FIDO2, WebAuthn, Passwordless ja Passkeys

[user9999]

Otin tuon Microsoftin passkey jutun käyttöön parille tilille. Jostakin syystä se teki iCloud avainnippuun uuden tietueen, jossa on username ja passkey. Eli ei osannut laittaa passkey tietoa jo siihen olemassa olevaan, missä on username, password ja verification code.

Kaikki muut, missä on otettu passkey käyttöön niin ovat osanneet laittaa sen olemassa olevaan tietueeseen.
Esimerkiksi Google:

Toimii silti ok eli kahden tilin tapauksessa on valittava tili "Use Touch ID/Face ID to sign in" ikkunassa.

 

[ztec]

Ei voin kuin ihmetellä miksi Microsoft rajoittaa passkeysit vain Windows-ympäristöön. Mitään varsinaista estettähän sille ei ole, että noita tuettaisiin kaikilla käyttöjärjestelmillä.

Toimii myös Linuxilla ja Firefoxilla oikein hienosti.

 

[=JP=]

Mielenkiintoinen artikkeli...

Using MITM to bypass FIDO2 phishing-resistant protection

In this article, Senior Security Researcher Dor Segal will take you through his research uncovering how to use MITM attacks to bypass FIDO2.

www.silverfort.com

In this article, I’ll take you through my research uncovering how to use MITM attacks to bypass FIDO2. First, I will outline a complete WebAuthn authentication flow, then walk through the protections of FIDO2. Then I will tackle famous attack techniques and provide real-life use cases. Lastly, I will discuss mitigations and what you can do to protect your enterprise.

when implementing this modern authentication method, most applications do not protect the session tokens created after authentication is successful. I discovered many identity providers are still vulnerable to MITM and session hijacking attack types.

It is concerning that the great security features of FIDO2 are not protecting the entire user session. It is important to understand that modern authentication methods are not a magic security charm, and it is not enough just to buy and implement – you need to deeply understand its pros and cons.

 

[SamCer]

Toimii myös Linuxilla ja Firefoxilla oikein hienosti.

Tarviko sun tehdä mitään tuon eteen? Itellä M365-login ei edes anna vaihtoehdoksi Passkey:llä kirjautumista ilman User-Agentin spooffausta Chromeksi.

FF ilman spooffausta:

FF spooffattu Chromeksi:

[edit] Ja Mikkisoftan tuki pesee kätensä asiasta kun otin sinne yhteyttä. Sanovat, että ongelma on asiakaspäässä ja jotain muuta, mutta en saanut selvää kun soittivat ja soittajan aksentti oli sen verran karsee, että en saanut hirveenä selvää mitä hän sanoi...

[edit][edit] Unohtu, että toi Passkey-vaihtoehto tulee näkyviin kyllä RHEL 9.4:ssä, mutta sitä kautta kun yrittää mennä, niin se loppuu vaan virheilmoitukseen:

 

[ztec]

Joku muukin on pettynyt siihen miten asioita on Passkeyssin osalta hoidettu käytännössä, en sinänsä ole yllättynyt:

Passkeys: A Shattered Dream

Firstyear's blog

fy.blackhats.net.au

Se ei kuitenkaan tarkoita sitä, että konsepti lähtökohtaisesti olisi huono.

 

[SamCer]

Joku muukin on pettynyt siihen miten asioita on Passkeyssin osalta hoidettu käytännössä, en sinänsä ole yllättynyt:

Passkeys: A Shattered Dream

Firstyear's blog

fy.blackhats.net.au

Se ei kuitenkaan tarkoita sitä, että konsepti lähtökohtaisesti olisi huono.

Sulla toimi toi Linux + FireFox + Passkey + M365 -yhdistelmä ongelmitta? Tarviko sun muuttaa mitään FF:ssä, että se alkoi toimimaan? Itellä se ei suostu toimimaan kuten tuossa ylempänä olevassa viestissäni sanoin.

 

[Infy]

Mielenkiintoinen artikkeli...

Using MITM to bypass FIDO2 phishing-resistant protection

In this article, Senior Security Researcher Dor Segal will take you through his research uncovering how to use MITM attacks to bypass FIDO2.

www.silverfort.com

In this article, I’ll take you through my research uncovering how to use MITM attacks to bypass FIDO2. First, I will outline a complete WebAuthn authentication flow, then walk through the protections of FIDO2. Then I will tackle famous attack techniques and provide real-life use cases. Lastly, I will discuss mitigations and what you can do to protect your enterprise.

when implementing this modern authentication method, most applications do not protect the session tokens created after authentication is successful. I discovered many identity providers are still vulnerable to MITM and session hijacking attack types.

It is concerning that the great security features of FIDO2 are not protecting the entire user session. It is important to understand that modern authentication methods are not a magic security charm, and it is not enough just to buy and implement – you need to deeply understand its pros and cons.

Eipä tuo ole yllätys kun tunnistautumisen jälkeinen liikenne ei kuulu passkeyn tontille.

Google puuhaa jotain web standardia, jolla session tokenit ja cookiet sidotaan siihen laitteeseen mille ne on alunperin myönnetty.

 

[ztec]

Sulla toimi toi Linux + FireFox + Passkey + M365 -yhdistelmä ongelmitta? Tarviko sun muuttaa mitään FF:ssä, että se alkoi toimimaan? Itellä se ei suostu toimimaan kuten tuossa ylempänä olevassa viestissäni sanoin.

Ei varsinaisesti Firefoxissa, mutta jos käytät selainta eristetyssä kontissa, niin sille pitää toki sallia pääsy auntetinkointi-laitteeseen. Tuon kanssa meni hetki kun tappelin ja taistelin, lisäksi ennen kuin lisäsin säännöt oikealla tavalla, lähes jokainen päivitys rikkoi sen. - Mutta tuo oli siis sen mun alkuperäisen Passkey valittelun skoupin ulkopuolella. Koska toi on ollut vähän joka tasolla enemmän tai vähemmän rikki ja välillä toimi ja sitten hajosi taas. Pahinta tuo on ollut Googlen kanssa.

 

[ztec]

Samsungin uusimman päivityksen myötä tuli myös Samsung Internettiin Samsungin puhelimissa Passkeys tuki mukaan käyttäen myös biometrisiä avaimia.

 

[mikajh]

Samsungin uusimman päivityksen myötä tuli myös Samsung Internettiin Samsungin puhelimissa Passkeys tuki mukaan käyttäen myös biometrisiä avaimia.

Ei nyt ole suomenkielistä versiota, mutta lontooksi "Use passkeys to sign in to supported websites with biometric authentication in Samsung Internet". Tuo on kyllä aika löysää puhetta, että autentikointi perustuisi pelkästään biometriseen tunnisteeseen. En ainakaan toivo, että kun sormenjäljen tai kasvokuvan poistaa laitteesta (ja ehkä korvaa sen toisella), niin se oli sitten siinä. No Samsungin selainta nyt ei tule muutenkaan käytetyksi, että eipä tuosta ole hyötyä eikä haittaa itselle.

Ja miksi jankkaan tästä, no siksi että vaikka käyttäjä ei edes poistaisi mitään biometrisiä tunnisteita, niin todennäköisesti taustalla ja varalla on samat vaihtoehtoiset tavat avata laitteen lukitus kuin normaalistikin. Ja jos ei olisi, niin olisi varsin epävarma tapa autentikoitua mihinkään

E: A54 Notify Update
E2: fi "Avainkoodeilla voi kirjautua Samsung Internet -sovelluksessa tuetuille verkkosivustoille biometrisellä todennuksella."
E3: Eli pitää olla Samsung Account ja passkeyt tallennetaan Samsung Pass -sovelluksella knox:iin lokaalisti ja synkataan sampan pilveen. Ei paljoakaan tekemistä biometristen tunnisteiden kanssa kun SA:n salasanalla pääsee joka tapauksessa niihin käsiksi, jopa eri laitteessa pilvisynkan kautta (biometrisiä tunnisteita kun ei vakuuteta synkattavan minnekään laitteen ulkopuolelle)

 

[Infy]

Android 14 toi muuten mukanaan tuen kolmannen osapuolen PassKey-sovelluksille. Selaimet ja sovellukset käyttävät Androidin natiivia PassKey-rajapintaa, joka edelleen käyttää asetuksissa valittua password/autofill/passkey sovellusta.

Samanlainen systeemi löytyy myös omenaluurien uusimmasta käyttöjärjestelmästä.

Itse en ole näitä kokeillut, Protonin salasanasovellus noin väittää toimivansa dokumentaation perusteella molemilla alustoilla.

 

[mikajh]

Itse en ole näitä kokeillut,

Aika huteralta vaikuttaa turvallisuus, kun käyttäjän laitteilta (ja luultavasti missä vain käyttäjä on passkeys-sovelluksella kirjautuneena) pystyy pelkällä screen lockin pin -koodilla kirjautumaan minne vain käyttäjä on passkeynsä luonut (näin siis Googlella)

 

[olkitu]

Aika huteralta vaikuttaa turvallisuus, kun käyttäjän laitteilta (ja luultavasti missä vain käyttäjä on passkeys-sovelluksella kirjautuneena) pystyy pelkällä screen lockin pin -koodilla kirjautumaan minne vain käyttäjä on passkeynsä luonut (näin siis Googlella)

Yhtä turvallinen kuin salasana managerit käyttäjän puolelta mutta turvallisuus on edelleen siinä että mikäli palveluntarjoaja korkataan niin sittenhän salaisuus on turvassa edelleen kuten pitää. Mutta parhaan turvallisuuden saa passkeys kun tallennetaan paikallisesti vain.

Minusta toteutus silti ok koska isolle osalle tuollainen paikallinen tallennus ja replikointi sitten on jo niin työläs etteivät tekisi sitä itse. Siinäkin ongelma kun avaimet hukkuu yhden laitteen myötä…

 

[Sommite]

Tutkiskelin tässä mitä uusia avaimia on tullut tarjolle ja Token2:n tuotteet oli hintalaatusuhteeltaan aika mahtavia.
TOKEN2 Sàrl is a Swiss cybersecurity company specialized in the area of multifactor authentication. We are a FIDO Alliance member.

Kokeilin Token2:n älykorttimallisia FIDO2-turva-avaimia. Toisessa on sekä älykorttiliitäntä että NFC, toisessa on pelkkä NFC. En ehkä tässä vaiheessa suosittelisi älykorttimalleja, ellei ole valmis säätämään. Erilaisia ongelmia oli selvästi enemmän kuin USB-liitännällä.

Yksi havainto oli, että älykorttiliitäntä ei toiminut tietokoneen sisäisellä älykortinlukijalla, mutta ulkoinen USB-lukija toimi. Selitys tälle oli, että sisäisessä lukijassa oli virransäästö, joka poistaa älykortinlukijan kokonaan käytöstä, kun korttia ei ole lukijassa. USB-liitäntäinen lukija sen sijaan pysyy liitettynä myös silloin, kun korttia ei ole. Tämä ilmeisesti sekoittaa Windowsin Webauthn-ajurin, eikä älykorttia löydy, kun pitäisi rekisteröidä tunnus kortille tai kirjautua sivustolle. Ongelman sai korjattua BIOS-asetuksista, joista saattoi poistaa älykortinlukijan virransäästön käytöstä. Tällöin lukija pysyy tietokoneeseen liitettynä, vaikka lukijassa ei ole korttia.

Testasin myös iPhonella sivustojen rekisteröintiä älykortille ja kirjautumista sillä. Käytin iPhonen omaa NFC-lukijaa. Tässä ilmeni mystisiä ongelmia. Joillakin sivustoilla (Google) älykorttiin ei saanut NFC:llä yhteyttä, toisilla kortti taas toimi (Yubicon testisivusto). Syy tähän ei selvinnyt. USB:n kautta iPadiin kytketty ulkoinen NFC-lukija toimii samalla tavalla: toisilla sivustoilla toimii, toisilla ei.

Androidhan ei tällä hetkellä tue FIDO2:ta NFC-yhteyden kautta, vanhempi U2F ilmeisesti toimii. Androidilla vain USB on tällä hetkellä toimiva vaihtoehto fyysisiä avaimia käytettäessä. Myöskään ulkoinen NFC-lukija ei toimi.

 

[Paapaa]

Androidhan ei tällä hetkellä tue FIDO2:ta NFC-yhteyden kautta

Kyllä tukee. Juuri testasin täällä: A demonstration of the WebAuthn specification käyttäen Yubikey:tä NFC:n kanssa (S24+).

 

[Sommite]

Kyllä tukee. Juuri testasin täällä: A demonstration of the WebAuthn specification käyttäen Yubikey:tä NFC:n kanssa (S24+).

Oliko Discoverable Credential tai User Verification required?

 

[Paapaa]

Oliko Discoverable Credential tai User Verification required?

Ei. En käytä niitä.

 

[Sommite]

Ei. En käytä niitä.

Silloin avain on U2F-yhteensopiva ja toimii Androidilla.

 

[Aaltoliike]

New Eucleak attack lets threat actors clone YubiKey FIDO keys

A new "EUCLEAK" flaw found in FIDO devices using the Infineon SLE78 security microcontroller, like Yubico's YubiKey 5 Series, allows attackers to extract Elliptic Curve Digital Signature Algorithm (ECDSA) secret keys and clone the FIDO device.

However, the attack requires extended physical access, specialized equipment, and a high level of understanding of electronics and cryptography.

These prerequisites significantly mitigate the risk, limiting it mostly to attacks from highly sophisticated, state-sponsored threat actors against high-value targets. With that said, EUCLEAK is not considered a threat to general users, even to those who use theoretically vulnerable devices.

 

[ztec]

Google kutsuu Passkeytä suomeksi Avainkoodeiksi ja Apple Pääsyavaimiksi, sekä Microsoft Salasanattomaksi Todentamiseksi. Mukavaa, että noissakin on päädytty taas palveluntarjoajakohtaisiin nimeämiskäytäntöihin.

 

[erihyva]

Taitaa passkeysilla sisäänkirjautuminen onnistua täälläkin foorumin päivittyessä nykyiseen XenForo 2.3:een

 

[ztec]

Taitaa passkeysilla sisäänkirjautuminen onnistua täälläkin foorumin päivittyessä nykyiseen XenForo 2.3:een

Joo, niin näköjään tekee. Pro pro!

 

[Sommite]

Tutkiskelin tässä mitä uusia avaimia on tullut tarjolle ja Token2:n tuotteet oli hintalaatusuhteeltaan aika mahtavia.
TOKEN2 Sàrl is a Swiss cybersecurity company specialized in the area of multifactor authentication. We are a FIDO Alliance member.

Token2 on julkaissut uuden version (release 3). Edellisestä ei ole pitkää aikaa, artikkelin mukaan viime maaliskuussa tuli release 2.

Muutokset eivät ole nyt valtavia: OpenPGP-avaimia voi käyttää ja hallintasovellukseen tuli yhteensopivuus iPhonen ja iPadin kanssa USB-liitännän kautta. Älykorttimalleissa on enemmän säilytystilaa ja molemmissa myös siruliitäntä, pelkän NFCn kautta käytettävä malli poistuu. Toki jos näitä tarvitsee, uusi malli voi olla ratkaiseva.

 

[Sommite]

Webauthn Signal API helpottaa pääsyavaintietojen pitämistä ajan tasalla. Ehdotetun APIn avulla palvelin voi tiedottaa pääsyavaimissa tapahtuneista muutoksista. Ehdotuksessa on seuraavat toiminnot:

• signalUnknownCredentialId: palvelin kertoo, että tietty pääsyavain ei ole voimassa. Esimerkiksi käyttäjä on poistanut pääsyavaimen palvelusta, tai palvelimelle on tarjottu rekisteröitäväksi uutta pääsyavainta, mutta palvelin on hylännyt sen.
• signalAllAcceptedCredentialIds: palvelin kertoo kaikki voimassaolevat pääsyavaimet. Listalta puuttuvat voi olettaa mitättömiksi.
• signalCurrentUserDetails: palvelin tiedottaa esimerkiksi käyttäjätunnuksen muuttumisesta. Pääsyavainta hallinnoiva ohjelmisto voi päivittää tämän tiedon pääsyavaimeen.

 

[ztec]

Microsofti koittaa Windowssissa työntää nyt Passkey:tä kovasti käyttöön. Sinänsä hauskaa tää meno, ensin vastustetaan pitkään ja hartaasti ja sitten suorastaan koitetaan pakottaa.

Microsoft won't let customers opt out of passkey push

Enrollment invitations will continue until security improves

www.theregister.com

Microsoft on ilmoittanut ottavansa käyttöön avainpääsytuen (passkey) kuluttajatileille. Tämä on osa yhtiön laajempaa visiota salasanattomasta tulevaisuudesta ja yksinkertaisemmasta, turvallisemmasta pääsystä kaikille käyttäjille. Avainpääsy on modernimpi vaihtoehto perinteisille salasanoille, ja se perustuu WebAuthn-määrittelyyn.

 

[ztec]

Siinä paha missä mainittiin, nyt on Google Account limbossa kun on PassKeys käytössä, saas nähdä saako sitä ikinä palautettua. Ärsyttävintä tässä on vielä se, että se sotkettiin Googlen päästä, kun ne mutti käytäntöjään. Täydellinen esimerkki siitä, miten haitallisia tietoturvakäytännöt on, varsinkin kun ne toteutetaan väärin.

Palveluun voi kirjautua, mutta hallintaan ei pääse, kun sinne pitäisi kirjautua vaimella. Jota Google ei enää hyväksy. No joo, sattuuhan noita kämmejä amatööreille, mutta jokseenkin raivostuttavaa että Googlen kokoinen putka mokailee tuolla tavalla.

Saas nähdä saako palautusta tehtyä koskaan, arvaukseni on, että ei.

 

[ztec]

Mitenkäs ne muutti tuota käytäntöä?

Siinä vaiheessa kun sekoilivat FIDO2 / Passkeys asioiden kanssa, niin onnistuivat rikkomaan kaikki avaimet, joka oli oikein kiva yllätys. No, on sitä ollut muillakin. Kuten joku tuossa just sanoi että Microsoftilla noi on ollut monta kertaa sotkussa, mutta ne sentään ei ole pysyvästi rikkoneet / muuttanee käytäntöjä, vaikka ovat välissä soossanneet. - Eniten mua vielä huivittaa tässä se, että mulla on kolme avainta rekisteröitynä, ja tietenkin kaikkien kanssa ihan sama tilanne. Kun ei se ole avaimesta kiinni, vaikka joku taas niin kuvittelisi heti. - Samat avaimet toki toimii, jos ne rekisteröi uudestaan, tuon muutoksen jälkeen. Mutta kun ei pääse rekisteröitymään, kun kaikki on rikottu.

 

[ztec]

Tarkennetaan vielä tuota, että noi avaimet on vielä kahdelta eri valmistajalta ja toiset avaimet on rekisteröity Linux / Firefox kombolla ja yksi avain eri valmistajalta on rekisteröity Windows / Edge kombolla. Kaikki kolme on rikki Googlen mielestä. Tietysti ne toimii kaikkiin muihin palveluihin. Eli nyt on aika marginaalinen tsäänssi, että olisin itse onnistunut hajottamaan nuo kaikki. Tai että ongelmat liittyisi edes käyttikseen / selaimeen. Linuxin kanssa rekisteröidyissä on myös firmis päivitykset ajettuna ja Windowssin kanssa käytössä oleva taas ei tue firmis päivityksiä, joten sitäkään ei saa niillä rikottua.

 

[ztec]

Google:n turvallisuusavaimet (Titan) on nyt saatavissa myös Suomessa:

Titan Security Keys now available in more countries

Posted by Christiaan Brand, Group Product Manager We’re excited to announce that starting today, Titan Security Keys are available for purc...

security.googleblog.com

 

[Paapaa]

Google:n turvallisuusavaimet (Titan) on nyt saatavissa myös Suomessa:

Titan Security Keys now available in more countries

Posted by Christiaan Brand, Group Product Manager We’re excited to announce that starting today, Titan Security Keys are available for purc...

security.googleblog.com

https://store.google.com/product/titan_security_key

 

[ztec]

Ikäväkseni täytyy todeta, että luotettavuus jatkaa edelleen sitä samaa rataa kuin aikaisemminkin, mistä valittelin. Nyt yht'äkkiä Microsoftin WebAuthn / Passwordless login onkin hajalla. Ai että, sanoo vaan että jokin meni vikaan. No voi voi, on ollut jo pitkään. Tämä siis Windows + Firefox plattarilla. Juuri tätähän jupisinkin aikaisemmin, että on niin hienoa tekkiä, että ei edes toimi.

Edit jatkot: Testasin Firefox + Linux -> Toimii, ai että, just parasta herkkua tämä. Miten normaali käyttäjä, jolla ei ole useita avaimia, eri selaimia ja useita eri käyttiksiä voisi sitten tietää mikä meni pieleen, kun ei ole helppoa tapaa haarukoida. Nami nami.

 

[rgatte]

Itse odottelen että jos joku päivä vahvaan tunnistautumiseen ja/tai verkkopankkeihin saataisiin täällä FIDO2 (vaikka Level 2 vaatimuksella) tunnistautuminen. Lähinnä ärsyttää kuumotella että joku päivä pankin tunnistussovellus sanoo esim. GrapheneOS:llä itsensä irti koska ei ole oikeanlainen järjestelmä ja pankkien omat tunnuslukulaitteet ovat (mielestäni) järkyttävän kömpelöitä verrattuna siihen mitä esim. joku YubiKey tarjoaa, koska YubiKey ei ole nyrkin kokoinen QR-skanneri.

Esim. Itävallassa tämä taitaa olla jo mahdollista, ehkä jonain päivänä täälläkin.

 

[Paapaa]

Bitwarden tukee kirjautumista ja kryptaamista Passkeyllä. Eli, voit luoda Passkeyn vaikka Yubikeyhyn tai vastaavaan ja kirjautua sillä sisään ilman master-salasanan ja käyttäjätunnuksen käyttöä. Voit luoda yhteensä 5 Passkeytä BW:iin kirjautumiseen:

Log into Bitwarden with a passkey | Bitwarden

Today, all users can start logging into their Bitwarden web vaults with a passkey, without typing in a username or password. This beta implementation uses the emerging PRF WebAuthn extension for passkeys.

bitwarden.com

 

[Infy]

Windows 11 on ollut jo jonkin aikaa tuki passuavaimille, mutta nyt tuli tuki, että kolomannen osapuolen sovellus voi toimia varastona, eikä vain joku mikkisoftan oma toteutus.

Windows 11 finally lets you use Passkeys through your own password manager

Windows 11 just opened up its passkey system to third-party managers like 1Password and Bitwarden. The update lets you create and use passkeys directly through these apps using Windows Hello, ending Microsoft’s lock-in and giving users and IT admins more freedom to go passwordless.

www.digitaltrends.com

 

[pasi-ipa]

voit luoda Passkeyn vaikka Yubikeyhyn tai vastaavaan ja kirjautua sillä sisään ilman master-salasanan ja käyttäjätunnuksen käyttöä.

Paino sanalla voit. Ei missään nimessä kannata.

 

[Paapaa]

Paino sanalla voit. Ei missään nimessä kannata.

Miksi ei missään nimessä kannata?

 

[pasi-ipa]

Miksi ei missään nimessä kannata?

Koska salasanaholvia ei koskaan pitäisi pystyä avaamaan pelkästään "jotain mitä sinulla on" -menetelmällä.

 

[Paapaa]

Koska salasanaholvia ei koskaan pitäisi pystyä avaamaan pelkästään "jotain mitä sinulla on" -menetelmällä.

Esim. Yubikeyn tapauksessa se ei riitä, vaan Passkey on PIN-koodin takana. Eli salasana + Passkey. Tai sormenjälki + Passkey.

 

[pasi-ipa]

Esim. Yubikeyn tapauksessa se ei riitä, vaan Passkey on PIN-koodin takana. Eli salasana + Passkey. Tai sormenjälki + Passkey.

Sormenjälki kuuluu IMO kategoriaan jotain mitä sinulla on, mutta jos passkey on pin-koodin takana, niin bueno.

 

[rgatte]

Sormenjälki kuuluu IMO kategoriaan jotain mitä sinulla on, mutta jos passkey on pin-koodin takana, niin bueno.

Sinänsähän yleisesti tunnistetut kategoriat ovat

- Jotain mitä tiedät
- Jotain mitä sinulla on
- Jotain mitä olet

Ja näistä sormenjälki kuuluu selvästi kolmanteen.. Jotain mitä sinulla on ja jotain mitä olet on kyllä kuitenkin heikoin kombo, lähinnä koska sen voi pakkokeinoin pakottaa aika helposti ja monessa maassa (ml. Suomessa) sillä ei ole edes laillista suojaa (sen takia esim. puhelimet ei salli biometriikoilla tunnistusta ensimmäisellä avauksella).

 

[pasi-ipa]

Jotain mitä sinulla on ja jotain mitä olet on kyllä kuitenkin heikoin kombo, lähinnä koska sen voi pakkokeinoin pakottaa aika helposti ja monessa maassa (ml. Suomessa) sillä ei ole edes laillista suojaa (sen takia esim. puhelimet ei salli biometriikoilla tunnistusta ensimmäisellä avauksella).

Nimenomaan, pakon edessä, jos olet tarpeeksi suuri targetti, sormenjälki (tai käytännössä mikä tahansa "jotain mitä olet") muuttuu jotain mitä sinulla on -kategoriaan. 2FA-metodissa kannattaa aina olla myös jotain mitä tiedät -luokan suojausta.

 

[Paapaa]

Nimenomaan, pakon edessä, jos olet tarpeeksi suuri targetti, sormenjälki (tai käytännössä mikä tahansa "jotain mitä olet") muuttuu jotain mitä sinulla on -kategoriaan. 2FA-metodissa kannattaa aina olla myös jotain mitä tiedät -luokan suojausta.

No, jos ollaan tuossa tilanteessa, niin henki on joka tapauksessa vaarassa ja ne sormet katkotaan jotta saadaan se "jotain mitä tiedät" sinusta puristettua. Se on toki totta, että Yubikey tai salasana on kivempi antaa kuin sormi tai silmä.

Mutta tuossa ollaan jo aika epärealistisissa skenaarioissa kaikella tavalla kun mietitään normikäyttäjää. Ne realistiset skenaariot liittyvät siihen, että sormi ei katoa tai unohdu helposti ja kulkee aina mukana ja sitä on hankala kopioida. Siksi se on hyvä oma kategoriansa.

 

[jarhu]

No, jos ollaan tuossa tilanteessa, niin henki on joka tapauksessa vaarassa ja ne sormet katkotaan jotta saadaan se "jotain mitä tiedät" sinusta puristettua. Se on toki totta, että Yubikey tai salasana on kivempi antaa kuin sormi tai silmä.

Mutta tuossa ollaan jo aika epärealistisissa skenaarioissa kaikella tavalla kun mietitään normikäyttäjää. Ne realistiset skenaariot liittyvät siihen, että sormi ei katoa tai unohdu helposti ja kulkee aina mukana ja sitä on hankala kopioida. Siksi se on hyvä oma kategoriansa.

Menee vähän samaan kategoriaan kuin joskus vastaantulevat passkeyhin liittyvät ”pin koodi on liian helppo” -väittämät. Se on aika sama siinä kohtaa kun se mikä tahansa salakala tullaan hakemaan ja valinta on kidutus.

 

[rgatte]

No, jos ollaan tuossa tilanteessa, niin henki on joka tapauksessa vaarassa ja ne sormet katkotaan jotta saadaan se "jotain mitä tiedät" sinusta puristettua. Se on toki totta, että Yubikey tai salasana on kivempi antaa kuin sormi tai silmä.

Mutta tuossa ollaan jo aika epärealistisissa skenaarioissa kaikella tavalla kun mietitään normikäyttäjää. Ne realistiset skenaariot liittyvät siihen, että sormi ei katoa tai unohdu helposti ja kulkee aina mukana ja sitä on hankala kopioida. Siksi se on hyvä oma kategoriansa.

Ei sinänsä ole kovin epärealistinen skenaario sillä poliisikin saattaa pakottaa avaamaan biometriikalla suojatun laitteen kun taas salasanaa ei voi pakotaa antamaan. Toki kaikkien uhkamalliin ei kuulu poliisitutkinta, mutta on se huomattavasti todennäköisempi uhka kuin se että joku rikollinen kiduttaa sinulta salasanan, tosin osaa poliisikin kiduttaa jos käy paska mäihä.

 

[Infy]

Mediassa juttuja ollut, että Suomessa poliisi on matalla kynnyksellä tarkastanut ihmisten puhelimia esim. tienvarsiratsioiden yhteydessä. Niillä on siellä maijan takaosassa Cellebriten laite, mikä korkkaa luurin parissa minuutissa ja lataa siitä kaikki tiedot.

MTV selvitti: Poliisi käyttää kiistellyn israelilaisyhtiön murtajalaitteita

Suomen viranomaiset käyttävät israelilaisyhtiö Cellebriten laitteita kännyköiden skannaamiseen.

www.mtvuutiset.fi

Poliisivaltuudet | Poliisi tutkii tuhansien ihmisten matkapuhelinten ja muiden laitteiden sisällön vuosittain – ”Mielettömän matala kynnys”

EU-tuomioistuimen tuoreen ratkaisun mukaan poliisi ei saisi itse päättää matkapuhelinten tutkimisesta kuten se Suomessa tekee.

www.hs.fi

Yksityisyydensuoja | Poliisi tutkii tuhansia puhelimia vuodessa – nyt kynnystä aiotaan nostaa

Oikeusministeriön ehdotuksen mukaan poliisi ei voisi vastaisuudessa tutkia laitteiden sisältöjä enää pelkällä omalla päätöksellään.

www.hs.fi

Leaked Cellebrite Tool Docs Reveal List of Phones That Can Be Unlocked

The leaked "iOS Support Matrix" and "Android Support Matrix" from April 2024 detail which specific phone models and operating system versions Cellebrite's tools can access, exposing gaps in the company's ability to crack newer devices.

cybersecuritynews.com

 

[Paapaa]

poliisikin saattaa pakottaa avaamaan biometriikalla suojatun laitteen kun taas salasanaa ei voi pakotaa antamaan

Tämä on kyllä hyvä pointti, enkä tätä tiennyt. Tämä on ihan konkreettinen ja mahdollinen tilanne, missä jotain mitä olet tai jotain mitä sinulla on, ovat heikompia tapoja suojata kuin jotain mitä tiedät.

Tässä uutinen aiheesta:

Poliisilla on oikeus avata rikoksesta epäillyn puhelin tämän sormenjäljellä ilman suostumusta, kirjoittaa Savon Sanomat. Asiaan on ottanut kantaa eduskunnan oikeusasiamies.

Asiasta oli kannellut poliisin Porissa viime vuonna kiinni ottama mies, jota epäiltiin varkaudesta. Hän ei suostunut selvittämään poliisille asioitaan. Mieheltä löytyi puhelin, jossa poliisi arveli olevan tutkintaa auttavia tietoja. Kun mies ei avannut puhelinta, poliisit avasivat sen ottamalla mieheltä väkisin sormenjäljen puhelimen näyttöön.

Savon Sanomat: Poliisi saa ottaa rikoksesta epäillyltä väkisin sormenjäljen puhelimen avaamiseksi

Asiaan on ottanut kantaa eduskunnan oikeusasiamies.

yle.fi

(Ja mä nyt oletan että tuo pätee myös jos pitää päästä johonkin muuhun käsiksi ja se on biometrisen 2FA:n takana.)

 

[edup]

Mediassa juttuja ollut, että Suomessa poliisi rutiininomaisesti on tarkastanut ihmisten puhelimia esim. tienvarsiratsioiden yhteydessä. Niillä on siellä maijan takaosassa Cellebriten laite, mikä korkkaa luurin parissa minuutissa ja lataa siitä kaikki tiedot.

Poliisivaltuudet | Poliisi tutkii tuhansien ihmisten matkapuhelinten ja muiden laitteiden sisällön vuosittain – ”Mielettömän matala kynnys”

EU-tuomioistuimen tuoreen ratkaisun mukaan poliisi ei saisi itse päättää matkapuhelinten tutkimisesta kuten se Suomessa tekee.

www.hs.fi

Yksityisyydensuoja | Poliisi tutkii tuhansia puhelimia vuodessa – nyt kynnystä aiotaan nostaa

Oikeusministeriön ehdotuksen mukaan poliisi ei voisi vastaisuudessa tutkia laitteiden sisältöjä enää pelkällä omalla päätöksellään.

www.hs.fi

Olisiko sulla lähdettä tarjota näille rutiininomaisille tarkastuksille tienvarsiratsioiden yhteydessä? Kumpikaan jakamasi artikkeli ei sellaista sisältänyt.

 

[Infy]

Olisiko sulla lähdettä tarjota näille rutiininomaisille tarkastuksille tienvarsiratsioiden yhteydessä? Kumpikaan jakamasi artikkeli ei sellaista sisältänyt.

Ei, olisko ollut joku iltapäivälehtien juttu joskus.

 

[ztec]

Tässä hyvä yhteenveto tuosta Twitter / X avain sähläyksestä:

Elon Musk's X botched its security key switchover, locking users out | TechCrunch

As part of an effort to retire the old Twitter.com domain, X is requiring passkey and security key users to re-enroll — but are getting stuck in endless loops and unable to finish.

techcrunch.com

Samaan yhteenvetoon voidaan todeta että Passkeys ratkaisuun liittyy tällä hetkellä toimittajaan liittyvä lukitus, eli eivät anna välttämättä siirtää avaimia pois niiden alustalta. Toisaalta CXF standardilla pyritään korjaamaan tuo ongelma, niin että avaimia voisi siirtää palvelusta toiseen tai ne voisi varmistaa tarvittaessa. Mukava narunveto suuntaan jos toiseenkin näissä asioissa. Ikävästi vaan kuluttajat kärsii, kun tehdään hankalaksi ja sekavaksi. Joskin tuo on myös joskus itse tarkoitus. Jos kirjautuminen toimii aina laitteella X, mutta et saa mitenkään toimimaan sitä laitteella Y. On todennäköisempää että kuluttaja ostaa valmistajan X laitteen jatkossakin. Viimeisenä riskinä on sitten vielä toimittajalukitukseen liittyvät riskit. Jos mm. Google tai Apple vastaa kaikesta sun tietoturvasta, ne voi milloin tahansa millä tahansa verukkeella estää kaiken pääsyn kaikkialle. - Tätä sattuu ikävästi ja toistuvasti, eikä tavalliset ihmiset voi asialle yhtään mitään.

 

[Sommite]

Androidista on puuttunut kyky käyttää FIDO2-suojausavaimia NFC:n kautta. Vain USB on ollut tuettu, ja NFC:llä on toiminut vanhempi U2F.

Tähän on nyt kehitetty ulkopuolinen sovellus Authnkey, jonka saa mm. F-Droidin kautta. Token2 julkaisi sovelluksen myös Play Kaupassa nimellä FIDO Bridge:

FIDO Bridge - Authnkey - Apps on Google Play

Use FIDO2 Devices over NFC

play.google.com

Sovellus perustuu Credential Manager APIin ja rekisteröidään Androidiin pääsyavainten tarjoajaksi. Vaatii siis vähintään Android 14:n.