FIDO2, WebAuthn, Passwordless ja Passkeys

Liittynyt
28.10.2016
Viestejä
2 377
Androidista ja iOSta molemmista löytyy natiivi Passkeys AFAIK.
Androidissa se taisi tulla API:na vasta nyt versiossa 14? iOS:ssa myös melko tuore. Jostain syystä mobiilisoftat vielä odottelee. 1Passwordissa ja Strongboxissa ainakin tuki löytyy jo.
 
Liittynyt
07.07.2019
Viestejä
1 447
Ei valitettavasti ehtinyt tohon edelliseen linkkikokoelmaan. Testi jossa koitettiin käyttää pelkästään Passkeys avaimia. No tuloksen saattoi arvata.


Lopetin salasanojen käytön. Se on hienoa - ja täyttä sotkua
Tunnusluvut ovat tulleet korvaamaan salasanat. Kun ne toimivat, se on saumaton visio tulevaisuudesta. Mutta älä vielä hylkää vanhoja tunnuksiasi.
Mulla on ollut vastaavia ongelmia, ei avain on ihan varmasti Googlella, mutta lakkaa toimimasta yhtäkkiä ja pitää rekisteröidä uudestaan. Johtuu siitä, että Google on ilmeisesti vähän veivannut noiden avain juttujen kanssa, kun taas esim. Microsoftilla, kun avaimet alkoi kerran toimimaan, ne on toiminut sen jälkeen jatkuvasti.
 
Liittynyt
20.11.2016
Viestejä
725

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 072
Liittynyt
30.10.2016
Viestejä
322
Playstation tiliin passkeys tuki.
Tässä kannattaa, varsinkin lapsiperheissä, ottaa huomioon että passkeyn käyttöönoton jälkeen store ostoja ei voi enää vahvistaa salasanalla. Eli jos luottokortti on tallennettu niin ostot onnistuvat samantien.
 
Liittynyt
04.03.2020
Viestejä
99
Tässä kannattaa, varsinkin lapsiperheissä, ottaa huomioon että passkeyn käyttöönoton jälkeen store ostoja ei voi enää vahvistaa salasanalla. Eli jos luottokortti on tallennettu niin ostot onnistuvat samantien.
Tuollaiseen voi käyttää esim. Wisen virtuaalikorttia, jossa verkko-ostot voi tarvittaessa kytkeä käyttöön sovelluksella ja muuten eivät onnistu.
 
Liittynyt
07.07.2019
Viestejä
1 447
Tässäpä hyvä kaavio siitä, miksi noi FIDO, WebAuthn ja PassKeys aina jaksaa aiheuttaa sekaannusta ja turhaa juupas, eipäs väittelyä.

Sehän on ihan sama, mutta kuitenkin niin eri asia.

passkeys.png
 
Liittynyt
18.10.2016
Viestejä
1 779
Mikkisoftan tilillä ei voi käyttää yubikeytä 2FA:na? Eli kirjautuisi tuon avulla millä tahansa koneella tilille, asetusten mukaan tuo toimisi vaan tässä koneessa missä tuon on setupannut?
 
Liittynyt
25.10.2016
Viestejä
231
Mikkisoftan tilillä ei voi käyttää yubikeytä 2FA:na? Eli kirjautuisi tuon avulla millä tahansa koneella tilille, asetusten mukaan tuo toimisi vaan tässä koneessa missä tuon on setupannut?
Kyllä voi kirjautua ms-tilille
 

fin_modder

Make ATK Great Again
Liittynyt
03.04.2023
Viestejä
78
Kyllä voi kirjautua ms-tilille
Komppaan, oma kanssa yubikey 5c NFC:n takana jo yli puoli vuotta.
Yritystilissä vaatii ylläpitäjiltä määrityksiä tenant tasolla jotta mahdollisuus käyttää rauta-avaimia tulee käyttöön, mikä on kyllä ihme sekoilua microsoftilta.
 
Liittynyt
18.10.2016
Viestejä
1 779
Komppaan, oma kanssa yubikey 5c NFC:n takana jo yli puoli vuotta.
Yritystilissä vaatii ylläpitäjiltä määrityksiä tenant tasolla jotta mahdollisuus käyttää rauta-avaimia tulee käyttöön, mikä on kyllä ihme sekoilua microsoftilta.
Kylläpä tämä vaan tosiaan toimi. Taitaa olla käännöskukkanen tossa kuvauksessa, hyvin toimi toisella koneella.

1713369715299.png
 
Liittynyt
07.07.2019
Viestejä
1 447
Tutkiskelin tässä mitä uusia avaimia on tullut tarjolle ja Token2:n tuotteet oli hintalaatusuhteeltaan aika mahtavia.
TOKEN2 Sàrl is a Swiss cybersecurity company specialized in the area of multifactor authentication. We are a FIDO Alliance member.

Erityisesti tykkäsin myös siitä, että tarjoavat TOTP autentikaattoreita multi-profiililla, jos FIDO2 / Passkeys ei syystä tai toisesta satu kelpaamaan. Aivan mainio tuotevalikoima ja mielestäni erittäin kohtuullisilla hinnoilla. Aikaisemmin ostin SoloKeyssiä, mutta mielestäni niiden hintalaatu suhde on selvästi huonompi kuin noilla Tokeneilla.
 
Liittynyt
07.07.2019
Viestejä
1 447
Mä olen käyttänyt FIDO2:sta Microsoftin tilin kanssa siitä asti kun se tuli mahdolliseksi, ja käytän sitä myös tosi monen muun palvelun kanssa.

Google on ehkä ollut rasittavin kaikista, ne on vähän väilä muuttanut sitä niiden puolen viritystä, niin että yhteensopivuus on katkennut ja ei ole voinut logata sisään tai samat avaimet on pitänyt rekisteröidä uudestaan, joka todennäköisesti syö avaimista lisää slotteja. Pitkä miikka Googlelle tuosta säheltämisestä.
 
Liittynyt
04.03.2020
Viestejä
99
Google on ehkä ollut rasittavin kaikista, ne on vähän väilä muuttanut sitä niiden puolen viritystä, niin että yhteensopivuus on katkennut ja ei ole voinut logata sisään tai samat avaimet on pitänyt rekisteröidä uudestaan, joka todennäköisesti syö avaimista lisää slotteja. Pitkä miikka Googlelle tuosta säheltämisestä.
Slottien vapauttaminen ilman koko avaimen resetointia tuli mahdolliseksi CTAP:n versiossa 2.1. Jännä sinänsä, että tällaista ominaisuutta ei otettu mukaan heti alussa. Yubikeyssä ominaisuus tuli mukaan firmware-versiossa 5.2. Toivottavasti pääsyavaimiin saadaan jossain vaiheessa toiminto, että vanhentuneet avaimet voidaan tunnistaa automaattisesti. Tähän suuntaan on otettu askelia Passkey Endpoints Well-Known URL -ehdotuksessa, jossa annettaisiin sivustoille mahdollisuus ilmoittaa koneellisesti luettavalla tavalla, missä osoitteessa pääsyavaimia voi hallinnoida.

Avaimien hallinnoinnin hankaluuden takia epäilen, onko fyysisissä avaimissa hyötyä sadoista avainpaikoista. Jos sadoista avaimista pitäisi tunnistaa, mitkä ovat edelleen relevantteja ja mitkä sivustot pitää rekisteröidä uudelle avaimelle, työmäärä on valtava. Fyysisen avaimen rekisteröinti muutamaan tärkeimpään palveluun on vielä hallittavissa, ja vähemmän tärkeissä voi käyttää ohjelmistopohjaisia avaimia.
 
Viimeksi muokattu:
Liittynyt
04.03.2020
Viestejä
99
Yubicolla on myös ehdotus siitä, miten vara-avaimia voisi hallinnoida kätevämmin: Webauthn Recovery Extension. Tämän idea näyttäisi olevan, että fyysiset avaimet voi yhdistää toisiinsa niin, että kun palvelu rekisteröidään yhdelle avaimelle, rekisteröityy vara-avain samalla kertaa, jolloin vara-avainta ei tarvitse pitää jatkuvasti saatavilla.

Tämä vaatisi tietysti erikseen tukea myös sivustoilta, joten lopputulos voi olla, että vaikka pääsyavaimet sinänsä yleistyisivät, suurin osa palveluista ei toteuta vara-avainlaajennusta, jos valtaosalla käyttäjistä pääsyavaimet ovat kuitenkin Googlen tai Applen järjestelmissä.
 
Viimeksi muokattu:

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 072
Microsoftilta passkeys tuki kuluttajatileille.

Edit: Muita passkeys juttuja
 
Viimeksi muokattu:
Liittynyt
28.10.2016
Viestejä
2 377
Microsoftilta passkeys tuki kuluttajatileille.

Edit: Muita passkeys juttuja
Ei voin kuin ihmetellä miksi Microsoft rajoittaa passkeysit vain Windows-ympäristöön. Mitään varsinaista estettähän sille ei ole, että noita tuettaisiin kaikilla käyttöjärjestelmillä.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 072
Ei voin kuin ihmetellä miksi Microsoft rajoittaa passkeysit vain Windows-ympäristöön. Mitään varsinaista estettähän sille ei ole, että noita tuettaisiin kaikilla käyttöjärjestelmillä.
Kyllä nuo macOS toimii.

Currently supported platforms include:
  • Windows 10 and newer
  • macOS Ventura and newer
  • Safari 16 or newer
  • ChromeOS, Chrome, Microsoft Edge 109, and newer
  • iOS 16 and newer
  • Android 9 and newer
 
Viimeksi muokattu:

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 072
Otin tuon Microsoftin passkey jutun käyttöön parille tilille. Jostakin syystä se teki iCloud avainnippuun uuden tietueen, jossa on username ja passkey. Eli ei osannut laittaa passkey tietoa jo siihen olemassa olevaan, missä on username, password ja verification code.

Kaikki muut, missä on otettu passkey käyttöön niin ovat osanneet laittaa sen olemassa olevaan tietueeseen.
Esimerkiksi Google:
1714880045802.png


Toimii silti ok eli kahden tilin tapauksessa on valittava tili "Use Touch ID/Face ID to sign in" ikkunassa.
 
Viimeksi muokattu:
Liittynyt
28.10.2016
Viestejä
2 377
Kyllä nuo macOS toimii.

Currently supported platforms include:
  • Windows 10 and newer
  • macOS Ventura and newer
  • Safari 16 or newer
  • ChromeOS, Chrome, Microsoft Edge 109, and newer
  • iOS 16 and newer
  • Android 9 and newer
Niinpäs näyttäisi, ja otin käyttöön. Jostain olin lukevinani, että vain Windows olisi deskarikäyttiksistä tuettujen listalla :hmm:
 
Liittynyt
07.07.2019
Viestejä
1 447
Ei voin kuin ihmetellä miksi Microsoft rajoittaa passkeysit vain Windows-ympäristöön. Mitään varsinaista estettähän sille ei ole, että noita tuettaisiin kaikilla käyttöjärjestelmillä.
Toimii myös Linuxilla ja Firefoxilla oikein hienosti.
 
Liittynyt
20.10.2016
Viestejä
6 315
Mielenkiintoinen artikkeli...


In this article, I’ll take you through my research uncovering how to use MITM attacks to bypass FIDO2. First, I will outline a complete WebAuthn authentication flow, then walk through the protections of FIDO2. Then I will tackle famous attack techniques and provide real-life use cases. Lastly, I will discuss mitigations and what you can do to protect your enterprise.

when implementing this modern authentication method, most applications do not protect the session tokens created after authentication is successful. I discovered many identity providers are still vulnerable to MITM and session hijacking attack types.

It is concerning that the great security features of FIDO2 are not protecting the entire user session. It is important to understand that modern authentication methods are not a magic security charm, and it is not enough just to buy and implement – you need to deeply understand its pros and cons.
 
Liittynyt
17.03.2022
Viestejä
629
Toimii myös Linuxilla ja Firefoxilla oikein hienosti.
Tarviko sun tehdä mitään tuon eteen? Itellä M365-login ei edes anna vaihtoehdoksi Passkey:llä kirjautumista ilman User-Agentin spooffausta Chromeksi.

FF ilman spooffausta:
FF-normaali.jpg


FF spooffattu Chromeksi:
FF-spooffattu.jpg


[edit] Ja Mikkisoftan tuki pesee kätensä asiasta kun otin sinne yhteyttä. Sanovat, että ongelma on asiakaspäässä ja jotain muuta, mutta en saanut selvää kun soittivat ja soittajan aksentti oli sen verran karsee, että en saanut hirveenä selvää mitä hän sanoi...

[edit][edit] Unohtu, että toi Passkey-vaihtoehto tulee näkyviin kyllä RHEL 9.4:ssä, mutta sitä kautta kun yrittää mennä, niin se loppuu vaan virheilmoitukseen:
FireFox Red Hat Enterprise Linux 9.4.jpg
 
Viimeksi muokattu:
Liittynyt
07.07.2019
Viestejä
1 447
Joku muukin on pettynyt siihen miten asioita on Passkeyssin osalta hoidettu käytännössä, en sinänsä ole yllättynyt:

Se ei kuitenkaan tarkoita sitä, että konsepti lähtökohtaisesti olisi huono.
 
Liittynyt
17.03.2022
Viestejä
629
Joku muukin on pettynyt siihen miten asioita on Passkeyssin osalta hoidettu käytännössä, en sinänsä ole yllättynyt:

Se ei kuitenkaan tarkoita sitä, että konsepti lähtökohtaisesti olisi huono.
Sulla toimi toi Linux + FireFox + Passkey + M365 -yhdistelmä ongelmitta? Tarviko sun muuttaa mitään FF:ssä, että se alkoi toimimaan? Itellä se ei suostu toimimaan kuten tuossa ylempänä olevassa viestissäni sanoin.
 
Liittynyt
19.10.2016
Viestejä
879
Mielenkiintoinen artikkeli...


In this article, I’ll take you through my research uncovering how to use MITM attacks to bypass FIDO2. First, I will outline a complete WebAuthn authentication flow, then walk through the protections of FIDO2. Then I will tackle famous attack techniques and provide real-life use cases. Lastly, I will discuss mitigations and what you can do to protect your enterprise.

when implementing this modern authentication method, most applications do not protect the session tokens created after authentication is successful. I discovered many identity providers are still vulnerable to MITM and session hijacking attack types.

It is concerning that the great security features of FIDO2 are not protecting the entire user session. It is important to understand that modern authentication methods are not a magic security charm, and it is not enough just to buy and implement – you need to deeply understand its pros and cons.
Eipä tuo ole yllätys kun tunnistautumisen jälkeinen liikenne ei kuulu passkeyn tontille.

Google puuhaa jotain web standardia, jolla session tokenit ja cookiet sidotaan siihen laitteeseen mille ne on alunperin myönnetty.
 
Liittynyt
07.07.2019
Viestejä
1 447
Sulla toimi toi Linux + FireFox + Passkey + M365 -yhdistelmä ongelmitta? Tarviko sun muuttaa mitään FF:ssä, että se alkoi toimimaan? Itellä se ei suostu toimimaan kuten tuossa ylempänä olevassa viestissäni sanoin.
Ei varsinaisesti Firefoxissa, mutta jos käytät selainta eristetyssä kontissa, niin sille pitää toki sallia pääsy auntetinkointi-laitteeseen. Tuon kanssa meni hetki kun tappelin ja taistelin, lisäksi ennen kuin lisäsin säännöt oikealla tavalla, lähes jokainen päivitys rikkoi sen. - Mutta tuo oli siis sen mun alkuperäisen Passkey valittelun skoupin ulkopuolella. Koska toi on ollut vähän joka tasolla enemmän tai vähemmän rikki ja välillä toimi ja sitten hajosi taas. Pahinta tuo on ollut Googlen kanssa.
 
Liittynyt
07.07.2019
Viestejä
1 447
Samsungin uusimman päivityksen myötä tuli myös Samsung Internettiin Samsungin puhelimissa Passkeys tuki mukaan käyttäen myös biometrisiä avaimia.
 
Liittynyt
27.12.2018
Viestejä
2 406
Samsungin uusimman päivityksen myötä tuli myös Samsung Internettiin Samsungin puhelimissa Passkeys tuki mukaan käyttäen myös biometrisiä avaimia.
Ei nyt ole suomenkielistä versiota, mutta lontooksi "Use passkeys to sign in to supported websites with biometric authentication in Samsung Internet". Tuo on kyllä aika löysää puhetta, että autentikointi perustuisi pelkästään biometriseen tunnisteeseen. En ainakaan toivo, että kun sormenjäljen tai kasvokuvan poistaa laitteesta (ja ehkä korvaa sen toisella), niin se oli sitten siinä. No Samsungin selainta nyt ei tule muutenkaan käytetyksi, että eipä tuosta ole hyötyä eikä haittaa itselle.

Ja miksi jankkaan tästä, no siksi että vaikka käyttäjä ei edes poistaisi mitään biometrisiä tunnisteita, niin todennäköisesti taustalla ja varalla on samat vaihtoehtoiset tavat avata laitteen lukitus kuin normaalistikin. Ja jos ei olisi, niin olisi varsin epävarma tapa autentikoitua mihinkään

E: A54 Notify Update
E2: fi "Avainkoodeilla voi kirjautua Samsung Internet -sovelluksessa tuetuille verkkosivustoille biometrisellä todennuksella."
E3: Eli pitää olla Samsung Account ja passkeyt tallennetaan Samsung Pass -sovelluksella knox:iin lokaalisti ja synkataan sampan pilveen. Ei paljoakaan tekemistä biometristen tunnisteiden kanssa kun SA:n salasanalla pääsee joka tapauksessa niihin käsiksi, jopa eri laitteessa pilvisynkan kautta (biometrisiä tunnisteita kun ei vakuuteta synkattavan minnekään laitteen ulkopuolelle)
 
Viimeksi muokattu:
Liittynyt
19.10.2016
Viestejä
879
Android 14 toi muuten mukanaan tuen kolmannen osapuolen PassKey-sovelluksille. Selaimet ja sovellukset käyttävät Androidin natiivia PassKey-rajapintaa, joka edelleen käyttää asetuksissa valittua password/autofill/passkey sovellusta.

Samanlainen systeemi löytyy myös omenaluurien uusimmasta käyttöjärjestelmästä.

Itse en ole näitä kokeillut, Protonin salasanasovellus noin väittää toimivansa dokumentaation perusteella molemilla alustoilla.
 
Liittynyt
27.12.2018
Viestejä
2 406
Itse en ole näitä kokeillut,
Aika huteralta vaikuttaa turvallisuus, kun käyttäjän laitteilta (ja luultavasti missä vain käyttäjä on passkeys-sovelluksella kirjautuneena) pystyy pelkällä screen lockin pin -koodilla kirjautumaan minne vain käyttäjä on passkeynsä luonut (näin siis Googlella)
 
Liittynyt
17.10.2016
Viestejä
2 076
Aika huteralta vaikuttaa turvallisuus, kun käyttäjän laitteilta (ja luultavasti missä vain käyttäjä on passkeys-sovelluksella kirjautuneena) pystyy pelkällä screen lockin pin -koodilla kirjautumaan minne vain käyttäjä on passkeynsä luonut (näin siis Googlella)
Yhtä turvallinen kuin salasana managerit käyttäjän puolelta mutta turvallisuus on edelleen siinä että mikäli palveluntarjoaja korkataan niin sittenhän salaisuus on turvassa edelleen kuten pitää. Mutta parhaan turvallisuuden saa passkeys kun tallennetaan paikallisesti vain.

Minusta toteutus silti ok koska isolle osalle tuollainen paikallinen tallennus ja replikointi sitten on jo niin työläs etteivät tekisi sitä itse. Siinäkin ongelma kun avaimet hukkuu yhden laitteen myötä…
 
Liittynyt
04.03.2020
Viestejä
99
Tutkiskelin tässä mitä uusia avaimia on tullut tarjolle ja Token2:n tuotteet oli hintalaatusuhteeltaan aika mahtavia.
TOKEN2 Sàrl is a Swiss cybersecurity company specialized in the area of multifactor authentication. We are a FIDO Alliance member.
Kokeilin Token2:n älykorttimallisia FIDO2-turva-avaimia. Toisessa on sekä älykorttiliitäntä että NFC, toisessa on pelkkä NFC. En ehkä tässä vaiheessa suosittelisi älykorttimalleja, ellei ole valmis säätämään. Erilaisia ongelmia oli selvästi enemmän kuin USB-liitännällä.

Yksi havainto oli, että älykorttiliitäntä ei toiminut tietokoneen sisäisellä älykortinlukijalla, mutta ulkoinen USB-lukija toimi. Selitys tälle oli, että sisäisessä lukijassa oli virransäästö, joka poistaa älykortinlukijan kokonaan käytöstä, kun korttia ei ole lukijassa. USB-liitäntäinen lukija sen sijaan pysyy liitettynä myös silloin, kun korttia ei ole. Tämä ilmeisesti sekoittaa Windowsin Webauthn-ajurin, eikä älykorttia löydy, kun pitäisi rekisteröidä tunnus kortille tai kirjautua sivustolle. Ongelman sai korjattua BIOS-asetuksista, joista saattoi poistaa älykortinlukijan virransäästön käytöstä. Tällöin lukija pysyy tietokoneeseen liitettynä, vaikka lukijassa ei ole korttia.

Testasin myös iPhonella sivustojen rekisteröintiä älykortille ja kirjautumista sillä. Käytin iPhonen omaa NFC-lukijaa. Tässä ilmeni mystisiä ongelmia. Joillakin sivustoilla (Google) älykorttiin ei saanut NFC:llä yhteyttä, toisilla kortti taas toimi (Yubicon testisivusto). Syy tähän ei selvinnyt. USB:n kautta iPadiin kytketty ulkoinen NFC-lukija toimii samalla tavalla: toisilla sivustoilla toimii, toisilla ei.

Androidhan ei tällä hetkellä tue FIDO2:ta NFC-yhteyden kautta, vanhempi U2F ilmeisesti toimii. Androidilla vain USB on tällä hetkellä toimiva vaihtoehto fyysisiä avaimia käytettäessä. Myöskään ulkoinen NFC-lukija ei toimi.
 
Toggle Sidebar

Uusimmat viestit

Statistiikka

Viestiketjut
245 103
Viestejä
4 278 615
Jäsenet
71 599
Uusin jäsen
2teemu

Hinta.fi

Ylös Bottom