苹果终于接受了基于密钥的2FA。所以你应该

时间:2020-08-27 20:10 来源:seo 作者:小可爱科技知识网 点击量:

苹果终于接受了基于密钥的2FA。所以你应该

大约三年前,谷歌推出了它的高级保护计划(APP),这是一项针对高风险用户的安全计划,需要硬件密钥才能访问账户,这可以说是业界阻止账户接管最有效的方式。但到目前为止,有一个重大缺陷阻碍了APP的发展:它在iPhone和iPad上的产品对大多数用户来说都极其有限。现在这种情况已经改变了——变化就在一点点上——我很乐意向更广泛的用户推荐这款应用。

应用程序是什么?

通过要求用户产生一个物理安全关键除了密码每次登录新设备,应用程序是为了阻止的帐户违反俄罗斯特工用来破坏2016年总统大选时,他们从民主党高级官员发表敏感的电子邮件。

APP使得这样的攻击几乎不可能发生。存储在APP所需的物理密钥上的加密秘密无法被提取出来,理论上也无法被提取出来,即使有人获得了物理密钥,或者入侵了APP连接的设备。除非攻击者窃取了密钥——这在远程是不可行的——否则即使他们获得了目标的密码,他们也无法登录。

可以把APP看作是两因素认证(2FA)或多因素认证(MFA)。

身份验证应用程序

SIM-swapping攻击

手机网络的危害

安全密钥击败了其他形式的2FA

第一次设置APP

用户在首次从新设备登录时也必须使用密钥。(谷歌调用这个过程引导)。一旦设备进行了身份验证,它在随后的登录过程中默认不再需要第二个身份验证因素。即便如此,谷歌可能还需要第二个因素,以防公司员工看到来自可疑ip的登录,或其他迹象表明帐户已经或即将被劫持。谷歌表示,该应用程序提供了额外的安全措施,但从未提供更多细节。

为了让引导过程不那么痛苦,用户可以注册他们的android设备——最近是他们的iOS设备——作为一个附加的物理键,在引导过程中通过点击yes来激活它。这种选择的吸引力在于,用户通常把手机放在口袋里,这比传统的物理按键更方便。

下面是它在iOS、Android和iOS上的样子:

苹果终于接受了基于密钥的2FA。所以你应该

基于手机的按键——符合最近引入的“网络认证”标准(稍后会详细介绍)——只能在手机和正在启动的设备上同时启用蓝牙时才能工作。最重要的是,只有当手机和启动设备距离很近的时候,按键才会工作。这一要求修正了早期基于按键的2FA的一个安全缺陷,即用户在成功输入账户密码后点击手机上的OK按钮。

与来自身份验证器和SMS的临时密码类似,当攻击者仔细计时的登录紧跟试图登录攻击者的假站点的目标时,推验证保护可以被绕过。既然目标认为他们正在登录,他们没有理由不点击yes按钮。蓝牙要求增加了额外的障碍——攻击者不仅必须完美地掌握目标的账户密码和时间,而且还必须接近目标设备。

安卓系统很棒,但是iOS系统呢?

作为一名安全专家和一名经常与匿名人士打交道的记者,我注册了APP,我的个人账户和我的工作账户都使用了G Suite。(我必须先让管理员允许使用APP,但他很容易就打开了。)算上买两把钥匙所花的时间,每个账户的处理过程不到五分钟。从那时起,物理密钥成为提供第二个身份验证因素的唯一手段。

虽然APP不是抵御黑客入侵的灵丹妙药,但它比我能想到的任何其他措施都更能防止由于网络钓鱼和其他类型的利用泄露密码的攻击而导致的账户泄露。我喜欢它的保证,也喜欢它的可用性。通过使用支持NFC的Pixel XL,我可以在所有设备上轻松地使用物理键,即使是在应用早期关键选项有限的时候。当我能用手机作为安全密钥时,事情变得更容易了。

不过,到目前为止,我一直没有向其他网站推荐2FA应用程序甚至物理密钥的普遍使用。我的理由是:苹果长期以来严格限制对Lightning接口的访问,直到最近,iPhone和iPad NFC的使用都受到了限制,因此在这些设备上使用基于硬件的密钥非常有限。对于世界上最受欢迎和最具影响力的平台之一的用户来说,推荐一种令人不快或不合适的认证方法几乎不值得。

在APP出现的大部分时间里,iphone和ipad上可用的物理键都是使用BLE的加密狗,BLE是低功耗蓝牙的缩写。我发现这些加密狗脆弱、笨重、容易失败,有时需要尝试三次或更多才能成功登录。这些键与苹果公司的咒语“它只是管用”正好相反。

大量的漏洞

蓝牙

规范

实现

劫持泰坦蓝牙配对进程

这种可行的关键选项的缺乏是谷歌无能为力的。苹果从内而外构建的传统,以及它对被认为未经验证的技术的厌恶,使得该公司在向基于硬件的密钥开放产品方面行动迟缓。因此,苹果拒绝了允许iphone和ipad通过NFC或Lightning接口与大多数设备连接的呼声。

虽然基于硬件的2FA已经存在了几十年,但谷歌是第一个通过应用程序将其推向大众的。这个项目最初是谷歌和Yubico联合开发的,由NXP贡献,用于谷歌员工登录公司网络。其核心是一项名为u2f的协议,即通用第二因素(Universal Second Factor)的缩写。该协议允许通过USB-C、NFC和BLE进行基于硬件的身份验证。

最终,当谷歌和Yubico将U2F提交给FIDO联盟时,它成为了一个全行业的标准。FIDO联盟是一个开发认证方法的标准机构,使用生物识别技术和安全密钥来增强(在某些情况下还可以替代)传统的密码。当谷歌引入APP时,它使用的是最终的FIDO U2F标准。Facebook、GitHub、Dropbox和其他网站开始在其网站上使用该标准来支持安全密钥,不过其形式远没有APP严格。

此后不久,FIDO将U2F名称改为ctap1 - Client to Authenticator协议的缩写(扩展到漫游Authenticator用例的CTAP2超出了本文的范围)。CTAP1与另一个独立的网络标准WebAuthn结合在一起,后者受到了W3C机构的监督。随之而来的是FIDO2的诞生,这是一种开放的标准,它提供了一整套认证协议,被设计成比单独使用密码更安全,而且在很多情况下更容易使用。

例如,在2019年6月,谷歌开始允许应用程序帐户持有人使用他们的安卓手机作为安全密钥,登录到他们的iPhone和iPad,但这个选项并没有让我相信应用程序已经为iPhone和iPad的广大用户准备好了。一旦我通过了学习曲线,这个选项就足够好了。但即便如此,对第二款移动设备的要求——运行与之竞争的操作系统——意味着它不太可能吸引大部分iOS和iPadOS用户。

2019年8月,Yubico发布了Yubikey 5Ci,在全世界等待苹果增加本地支持的同时,该密钥使用专有技术连接到苹果的Lightning端口。大多数人几乎没有注意到这一点,因为5Ci只能用于iOS版本的新浏览器Brave,然后用于极少的服务。更多的主流浏览器和网站被完全排除在外。直到接下来的一个月,也就是2019年9月,macOS的Safari才增加了对物理键的支持,这使得它成为最后一个支持物理键的主流浏览器。

直到去年12月iOS和iPadOS 13.3发布后,苹果才通过一种名为FIDO2的认证标准增加了对NFC和USB密钥的本地支持。这些增加是一个重大的改进,但也有其自身的局限性。7个月后,只有iOS和iPadOS版本的Safari和Brave可以使用认证密钥。许多提供基于硬件的2FA的网站都不能很好地工作,或者完全不能使用Brave。虽然浏览器支持Yubico键,但是不支持来自Titan的键。

令浏览器制造商和在线服务运营商沮丧的是,苹果还没有发布第三方浏览器使用最近增加的本地支持实际读取密钥所需的编程接口。(Brave通过专有的Yubico接口可以读取5Ci密钥。为了支持Yubico NFC键,Brave结合了Yubico接口和一套苹果api,让iOS和iPadOS应用程序可以对支持NFC的设备进行原始访问。)苹果发言人证实,公司还没有提供这项支持,但他说,这不能被解释为未来不会出现这种情况。

所有这些可用性限制让我无法广泛推荐物理键,因为我不想为iOS和iPadOS支持一种MFA方法,也不想为所有其他平台支持另一种方法。

当前位置:主页 > 生物学知识 >

声明:本文小可爱科技知识网整理不代表个人观点,转载请注明原文,点击还能查看更多的文章;本文网址: http://www.kozbods.com/shengwu/pgzyjsljymyd2FAsynyg.html

围观: 次 | 责任编辑:小可爱科技知识网



回到顶部