Čo je to FIDO (U2F/FIDO2) bezpečnostný kľúč ?
Čo je to FIDO bezpečnostný kľúč?
Malé USB zariadenie, ktoré funguje na princípoch asymetrickej kryptografie. Dokáže rozpoznať a zabrániť cieleným útokom do vašich webových účtov. Pomocou FIDO kľúča sa prihlásite do webových služieb ako je Gmail, Facebook, Yahoo, Twitter, Dropbox, Microsoft, AppleID a mnoho iných. Celkový zoznam služieb nájdete na webe (zvoľte protokol FIDO U2F a FIDO2). Štúdia od Google poukázala, že FIDO bezpečnostné kľúče poskytujú 100% ochranu pred cielenými útokmi. Overenie pomocou SMS 76% a push notifikácie 90%.
Zatiaľ FIDO kľúč slúži predovšetkým ako dvojfaktorové overenie a náhrada za overovanie pomocou SMS a APP, ktoré sú zaniteľné. U služieb podporujúcich passwordless (Microsoft) sa viete prihlásiť bez mena a hesla a to len s FIDO kľúčom. V budúcnosti sa plánuje podpora passwordless pre všetky online služby.
Passwordless (Bez hesla) je bezpečnostný prístupový model, ktorý umožňuje používateľom prihlásiť sa bez použitia hesla. Miesto toho sa používa iný typ autentifikácie, ako napríklad autentifikácia pomocou bezpečnostných kľúčov, autentifikácia pomocou biometrie alebo autentifikácia pomocou zariadenia. Táto metóda poskytuje vyššiu úroveň zabezpečenia. Výhodou passwordless prístupu je tiež to, že používateľom uľahčuje proces prihlasovania, pretože nemusia pamätať žiadne heslo.
Zdroj: Google
Bezpečnostné kľúče pre Apple ID
Apple prichádza s podporou FIDO bezpečnostných kľúčov. Tie viete použiť ak máte verziu iOS 16.3 < alebo MacOS 13.2 <. Kľúče výrazne zvyšujú bezpečnosť a vďaka tomu, ochránia váše dokumenty, fotky a poznámky na iCloude. Bezpečnostné kľúče pre Apple ID spárujete v Macu: Systémové nastavenia => AppleID=> Heslo a zabezpečenie => Bezpečnostné kľúče. V iOS: Nastavenia => Apple ID=> Heslo a zabezpečenie=> Pridajte bezpečnostné kľúče. Odporúčame použiť kľúče od Feitianu ePass NFC Plus. Tie fungujú skvelé zo zariadeniami Apple a je možné ich použiť aj na prihlásenie do MacOS ako smart card. Je dostupný softvér od FEITIANU na správu pre MacOS (aj M1). Viac informácií.
Pred akými najbežnejšími útokmi ma ochráni FIDO bezpečnostný kľúč?
Phishing
Phishing je forma podvodného získavania citlivých informácií od ľudí, často prostredníctvom falošných e-mailov a webových stránok. Útočník sa vydáva za dôveryhodnú inštitúciu, aby získal prístup k citlivým údajom, ako sú heslá, čísla kreditných kariet a iné osobné informácie.
Zaujímavosť: Google, ktorý zaviedol v roku 2017 povinné používanie týchto kľúčov pre viac ako 85 000 zamestnancov a odvtedy nezaznamenali ani jeden úspešný phishingový útok.
Brute force
Útok, pri ktorom útočník skúša rôzne kombinácie hesiel, aby získal prístup k niečomu, čo má zabezpečené heslo. Cieľom útočníka je prejsť všetky možné kombinácie hesiel, kým nenájde správne heslo.FIDO kľúč nevyplňuje heslo a teda neexistuje riziko, že by útočník získal používateľove heslo. V prípade brute force útoku na PIN, FIDO kľúč sa po 5 nesprávne zadaných PINov zablokuje. Následne je potrebné obnoviť výrobne nastavenia v aplikácii FEITIAN Manager, čím sa všetko bezpečne vymaže.
MiTM a AiTM
Je typ útoku, ktorý sa vykonáva tým, že útočník vloží sám seba medzi dve komunikujúce strany, napríklad medzi počítač používateľa a webový server. Tým má útočník prístup ku všetkým prechádzajúcim údajom a môže ich zachytiť, analyzovať alebo zmeniť.
Príklad #1. Phishingový útok na strane hackera a obeti. AiTM nástroj: Evilginx2
Takto vyzerá útok do služby Microsoft, ak používate meno + heslo + dvojfaktorové overenie (SMS kód alebo Microsoft Autentifikátor).
Hacker vďaka nástroju Evilginx2 jednoducho získal:
- meno (username: bob@bader.cloud)
- heslo (password: Wedo1378!)
- session cookies potrebné na obídenie 2 faktorového overenia, ako je napríklad SMS kód alebo Microsoft Authenticator.
Takto vyzerá útok do služby Microsoft, ak používate FIDO kľúč. Hacker nezíska nič a prístup je zamietnutý:
Secure element (SE), FIPS a EAL certifikácie
Secure Element (SE) je bezpečnostný prvok, ktorý je integrovaný do zariadení, ako sú chytré telefóny, platobné karty alebo iné zariadenia na spracovanie citlivých informácií. Secure Element slúži ako bezpečné úložisko pre citlivé informácie, ako sú napríklad heslá, certifikáty a osobné údaje.
FIPS 140 (Federal Information Processing Standard 140) je štandard pre bezpečnostné požiadavky na produkty a systémy v oblasti informačných technológií používaných v USA federálnej vládnej organizácii. Produkty a systémy schválené podľa štandardu FIPS 140 sú považované za bezpečnejšie ako produkty a systémy, ktoré tieto požiadavky nespĺňajú.
Štandard FIPS 140 stanovuje prísne požiadavky na bezpečnosť informačných technológií, ako sú napríklad šifrovanie, autentifikácia a prístupové kontroly, a produkty a systémy, ktoré tieto požiadavky splnia, sa považujú za vysoko zabezpečené.
Výhodou používania produktov a systémov schválených podľa štandardu FIPS 140 je, že tieto produkty prešli prísnymi bezpečnostnými testami, ktoré boli vyvinuté špeciálne pre potreby USA federálnej vlády. To znamená, že tieto produkty boli preverené a schválené ako bezpečné pre spracovanie citlivých informácií.
EAL (Evaluation Assurance Level) je štandard pre posúdenie bezpečnosti produktov a systémov informačných technológií. Tento štandard sa používa na hodnotenie bezpečnosti produktov a systémov. Tým, že EAL certifikované produkty spĺňajú tieto požiadavky na bezpečnosť, je možné ich použitie v kritických aplikáciách.
EAL sa skladá z piatich úrovní, od EAL1 až po EAL7, pričom každá úroveň zahŕňa stále prísnejšie požiadavky na bezpečnosť. Napríklad produkty a systémy na úrovni EAL7 sú považované za najbezpečnejšie, pretože splnia najprísnejšie požiadavky na bezpečnosť.
Ako prebieha prihlásenie pomocou FIDO kľúča do FB?
Zadáte meno a heslo. Následne vás služba vás požiada o vloženie FIDO kľúča a dotknutím kľúča sa prihlásite, niektoré služby ako napr. Facebook žiadajú PIN ( nie vždy sa vyžaduje PIN, niekedy stačí len dotyk kľúča- Google ). Po úspešnom overení sa prihlásite do služby:
Je FIDO kľúč napájaný cez batériu ?
Nie. Batériu ma len model Multipass (K13) výdrž batérie je cca 3 mesiace. Následne pomocou USB kábla, ktorý je súčasťou balenia je Multipass potrebné dobiť.
Sú nejaké skryté alebo fixné poplatky ?
Nie. Jedná sa iba o jednorazovú investíciu. Nie sú potrebné žiadne dodatočné mesačné poplatky.
Aké e-commerce platformy podporujú prihlásenie pomocou FIDO kľúča?
Aké kryptomenové burzy podporujú prihlásenie pomocou FIDO kľúča?
- Kraken
- Binance
- Gemini
- Coinbase
- Bitfinex
Viem použiť FIDO kľúč na prihlásenie do Wordpressu?
Áno, pomocou pluginov ako napríklad:
Čo sa stane ak použijem FIDO kľúč v prípade phishingového útoku?
Nič. Hacker získa vaše meno a heslo, ale bez FIDO kľúča je mu to zbytočné. FIDO kľúče sú stavané na rozpoznanie cielených phishingových útokov (app ID musí byť rovnaké ako origin). Okrem toho majú v sebe viacero vstavaných funkcií ako ochrana pred klonovaním, podpisovanie vygenerovanej challange a mnoho iných, ktoré poskytujú dodatočný level ochrany.
Ponúkate služby, ktoré mi pomôžu s inštaláciou?
Áno cez TeamViewer, MS Teams a iné.
Prečo je FIDO bezpečnostný kľúč lepší ako Google authentifikátor alebo SMS?
Súkromie
Pri aplikáciách sa vaše osobné údaje nielen zbierajú, dokonca môžu byť ponúknuté a predané tretím stranám, tzv. third parties. FIDO kľúč funguje off-line, nezbiera a neposiela o vás žiadne údaje. Každá služba ma iný verejný kľúč. Ten kľúč slúži ako náhodne generovaný identifikátor pre jednotlivú službu. Facebook ma iný identifikátor (verejný kľúč) ako Google a nikto nedokáže nájsť spojitosť medzi jednotlivými účtami. Viac informácií sa dozviete v tomto článku.
Bezpečnosť
Mobilné aplikácie fungujú online, stačí malware alebo zraniteľnosť v telefóne a hacker sa dostane k "hashu" potrebnému na vygenerovanie kódu. FIDO kľúč funguje offline má izolovaný hardvér a zabudovaný čip Secure Element, ktorý je vstavaný na rôzne formy útokov.
Ochrana pred Phishingom
Aplikácie generujú časove kódy, väčšinou je to 30 sekúnd a tie nechránia pred phishingom, ale len pred unikom databáz hesiel. FIDO kľúč naopak využíva asymetrickú kryptografiu a dokáže odhaliť aj sofistikované phishingove útoky. Okrem toho chráni aj pred Brute force, MITM, SIM Swap, Keylogger a inými cielenými útokmi.
Úspora času
Nie je potrebné mať nainštalovanú žiadnu ďalšiu aplikáciu - a už vôbec netreba žiadne následné kódy vkladať manuálne. Stačí iba jeden dotyk na kľúči, ktorý môžete použiť pre neobmedzené množstvo účtov (niekedy sa vyžaduje aj PIN).
PIV funkcia
Drahšie verzie FIDO kľúčov, ktoré majú funkciu PIV je možne použiť na vygenerovanie certifikátov a následne použiť ako SmartCard pre šifrovacie programy (Bitlocker) alebo na prihlásenie do MacOS.
Čo je to pokročila ochrana od Google ?
Advanced Protection Program (Program pokročilé ochrany) od Google je nástroj určený pre zvýšenie zabezpečenia účtov používateľov. Tento program poskytuje vysokú úroveň ochrany proti útokom, ako sú phishing, malware a iné typy útokov na účty. Advanced Protection Program od Google poskytuje pokročilé funkcie, ako sú dvojitá autentifikácia, bezpečnostné kľúče FIDO, výstraha o neznámych prihláseniach a iné funkcie na ochranu údajov.
Tento program je určený pre kritické účty, ako sú účty politikov, novinárov a iných verejných osobností, ktoré sú vystavené vyššiemu riziku útokov. Viac informácií nájdete: Nejsilnější zabezpečení účtu od Googlu v podobě programu pokročilé ochrany