FIDO2, WebAuthn, Passwordless ja Passkeys

  • Keskustelun aloittaja Keskustelun aloittaja ztec
  • Aloitettu Aloitettu
Androidista ja iOSta molemmista löytyy natiivi Passkeys AFAIK.

Androidissa se taisi tulla API:na vasta nyt versiossa 14? iOS:ssa myös melko tuore. Jostain syystä mobiilisoftat vielä odottelee. 1Passwordissa ja Strongboxissa ainakin tuki löytyy jo.
 
Ei valitettavasti ehtinyt tohon edelliseen linkkikokoelmaan. Testi jossa koitettiin käyttää pelkästään Passkeys avaimia. No tuloksen saattoi arvata.


Lopetin salasanojen käytön. Se on hienoa - ja täyttä sotkua
Tunnusluvut ovat tulleet korvaamaan salasanat. Kun ne toimivat, se on saumaton visio tulevaisuudesta. Mutta älä vielä hylkää vanhoja tunnuksiasi.

Mulla on ollut vastaavia ongelmia, ei avain on ihan varmasti Googlella, mutta lakkaa toimimasta yhtäkkiä ja pitää rekisteröidä uudestaan. Johtuu siitä, että Google on ilmeisesti vähän veivannut noiden avain juttujen kanssa, kun taas esim. Microsoftilla, kun avaimet alkoi kerran toimimaan, ne on toiminut sen jälkeen jatkuvasti.
 
Playstation tiliin passkeys tuki.
Tässä kannattaa, varsinkin lapsiperheissä, ottaa huomioon että passkeyn käyttöönoton jälkeen store ostoja ei voi enää vahvistaa salasanalla. Eli jos luottokortti on tallennettu niin ostot onnistuvat samantien.
 
Tässä kannattaa, varsinkin lapsiperheissä, ottaa huomioon että passkeyn käyttöönoton jälkeen store ostoja ei voi enää vahvistaa salasanalla. Eli jos luottokortti on tallennettu niin ostot onnistuvat samantien.
Tuollaiseen voi käyttää esim. Wisen virtuaalikorttia, jossa verkko-ostot voi tarvittaessa kytkeä käyttöön sovelluksella ja muuten eivät onnistu.
 
Tässäpä hyvä kaavio siitä, miksi noi FIDO, WebAuthn ja PassKeys aina jaksaa aiheuttaa sekaannusta ja turhaa juupas, eipäs väittelyä.

Sehän on ihan sama, mutta kuitenkin niin eri asia.

passkeys.png
 
Mikkisoftan tilillä ei voi käyttää yubikeytä 2FA:na? Eli kirjautuisi tuon avulla millä tahansa koneella tilille, asetusten mukaan tuo toimisi vaan tässä koneessa missä tuon on setupannut?
 
Kyllä voi kirjautua ms-tilille
Komppaan, oma kanssa yubikey 5c NFC:n takana jo yli puoli vuotta.
Yritystilissä vaatii ylläpitäjiltä määrityksiä tenant tasolla jotta mahdollisuus käyttää rauta-avaimia tulee käyttöön, mikä on kyllä ihme sekoilua microsoftilta.
 
Komppaan, oma kanssa yubikey 5c NFC:n takana jo yli puoli vuotta.
Yritystilissä vaatii ylläpitäjiltä määrityksiä tenant tasolla jotta mahdollisuus käyttää rauta-avaimia tulee käyttöön, mikä on kyllä ihme sekoilua microsoftilta.

Kylläpä tämä vaan tosiaan toimi. Taitaa olla käännöskukkanen tossa kuvauksessa, hyvin toimi toisella koneella.

1713369715299.png
 
Tutkiskelin tässä mitä uusia avaimia on tullut tarjolle ja Token2:n tuotteet oli hintalaatusuhteeltaan aika mahtavia.
TOKEN2 Sàrl is a Swiss cybersecurity company specialized in the area of multifactor authentication. We are a FIDO Alliance member.

Erityisesti tykkäsin myös siitä, että tarjoavat TOTP autentikaattoreita multi-profiililla, jos FIDO2 / Passkeys ei syystä tai toisesta satu kelpaamaan. Aivan mainio tuotevalikoima ja mielestäni erittäin kohtuullisilla hinnoilla. Aikaisemmin ostin SoloKeyssiä, mutta mielestäni niiden hintalaatu suhde on selvästi huonompi kuin noilla Tokeneilla.
 
Mä olen käyttänyt FIDO2:sta Microsoftin tilin kanssa siitä asti kun se tuli mahdolliseksi, ja käytän sitä myös tosi monen muun palvelun kanssa.

Google on ehkä ollut rasittavin kaikista, ne on vähän väilä muuttanut sitä niiden puolen viritystä, niin että yhteensopivuus on katkennut ja ei ole voinut logata sisään tai samat avaimet on pitänyt rekisteröidä uudestaan, joka todennäköisesti syö avaimista lisää slotteja. Pitkä miikka Googlelle tuosta säheltämisestä.
 
Google on ehkä ollut rasittavin kaikista, ne on vähän väilä muuttanut sitä niiden puolen viritystä, niin että yhteensopivuus on katkennut ja ei ole voinut logata sisään tai samat avaimet on pitänyt rekisteröidä uudestaan, joka todennäköisesti syö avaimista lisää slotteja. Pitkä miikka Googlelle tuosta säheltämisestä.
Slottien vapauttaminen ilman koko avaimen resetointia tuli mahdolliseksi CTAP:n versiossa 2.1. Jännä sinänsä, että tällaista ominaisuutta ei otettu mukaan heti alussa. Yubikeyssä ominaisuus tuli mukaan firmware-versiossa 5.2. Toivottavasti pääsyavaimiin saadaan jossain vaiheessa toiminto, että vanhentuneet avaimet voidaan tunnistaa automaattisesti. Tähän suuntaan on otettu askelia Passkey Endpoints Well-Known URL -ehdotuksessa, jossa annettaisiin sivustoille mahdollisuus ilmoittaa koneellisesti luettavalla tavalla, missä osoitteessa pääsyavaimia voi hallinnoida.

Avaimien hallinnoinnin hankaluuden takia epäilen, onko fyysisissä avaimissa hyötyä sadoista avainpaikoista. Jos sadoista avaimista pitäisi tunnistaa, mitkä ovat edelleen relevantteja ja mitkä sivustot pitää rekisteröidä uudelle avaimelle, työmäärä on valtava. Fyysisen avaimen rekisteröinti muutamaan tärkeimpään palveluun on vielä hallittavissa, ja vähemmän tärkeissä voi käyttää ohjelmistopohjaisia avaimia.
 
Viimeksi muokattu:
Yubicolla on myös ehdotus siitä, miten vara-avaimia voisi hallinnoida kätevämmin: Webauthn Recovery Extension. Tämän idea näyttäisi olevan, että fyysiset avaimet voi yhdistää toisiinsa niin, että kun palvelu rekisteröidään yhdelle avaimelle, rekisteröityy vara-avain samalla kertaa, jolloin vara-avainta ei tarvitse pitää jatkuvasti saatavilla.

Tämä vaatisi tietysti erikseen tukea myös sivustoilta, joten lopputulos voi olla, että vaikka pääsyavaimet sinänsä yleistyisivät, suurin osa palveluista ei toteuta vara-avainlaajennusta, jos valtaosalla käyttäjistä pääsyavaimet ovat kuitenkin Googlen tai Applen järjestelmissä.
 
Viimeksi muokattu:
Microsoftilta passkeys tuki kuluttajatileille.

Edit: Muita passkeys juttuja
 
Viimeksi muokattu:
Microsoftilta passkeys tuki kuluttajatileille.

Edit: Muita passkeys juttuja

Ei voin kuin ihmetellä miksi Microsoft rajoittaa passkeysit vain Windows-ympäristöön. Mitään varsinaista estettähän sille ei ole, että noita tuettaisiin kaikilla käyttöjärjestelmillä.
 
Ei voin kuin ihmetellä miksi Microsoft rajoittaa passkeysit vain Windows-ympäristöön. Mitään varsinaista estettähän sille ei ole, että noita tuettaisiin kaikilla käyttöjärjestelmillä.
Kyllä nuo macOS toimii.

Currently supported platforms include:
  • Windows 10 and newer
  • macOS Ventura and newer
  • Safari 16 or newer
  • ChromeOS, Chrome, Microsoft Edge 109, and newer
  • iOS 16 and newer
  • Android 9 and newer
 
Viimeksi muokattu:
Otin tuon Microsoftin passkey jutun käyttöön parille tilille. Jostakin syystä se teki iCloud avainnippuun uuden tietueen, jossa on username ja passkey. Eli ei osannut laittaa passkey tietoa jo siihen olemassa olevaan, missä on username, password ja verification code.

Kaikki muut, missä on otettu passkey käyttöön niin ovat osanneet laittaa sen olemassa olevaan tietueeseen.
Esimerkiksi Google:
1714880045802.png


Toimii silti ok eli kahden tilin tapauksessa on valittava tili "Use Touch ID/Face ID to sign in" ikkunassa.
 
Viimeksi muokattu:
Kyllä nuo macOS toimii.

Currently supported platforms include:
  • Windows 10 and newer
  • macOS Ventura and newer
  • Safari 16 or newer
  • ChromeOS, Chrome, Microsoft Edge 109, and newer
  • iOS 16 and newer
  • Android 9 and newer

Niinpäs näyttäisi, ja otin käyttöön. Jostain olin lukevinani, että vain Windows olisi deskarikäyttiksistä tuettujen listalla :hmm:
 
Ei voin kuin ihmetellä miksi Microsoft rajoittaa passkeysit vain Windows-ympäristöön. Mitään varsinaista estettähän sille ei ole, että noita tuettaisiin kaikilla käyttöjärjestelmillä.

Toimii myös Linuxilla ja Firefoxilla oikein hienosti.
 
Mielenkiintoinen artikkeli...


In this article, I’ll take you through my research uncovering how to use MITM attacks to bypass FIDO2. First, I will outline a complete WebAuthn authentication flow, then walk through the protections of FIDO2. Then I will tackle famous attack techniques and provide real-life use cases. Lastly, I will discuss mitigations and what you can do to protect your enterprise.

when implementing this modern authentication method, most applications do not protect the session tokens created after authentication is successful. I discovered many identity providers are still vulnerable to MITM and session hijacking attack types.

It is concerning that the great security features of FIDO2 are not protecting the entire user session. It is important to understand that modern authentication methods are not a magic security charm, and it is not enough just to buy and implement – you need to deeply understand its pros and cons.
 
Toimii myös Linuxilla ja Firefoxilla oikein hienosti.

Tarviko sun tehdä mitään tuon eteen? Itellä M365-login ei edes anna vaihtoehdoksi Passkey:llä kirjautumista ilman User-Agentin spooffausta Chromeksi.

FF ilman spooffausta:
FF-normaali.jpg


FF spooffattu Chromeksi:
FF-spooffattu.jpg


[edit] Ja Mikkisoftan tuki pesee kätensä asiasta kun otin sinne yhteyttä. Sanovat, että ongelma on asiakaspäässä ja jotain muuta, mutta en saanut selvää kun soittivat ja soittajan aksentti oli sen verran karsee, että en saanut hirveenä selvää mitä hän sanoi...

[edit][edit] Unohtu, että toi Passkey-vaihtoehto tulee näkyviin kyllä RHEL 9.4:ssä, mutta sitä kautta kun yrittää mennä, niin se loppuu vaan virheilmoitukseen:
FireFox Red Hat Enterprise Linux 9.4.jpg
 
Viimeksi muokattu:
Joku muukin on pettynyt siihen miten asioita on Passkeyssin osalta hoidettu käytännössä, en sinänsä ole yllättynyt:

Se ei kuitenkaan tarkoita sitä, että konsepti lähtökohtaisesti olisi huono.
 
Joku muukin on pettynyt siihen miten asioita on Passkeyssin osalta hoidettu käytännössä, en sinänsä ole yllättynyt:

Se ei kuitenkaan tarkoita sitä, että konsepti lähtökohtaisesti olisi huono.

Sulla toimi toi Linux + FireFox + Passkey + M365 -yhdistelmä ongelmitta? Tarviko sun muuttaa mitään FF:ssä, että se alkoi toimimaan? Itellä se ei suostu toimimaan kuten tuossa ylempänä olevassa viestissäni sanoin.
 
Mielenkiintoinen artikkeli...


In this article, I’ll take you through my research uncovering how to use MITM attacks to bypass FIDO2. First, I will outline a complete WebAuthn authentication flow, then walk through the protections of FIDO2. Then I will tackle famous attack techniques and provide real-life use cases. Lastly, I will discuss mitigations and what you can do to protect your enterprise.

when implementing this modern authentication method, most applications do not protect the session tokens created after authentication is successful. I discovered many identity providers are still vulnerable to MITM and session hijacking attack types.

It is concerning that the great security features of FIDO2 are not protecting the entire user session. It is important to understand that modern authentication methods are not a magic security charm, and it is not enough just to buy and implement – you need to deeply understand its pros and cons.

Eipä tuo ole yllätys kun tunnistautumisen jälkeinen liikenne ei kuulu passkeyn tontille.

Google puuhaa jotain web standardia, jolla session tokenit ja cookiet sidotaan siihen laitteeseen mille ne on alunperin myönnetty.
 
Sulla toimi toi Linux + FireFox + Passkey + M365 -yhdistelmä ongelmitta? Tarviko sun muuttaa mitään FF:ssä, että se alkoi toimimaan? Itellä se ei suostu toimimaan kuten tuossa ylempänä olevassa viestissäni sanoin.
Ei varsinaisesti Firefoxissa, mutta jos käytät selainta eristetyssä kontissa, niin sille pitää toki sallia pääsy auntetinkointi-laitteeseen. Tuon kanssa meni hetki kun tappelin ja taistelin, lisäksi ennen kuin lisäsin säännöt oikealla tavalla, lähes jokainen päivitys rikkoi sen. - Mutta tuo oli siis sen mun alkuperäisen Passkey valittelun skoupin ulkopuolella. Koska toi on ollut vähän joka tasolla enemmän tai vähemmän rikki ja välillä toimi ja sitten hajosi taas. Pahinta tuo on ollut Googlen kanssa.
 
Samsungin uusimman päivityksen myötä tuli myös Samsung Internettiin Samsungin puhelimissa Passkeys tuki mukaan käyttäen myös biometrisiä avaimia.
 
Samsungin uusimman päivityksen myötä tuli myös Samsung Internettiin Samsungin puhelimissa Passkeys tuki mukaan käyttäen myös biometrisiä avaimia.
Ei nyt ole suomenkielistä versiota, mutta lontooksi "Use passkeys to sign in to supported websites with biometric authentication in Samsung Internet". Tuo on kyllä aika löysää puhetta, että autentikointi perustuisi pelkästään biometriseen tunnisteeseen. En ainakaan toivo, että kun sormenjäljen tai kasvokuvan poistaa laitteesta (ja ehkä korvaa sen toisella), niin se oli sitten siinä. No Samsungin selainta nyt ei tule muutenkaan käytetyksi, että eipä tuosta ole hyötyä eikä haittaa itselle.

Ja miksi jankkaan tästä, no siksi että vaikka käyttäjä ei edes poistaisi mitään biometrisiä tunnisteita, niin todennäköisesti taustalla ja varalla on samat vaihtoehtoiset tavat avata laitteen lukitus kuin normaalistikin. Ja jos ei olisi, niin olisi varsin epävarma tapa autentikoitua mihinkään

E: A54 Notify Update
E2: fi "Avainkoodeilla voi kirjautua Samsung Internet -sovelluksessa tuetuille verkkosivustoille biometrisellä todennuksella."
E3: Eli pitää olla Samsung Account ja passkeyt tallennetaan Samsung Pass -sovelluksella knox:iin lokaalisti ja synkataan sampan pilveen. Ei paljoakaan tekemistä biometristen tunnisteiden kanssa kun SA:n salasanalla pääsee joka tapauksessa niihin käsiksi, jopa eri laitteessa pilvisynkan kautta (biometrisiä tunnisteita kun ei vakuuteta synkattavan minnekään laitteen ulkopuolelle)
 
Viimeksi muokattu:
Android 14 toi muuten mukanaan tuen kolmannen osapuolen PassKey-sovelluksille. Selaimet ja sovellukset käyttävät Androidin natiivia PassKey-rajapintaa, joka edelleen käyttää asetuksissa valittua password/autofill/passkey sovellusta.

Samanlainen systeemi löytyy myös omenaluurien uusimmasta käyttöjärjestelmästä.

Itse en ole näitä kokeillut, Protonin salasanasovellus noin väittää toimivansa dokumentaation perusteella molemilla alustoilla.
 
Itse en ole näitä kokeillut,
Aika huteralta vaikuttaa turvallisuus, kun käyttäjän laitteilta (ja luultavasti missä vain käyttäjä on passkeys-sovelluksella kirjautuneena) pystyy pelkällä screen lockin pin -koodilla kirjautumaan minne vain käyttäjä on passkeynsä luonut (näin siis Googlella)
 
Aika huteralta vaikuttaa turvallisuus, kun käyttäjän laitteilta (ja luultavasti missä vain käyttäjä on passkeys-sovelluksella kirjautuneena) pystyy pelkällä screen lockin pin -koodilla kirjautumaan minne vain käyttäjä on passkeynsä luonut (näin siis Googlella)

Yhtä turvallinen kuin salasana managerit käyttäjän puolelta mutta turvallisuus on edelleen siinä että mikäli palveluntarjoaja korkataan niin sittenhän salaisuus on turvassa edelleen kuten pitää. Mutta parhaan turvallisuuden saa passkeys kun tallennetaan paikallisesti vain.

Minusta toteutus silti ok koska isolle osalle tuollainen paikallinen tallennus ja replikointi sitten on jo niin työläs etteivät tekisi sitä itse. Siinäkin ongelma kun avaimet hukkuu yhden laitteen myötä…
 
Tutkiskelin tässä mitä uusia avaimia on tullut tarjolle ja Token2:n tuotteet oli hintalaatusuhteeltaan aika mahtavia.
TOKEN2 Sàrl is a Swiss cybersecurity company specialized in the area of multifactor authentication. We are a FIDO Alliance member.
Kokeilin Token2:n älykorttimallisia FIDO2-turva-avaimia. Toisessa on sekä älykorttiliitäntä että NFC, toisessa on pelkkä NFC. En ehkä tässä vaiheessa suosittelisi älykorttimalleja, ellei ole valmis säätämään. Erilaisia ongelmia oli selvästi enemmän kuin USB-liitännällä.

Yksi havainto oli, että älykorttiliitäntä ei toiminut tietokoneen sisäisellä älykortinlukijalla, mutta ulkoinen USB-lukija toimi. Selitys tälle oli, että sisäisessä lukijassa oli virransäästö, joka poistaa älykortinlukijan kokonaan käytöstä, kun korttia ei ole lukijassa. USB-liitäntäinen lukija sen sijaan pysyy liitettynä myös silloin, kun korttia ei ole. Tämä ilmeisesti sekoittaa Windowsin Webauthn-ajurin, eikä älykorttia löydy, kun pitäisi rekisteröidä tunnus kortille tai kirjautua sivustolle. Ongelman sai korjattua BIOS-asetuksista, joista saattoi poistaa älykortinlukijan virransäästön käytöstä. Tällöin lukija pysyy tietokoneeseen liitettynä, vaikka lukijassa ei ole korttia.

Testasin myös iPhonella sivustojen rekisteröintiä älykortille ja kirjautumista sillä. Käytin iPhonen omaa NFC-lukijaa. Tässä ilmeni mystisiä ongelmia. Joillakin sivustoilla (Google) älykorttiin ei saanut NFC:llä yhteyttä, toisilla kortti taas toimi (Yubicon testisivusto). Syy tähän ei selvinnyt. USB:n kautta iPadiin kytketty ulkoinen NFC-lukija toimii samalla tavalla: toisilla sivustoilla toimii, toisilla ei.

Androidhan ei tällä hetkellä tue FIDO2:ta NFC-yhteyden kautta, vanhempi U2F ilmeisesti toimii. Androidilla vain USB on tällä hetkellä toimiva vaihtoehto fyysisiä avaimia käytettäessä. Myöskään ulkoinen NFC-lukija ei toimi.
 
New Eucleak attack lets threat actors clone YubiKey FIDO keys

A new "EUCLEAK" flaw found in FIDO devices using the Infineon SLE78 security microcontroller, like Yubico's YubiKey 5 Series, allows attackers to extract Elliptic Curve Digital Signature Algorithm (ECDSA) secret keys and clone the FIDO device.

However, the attack requires extended physical access, specialized equipment, and a high level of understanding of electronics and cryptography.

These prerequisites significantly mitigate the risk, limiting it mostly to attacks from highly sophisticated, state-sponsored threat actors against high-value targets. With that said, EUCLEAK is not considered a threat to general users, even to those who use theoretically vulnerable devices.
 
Google kutsuu Passkeytä suomeksi Avainkoodeiksi ja Apple Pääsyavaimiksi, sekä Microsoft Salasanattomaksi Todentamiseksi. Mukavaa, että noissakin on päädytty taas palveluntarjoajakohtaisiin nimeämiskäytäntöihin.
 
Tutkiskelin tässä mitä uusia avaimia on tullut tarjolle ja Token2:n tuotteet oli hintalaatusuhteeltaan aika mahtavia.
TOKEN2 Sàrl is a Swiss cybersecurity company specialized in the area of multifactor authentication. We are a FIDO Alliance member.
Token2 on julkaissut uuden version (release 3). Edellisestä ei ole pitkää aikaa, artikkelin mukaan viime maaliskuussa tuli release 2.

Muutokset eivät ole nyt valtavia: OpenPGP-avaimia voi käyttää ja hallintasovellukseen tuli yhteensopivuus iPhonen ja iPadin kanssa USB-liitännän kautta. Älykorttimalleissa on enemmän säilytystilaa ja molemmissa myös siruliitäntä, pelkän NFCn kautta käytettävä malli poistuu. Toki jos näitä tarvitsee, uusi malli voi olla ratkaiseva.
 
Viimeksi muokattu:
Webauthn Signal API helpottaa pääsyavaintietojen pitämistä ajan tasalla. Ehdotetun APIn avulla palvelin voi tiedottaa pääsyavaimissa tapahtuneista muutoksista. Ehdotuksessa on seuraavat toiminnot:
  • signalUnknownCredentialId: palvelin kertoo, että tietty pääsyavain ei ole voimassa. Esimerkiksi käyttäjä on poistanut pääsyavaimen palvelusta, tai palvelimelle on tarjottu rekisteröitäväksi uutta pääsyavainta, mutta palvelin on hylännyt sen.
  • signalAllAcceptedCredentialIds: palvelin kertoo kaikki voimassaolevat pääsyavaimet. Listalta puuttuvat voi olettaa mitättömiksi.
  • signalCurrentUserDetails: palvelin tiedottaa esimerkiksi käyttäjätunnuksen muuttumisesta. Pääsyavainta hallinnoiva ohjelmisto voi päivittää tämän tiedon pääsyavaimeen.
 

Statistiikka

Viestiketjuista
261 289
Viestejä
4 534 199
Jäsenet
74 780
Uusin jäsen
je55e

Hinta.fi

Back
Ylös Bottom