FIDO2, WebAuthn, Passwordless ja Passkeys

Liittynyt
28.10.2016
Viestejä
2 373
Androidista ja iOSta molemmista löytyy natiivi Passkeys AFAIK.
Androidissa se taisi tulla API:na vasta nyt versiossa 14? iOS:ssa myös melko tuore. Jostain syystä mobiilisoftat vielä odottelee. 1Passwordissa ja Strongboxissa ainakin tuki löytyy jo.
 
Liittynyt
07.07.2019
Viestejä
1 428
Ei valitettavasti ehtinyt tohon edelliseen linkkikokoelmaan. Testi jossa koitettiin käyttää pelkästään Passkeys avaimia. No tuloksen saattoi arvata.


Lopetin salasanojen käytön. Se on hienoa - ja täyttä sotkua
Tunnusluvut ovat tulleet korvaamaan salasanat. Kun ne toimivat, se on saumaton visio tulevaisuudesta. Mutta älä vielä hylkää vanhoja tunnuksiasi.
Mulla on ollut vastaavia ongelmia, ei avain on ihan varmasti Googlella, mutta lakkaa toimimasta yhtäkkiä ja pitää rekisteröidä uudestaan. Johtuu siitä, että Google on ilmeisesti vähän veivannut noiden avain juttujen kanssa, kun taas esim. Microsoftilla, kun avaimet alkoi kerran toimimaan, ne on toiminut sen jälkeen jatkuvasti.
 
Liittynyt
20.11.2016
Viestejä
725

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 058
Liittynyt
30.10.2016
Viestejä
315
Playstation tiliin passkeys tuki.
Tässä kannattaa, varsinkin lapsiperheissä, ottaa huomioon että passkeyn käyttöönoton jälkeen store ostoja ei voi enää vahvistaa salasanalla. Eli jos luottokortti on tallennettu niin ostot onnistuvat samantien.
 
Liittynyt
04.03.2020
Viestejä
93
Tässä kannattaa, varsinkin lapsiperheissä, ottaa huomioon että passkeyn käyttöönoton jälkeen store ostoja ei voi enää vahvistaa salasanalla. Eli jos luottokortti on tallennettu niin ostot onnistuvat samantien.
Tuollaiseen voi käyttää esim. Wisen virtuaalikorttia, jossa verkko-ostot voi tarvittaessa kytkeä käyttöön sovelluksella ja muuten eivät onnistu.
 
Liittynyt
07.07.2019
Viestejä
1 428
Tässäpä hyvä kaavio siitä, miksi noi FIDO, WebAuthn ja PassKeys aina jaksaa aiheuttaa sekaannusta ja turhaa juupas, eipäs väittelyä.

Sehän on ihan sama, mutta kuitenkin niin eri asia.

passkeys.png
 
Liittynyt
18.10.2016
Viestejä
1 762
Mikkisoftan tilillä ei voi käyttää yubikeytä 2FA:na? Eli kirjautuisi tuon avulla millä tahansa koneella tilille, asetusten mukaan tuo toimisi vaan tässä koneessa missä tuon on setupannut?
 
Liittynyt
25.10.2016
Viestejä
231
Mikkisoftan tilillä ei voi käyttää yubikeytä 2FA:na? Eli kirjautuisi tuon avulla millä tahansa koneella tilille, asetusten mukaan tuo toimisi vaan tässä koneessa missä tuon on setupannut?
Kyllä voi kirjautua ms-tilille
 

fin_modder

Make ATK Great Again
Liittynyt
03.04.2023
Viestejä
76
Kyllä voi kirjautua ms-tilille
Komppaan, oma kanssa yubikey 5c NFC:n takana jo yli puoli vuotta.
Yritystilissä vaatii ylläpitäjiltä määrityksiä tenant tasolla jotta mahdollisuus käyttää rauta-avaimia tulee käyttöön, mikä on kyllä ihme sekoilua microsoftilta.
 
Liittynyt
18.10.2016
Viestejä
1 762
Komppaan, oma kanssa yubikey 5c NFC:n takana jo yli puoli vuotta.
Yritystilissä vaatii ylläpitäjiltä määrityksiä tenant tasolla jotta mahdollisuus käyttää rauta-avaimia tulee käyttöön, mikä on kyllä ihme sekoilua microsoftilta.
Kylläpä tämä vaan tosiaan toimi. Taitaa olla käännöskukkanen tossa kuvauksessa, hyvin toimi toisella koneella.

1713369715299.png
 
Liittynyt
07.07.2019
Viestejä
1 428
Tutkiskelin tässä mitä uusia avaimia on tullut tarjolle ja Token2:n tuotteet oli hintalaatusuhteeltaan aika mahtavia.
TOKEN2 Sàrl is a Swiss cybersecurity company specialized in the area of multifactor authentication. We are a FIDO Alliance member.

Erityisesti tykkäsin myös siitä, että tarjoavat TOTP autentikaattoreita multi-profiililla, jos FIDO2 / Passkeys ei syystä tai toisesta satu kelpaamaan. Aivan mainio tuotevalikoima ja mielestäni erittäin kohtuullisilla hinnoilla. Aikaisemmin ostin SoloKeyssiä, mutta mielestäni niiden hintalaatu suhde on selvästi huonompi kuin noilla Tokeneilla.
 
Liittynyt
07.07.2019
Viestejä
1 428
Mä olen käyttänyt FIDO2:sta Microsoftin tilin kanssa siitä asti kun se tuli mahdolliseksi, ja käytän sitä myös tosi monen muun palvelun kanssa.

Google on ehkä ollut rasittavin kaikista, ne on vähän väilä muuttanut sitä niiden puolen viritystä, niin että yhteensopivuus on katkennut ja ei ole voinut logata sisään tai samat avaimet on pitänyt rekisteröidä uudestaan, joka todennäköisesti syö avaimista lisää slotteja. Pitkä miikka Googlelle tuosta säheltämisestä.
 
Liittynyt
04.03.2020
Viestejä
93
Google on ehkä ollut rasittavin kaikista, ne on vähän väilä muuttanut sitä niiden puolen viritystä, niin että yhteensopivuus on katkennut ja ei ole voinut logata sisään tai samat avaimet on pitänyt rekisteröidä uudestaan, joka todennäköisesti syö avaimista lisää slotteja. Pitkä miikka Googlelle tuosta säheltämisestä.
Slottien vapauttaminen ilman koko avaimen resetointia tuli mahdolliseksi CTAP:n versiossa 2.1. Jännä sinänsä, että tällaista ominaisuutta ei otettu mukaan heti alussa. Yubikeyssä ominaisuus tuli mukaan firmware-versiossa 5.2. Toivottavasti pääsyavaimiin saadaan jossain vaiheessa toiminto, että vanhentuneet avaimet voidaan tunnistaa automaattisesti. Tähän suuntaan on otettu askelia Passkey Endpoints Well-Known URL -ehdotuksessa, jossa annettaisiin sivustoille mahdollisuus ilmoittaa koneellisesti luettavalla tavalla, missä osoitteessa pääsyavaimia voi hallinnoida.

Avaimien hallinnoinnin hankaluuden takia epäilen, onko fyysisissä avaimissa hyötyä sadoista avainpaikoista. Jos sadoista avaimista pitäisi tunnistaa, mitkä ovat edelleen relevantteja ja mitkä sivustot pitää rekisteröidä uudelle avaimelle, työmäärä on valtava. Fyysisen avaimen rekisteröinti muutamaan tärkeimpään palveluun on vielä hallittavissa, ja vähemmän tärkeissä voi käyttää ohjelmistopohjaisia avaimia.
 
Viimeksi muokattu:
Liittynyt
04.03.2020
Viestejä
93
Yubicolla on myös ehdotus siitä, miten vara-avaimia voisi hallinnoida kätevämmin: Webauthn Recovery Extension. Tämän idea näyttäisi olevan, että fyysiset avaimet voi yhdistää toisiinsa niin, että kun palvelu rekisteröidään yhdelle avaimelle, rekisteröityy vara-avain samalla kertaa, jolloin vara-avainta ei tarvitse pitää jatkuvasti saatavilla.

Tämä vaatisi tietysti erikseen tukea myös sivustoilta, joten lopputulos voi olla, että vaikka pääsyavaimet sinänsä yleistyisivät, suurin osa palveluista ei toteuta vara-avainlaajennusta, jos valtaosalla käyttäjistä pääsyavaimet ovat kuitenkin Googlen tai Applen järjestelmissä.
 
Viimeksi muokattu:

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 058
Microsoftilta passkeys tuki kuluttajatileille.

Edit: Muita passkeys juttuja
 
Viimeksi muokattu:
Liittynyt
28.10.2016
Viestejä
2 373
Microsoftilta passkeys tuki kuluttajatileille.

Edit: Muita passkeys juttuja
Ei voin kuin ihmetellä miksi Microsoft rajoittaa passkeysit vain Windows-ympäristöön. Mitään varsinaista estettähän sille ei ole, että noita tuettaisiin kaikilla käyttöjärjestelmillä.
 

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 058
Ei voin kuin ihmetellä miksi Microsoft rajoittaa passkeysit vain Windows-ympäristöön. Mitään varsinaista estettähän sille ei ole, että noita tuettaisiin kaikilla käyttöjärjestelmillä.
Kyllä nuo macOS toimii.

Currently supported platforms include:
  • Windows 10 and newer
  • macOS Ventura and newer
  • Safari 16 or newer
  • ChromeOS, Chrome, Microsoft Edge 109, and newer
  • iOS 16 and newer
  • Android 9 and newer
 
Viimeksi muokattu:

user9999

Platinum-jäsen
Liittynyt
17.10.2016
Viestejä
3 058
Otin tuon Microsoftin passkey jutun käyttöön parille tilille. Jostakin syystä se teki iCloud avainnippuun uuden tietueen, jossa on username ja passkey. Eli ei osannut laittaa passkey tietoa jo siihen olemassa olevaan, missä on username, password ja verification code.

Kaikki muut, missä on otettu passkey käyttöön niin ovat osanneet laittaa sen olemassa olevaan tietueeseen.
Esimerkiksi Google:
1714880045802.png


Toimii silti ok eli kahden tilin tapauksessa on valittava tili "Use Touch ID/Face ID to sign in" ikkunassa.
 
Viimeksi muokattu:
Liittynyt
28.10.2016
Viestejä
2 373
Kyllä nuo macOS toimii.

Currently supported platforms include:
  • Windows 10 and newer
  • macOS Ventura and newer
  • Safari 16 or newer
  • ChromeOS, Chrome, Microsoft Edge 109, and newer
  • iOS 16 and newer
  • Android 9 and newer
Niinpäs näyttäisi, ja otin käyttöön. Jostain olin lukevinani, että vain Windows olisi deskarikäyttiksistä tuettujen listalla :hmm:
 
Liittynyt
07.07.2019
Viestejä
1 428
Ei voin kuin ihmetellä miksi Microsoft rajoittaa passkeysit vain Windows-ympäristöön. Mitään varsinaista estettähän sille ei ole, että noita tuettaisiin kaikilla käyttöjärjestelmillä.
Toimii myös Linuxilla ja Firefoxilla oikein hienosti.
 
Liittynyt
20.10.2016
Viestejä
6 276
Mielenkiintoinen artikkeli...


In this article, I’ll take you through my research uncovering how to use MITM attacks to bypass FIDO2. First, I will outline a complete WebAuthn authentication flow, then walk through the protections of FIDO2. Then I will tackle famous attack techniques and provide real-life use cases. Lastly, I will discuss mitigations and what you can do to protect your enterprise.

when implementing this modern authentication method, most applications do not protect the session tokens created after authentication is successful. I discovered many identity providers are still vulnerable to MITM and session hijacking attack types.

It is concerning that the great security features of FIDO2 are not protecting the entire user session. It is important to understand that modern authentication methods are not a magic security charm, and it is not enough just to buy and implement – you need to deeply understand its pros and cons.
 
Liittynyt
17.03.2022
Viestejä
614
Toimii myös Linuxilla ja Firefoxilla oikein hienosti.
Tarviko sun tehdä mitään tuon eteen? Itellä M365-login ei edes anna vaihtoehdoksi Passkey:llä kirjautumista ilman User-Agentin spooffausta Chromeksi.

FF ilman spooffausta:
FF-normaali.jpg


FF spooffattu Chromeksi:
FF-spooffattu.jpg


[edit] Ja Mikkisoftan tuki pesee kätensä asiasta kun otin sinne yhteyttä. Sanovat, että ongelma on asiakaspäässä ja jotain muuta, mutta en saanut selvää kun soittivat ja soittajan aksentti oli sen verran karsee, että en saanut hirveenä selvää mitä hän sanoi...

[edit][edit] Unohtu, että toi Passkey-vaihtoehto tulee näkyviin kyllä RHEL 9.4:ssä, mutta sitä kautta kun yrittää mennä, niin se loppuu vaan virheilmoitukseen:
FireFox Red Hat Enterprise Linux 9.4.jpg
 
Viimeksi muokattu:
Liittynyt
07.07.2019
Viestejä
1 428
Joku muukin on pettynyt siihen miten asioita on Passkeyssin osalta hoidettu käytännössä, en sinänsä ole yllättynyt:

Se ei kuitenkaan tarkoita sitä, että konsepti lähtökohtaisesti olisi huono.
 
Liittynyt
17.03.2022
Viestejä
614
Joku muukin on pettynyt siihen miten asioita on Passkeyssin osalta hoidettu käytännössä, en sinänsä ole yllättynyt:

Se ei kuitenkaan tarkoita sitä, että konsepti lähtökohtaisesti olisi huono.
Sulla toimi toi Linux + FireFox + Passkey + M365 -yhdistelmä ongelmitta? Tarviko sun muuttaa mitään FF:ssä, että se alkoi toimimaan? Itellä se ei suostu toimimaan kuten tuossa ylempänä olevassa viestissäni sanoin.
 
Liittynyt
19.10.2016
Viestejä
866
Mielenkiintoinen artikkeli...


In this article, I’ll take you through my research uncovering how to use MITM attacks to bypass FIDO2. First, I will outline a complete WebAuthn authentication flow, then walk through the protections of FIDO2. Then I will tackle famous attack techniques and provide real-life use cases. Lastly, I will discuss mitigations and what you can do to protect your enterprise.

when implementing this modern authentication method, most applications do not protect the session tokens created after authentication is successful. I discovered many identity providers are still vulnerable to MITM and session hijacking attack types.

It is concerning that the great security features of FIDO2 are not protecting the entire user session. It is important to understand that modern authentication methods are not a magic security charm, and it is not enough just to buy and implement – you need to deeply understand its pros and cons.
Eipä tuo ole yllätys kun tunnistautumisen jälkeinen liikenne ei kuulu passkeyn tontille.

Google puuhaa jotain web standardia, jolla session tokenit ja cookiet sidotaan siihen laitteeseen mille ne on alunperin myönnetty.
 
Toggle Sidebar

Statistiikka

Viestiketjut
242 625
Viestejä
4 238 757
Jäsenet
71 229
Uusin jäsen
Tonde1000

Hinta.fi

Ylös Bottom