями становятся сервисы Google, которые неоднократно подвергаются хакерским атакам. Но, чтобы защитить своих клиентов, разработчики сделали специальные способы защиты в виде ключей в несколько шагов. И если пользователь захочет войти в свои аккаунты, тогда он обязательно должны пройти все эти шаги.
Для кого доступны эти возможности
Как правило, все эти мери безопасности были придуманы для более уязвимых людей, а именно для:
Но, сейчас все эти функции доступны для каждого, поэтому никогда не будет лишним сделать свой аккаунт неприступной крепостью.
Как настроить
Если вы решились проделать все эти действия, тогда вам следует перейти в настройки своего телефона, к безопасности, аккаунт Google, а потом к двухфакторной аутентификации. Затем просто добавьте электронный ключ и дело в шляпе.
Обзор возможностей ключей защиты FIDO U2F. Принцип работы и варианты использования
Исследования Ключей Защиты
U2F означает (universal second factor) универсальный второй фактор. Это устройство которое должно служить вторым фактором в протоколах или реализациях систем двух-факторной аутентификации с участием человека. Например в дополнение к паролю, информационная система также проверит что пользователь обладает данным экземпляром U2F устройства. Принцип действия основан на хранении в аутентификации типа «вопрос-ответ» (challenge response) при помощи цифровой подписи, и обязательном участии человека.
Криптографический функционал U2F устройства
Для детального описания, сначала необходимо перечислить какие данные изначально записаны в памяти U2F Ключе :
Сертификат производителя ключа дает возможность проверить кем устройство было произведено. Для взаимодействия с ключем существует ряд APDU (Application Data Unit) команд которые заставляют устройство выполнить ряд операций.
Перечислим фактический функционал U2F устройства в стандарте v.1 :
Мы скрыли некоторые детали для простоты изложения. Заметим, что Зашифрованный Секретный Ключ ECDSA (Key handle) и параметр Системы аутентификации возможно должен рассматриваться инженерами как секретные данные. В случае их компрометации становиться возможным выполнять ряд атак, а в случае утери идентифицировать или аутентифицировать устройство становиться невозможным.
Хотим отметить неизвестные и критические места в реализации U2F устройства:
На наш взгляд, если датчик присутствия возможно обмануть программным либо физическим способом и заставить устройство генерировать и подписывать данные очень быстро, это даст возможность проводить анализ протокола защиты конкретного устройства.
В стандарте U2F явно сказано что криптографический протокол выбирает и реализует сам производитель устройства. Например известный производитель u2f устройств компания Юбико ограничилась лишь публикацией примерной схемы своей реализации протокола, но не опубликовала детали, алгоритм шифрования секретного ключа и исходный код этого протокола. Во всяком случае нам это пока не удалось выяснить. И позиция компании такова что открывать принцип работы и особенности защиты устройства они не будут. Напомним что в 2015, благодаря сообществу в ключе Yubikey была обнаружена некритичная уязвимость [2]. Об этих особенностях упоминается также в данном исследовании U2F ключей.
Сравнение U2F с Одноразовыми паролями OATH TOTP (Google Authenticator) :
Сравнение U2F c PKCS#11 токенами
Возможности применения U2F ключей для цифровой подписи
Можно ли использовать U2F для хранения пары ключей от крипто-валютных кошельков?
Да, но необходимо изменить протокол дайджеста\сообщений в Крипто Кошельке под U2F дайджест.
Все программы крипто-кошельки например Bitcoin — это ключевая пара ECDSA. Где секретный ключ является крайне критическим параметром. Потеряв его теряеш все биткойны и наоборот Подгядев его, злоумышленник фактически владеет всеми твоими биткойнами. Хотя сам Секретный ключ используется только если была обнаружен очередной блок (вы добыли биткойн еденицу) либо если вы покупаете \ продаете свои биткойны. Следовательно имеет смысл его хранить в защищенном\зашифрованном месте и использовать только когда необходимо. В этом случае также можно использовать PKCS#11 ключ + аппаратный PIN код для хранения секретного ключа биткойн-кошелька в памяти устройства. В случае с U2F сейчас это сделать невозможно поскольку Дайджест сообщения который он использует для подписи не совпадает с Дайджестом КриптоКошельков. Но если это исправить то U2F ключ станет самым доступным и безопасным устройством для защиты Bitcoin и других крипто-валют.
Можно ли использовать U2F для управления целостностью конфигурации операционной системы? или Анти-вирусах (Configuration, Change Management).
Да. Это довольно новая идея и она напоминает принцип работы аппаратного модуля TPM. Идея состоит в том чтобы ОС или АнтиВирус просил пользователя Подписать U2F Ключем любое изменение конфигурации ОС и ПО. U2F позволит реализовать цифровую подпись с дву-факторную аутентификацией, каждый новый Исполняемый модуль\Устанавливаемый пакет, файл настроек будет подписан лично Администратором. В этом случае АнтиВирус сможет со 100% вероятностью определять уровень доверия каждому приложению и определять несанкционированное создание на диске исполняемых модулей или изменение конфигурации. Для реализации этой идеи U2F ключ должен позволяет генерировать подписи пока пользователь держит U2F Кнопку в нажатом состоянии, что позволит подписать много модулей за 1 раз.
Можно ли использовать U2F Ключ для реализация непрерывной аутентификации в Индустриальных Системах (ICS/SCADA/SmartGrid, АСУ ТП, РСУ)
Можно ли использовать U2F Ключ для цифровой подписи документов и почты?
Да. U2F ключ способен подписать произвольный дайджест. Эта идея довольно легко реализуема посредством виртуальных смарт карт или создания специального Criptographic Service Provider модуля который будет подписывать при помощи U2F ключа вместо того чтобы использовать секретный ключ из сертификата или механизм PKCS. Преимущества U2F перед классическим подходом основанном на сертификатах и PKI :