W marcu opublikowaliśmy blog zatytułowany „YubiKeys, passkeys i przyszłość nowoczesnego uwierzytelniania„, w którym przyjrzeliśmy się ewolucji uwierzytelniania od momentu, gdy po raz pierwszy wprowadziliśmy YubiKey w 2008 roku, do tego, gdzie branża zmierza z przyjęciem i adaptacją uwierzytelniania WebAuthn/FIDO.
W ostatnich miesiącach pojawiło się kilka cykli informacyjnych na temat „passkey”. Spowodowało to pewne podekscytowanie, jak również pewne zamieszanie dotyczące tego, co my jako branża i jako twórcy standardów uwierzytelniania robimy, aby wyjść poza hasła.
Od tego czasu otrzymaliśmy pytania od naszych klientów i partnerów o dodatkowe wyjaśnienia dotyczące kluczy, które podkreśliliśmy w tym webinarze i poniżej w tym poście.
Jesteśmy zachwyceni, że standardy FIDO Alliance i W3C WebAuthn, nad których stworzeniem i udoskonaleniem ciężko pracowaliśmy, zostały dobrze przyjęte przez producentów urządzeń, systemów operacyjnych i przeglądarek i będą oferowane jako wbudowana funkcja uwierzytelniania dla każdego. Kompromisy bezpieczeństwa, które będą dokonywać w swoich implementacjach, pozwolą na przyjazne dla konsumenta, mniej pewne opcje użytkowania i odzyskiwania, które są znacznie lepsze niż same hasła i są rozsądne dla usług niekrytycznych. Użytkownicy, którzy chcą korzystać z wysokiej pewności, sprzętowych (niekopiowalnych) danych uwierzytelniających, takich jak te w YubiKey, mogą to zrobić za pomocą tej samej funkcjonalności WebAuthn przyjętej przez strony internetowe, a usługi mogą wybrać, aby wymagać wysokiej pewności, weryfikowalnie sprzętowych danych uwierzytelniających dla przedsiębiorstw, wrażliwych, użytkowników wysokiego ryzyka lub dla wszystkich użytkowników usługi. Wszystko to działa w oparciu o te same standardy!
W związku z tym przejdźmy do odpowiedzi na najbardziej popularne pytania, które usłyszeliśmy z perspektywy Yubico. Ten FAQ będzie się rozwijał i będzie aktualizowany. Sprawdzaj, czy masz najnowsze odpowiedzi na pytania dotyczące klucza dostępu, które możesz mieć.
P: Co to jest passkey?
Passkey są jak hasła, ale lepsze. Są lepsze, ponieważ nie są tworzone w sposób niepewny przez ludzi, a także dlatego, że wykorzystują kryptografię klucza publicznego do tworzenia znacznie bezpieczniejszych doświadczeń.
Ale hasła nie są czymś nowym. To tylko nowa nazwa, która zaczyna być używana dla poświadczeń WebAuthn/FIDO2, które umożliwiają całkowicie bezhasłowe doświadczenia. Tego typu poświadczenia są również nazywane poświadczeniami odkrywczymi lub czasami poświadczeniami rezydentnymi.
Podoba nam się nowy termin i będziemy go używać, ponieważ pomaga ludziom zrozumieć, że są one zamiennikiem hasła z prostym terminem. „Passkey” jest znacznie bardziej zrozumiały dla większości ludzi niż „discoverable WebAuthn/FIDO credential” (odkrywalne poświadczenia WebAuthn/Fido).
Pierwsze publiczne wspomnienie terminu passkey dla szerokiej publiczności było w zeszłym roku przez Apple podczas rozmowy WWDC2021, gdzie wprowadzili pokazali technologię „Passkey w iCloud Keychain” dla deweloperów.
Passkey odnosi się tylko do poświadczeń WebAuthn/FIDO, a nie do wielu innych kluczy i protokołów, takich jak PIV, OTP lub OpenPGP, dostępnych w serii YubiKey 5.
P: Czy „passkey” to nowa nazwa dla poświadczeń FIDO i WebAuthn?
Passkey to termin, który branża skupia wokół siebie dla poświadczeń FIDO, które mogą w pełni zastąpić, a nie tylko uzupełnić, hasła. W specyfikacji nazywane są one poświadczeniami rezydującymi lub możliwymi do odkrycia. Uważamy, że „klucz” jest lepszym określeniem niż „discoverable WebAuthn/FIDO credential” (odkrywalne poświadczenia WebAuthn/Fido), ponieważ przywołuje zdolność do zastąpienia haseł w przystępny sposób.
Passkey w YubiKey są obsługiwane od czasu, gdy poświadczenia zostały dodane w standardach WebAuthn/FIDO około 2018 roku. Należy jednak pamiętać, że klucze w YubiKey nie są kopiowalne, co oznacza, że klucz jest związany z YubiKey.
P: Dlaczego termin passkey jest ostatnio często spotykany w informacjach?
Niektórzy dostawcy platform i systemów operacyjnych już w 2019 r. rozpoczęli wysyłkę wsparcia dla w pełni bezhasłowych doświadczeń z wykorzystaniem zewnętrznych narzędzi uwierzytelniających, takich jak YubiKey, a także z wykorzystaniem sprzętu skoncentrowanego na bezpieczeństwie wbudowanego w ich urządzenia, takiego jak TPM.
Wciąż trwają prace nad różnymi platformami i kombinacjami przeglądarek, które pozwolą na stworzenie solidnych doświadczeń bez hasła z wykorzystaniem zarówno wewnętrznych, jak i zewnętrznych czynników uwierzytelniających. Sprzedawcy platform zaczęli publicznie sygnalizować swój zamiar ukończenia tej pracy i potwierdzili swoje stałe zaangażowanie w organy normalizacyjne, takie jak W3C i FIDO.
Spodziewaj się, że w wiadomościach pojawi się znacznie więcej informacji o kluczach dostępu od dostawców platform, takich jak Apple, Google i Microsoft, a także od zewnętrznych dostawców urządzeń uwierzytelniających, takich jak Yubico, gdy implementacje zostaną wysłane i rozwiną się w ciągu najbliższego okresu.
P: Jakie dodatkowe zmiany nadchodzą, o których mówi się w związku z passkey?
Na najwyższym poziomie nadchodzą dwie nowe rzeczy w celu zwiększenia usług i adopcji konsumentów WebAuthn/FIDO:
- Telefony z systemem Android i iOS, które mają w sobie passkey, mogą być używane, głównie przez bluetooth i internet, do logowania się do innych urządzeń, takich jak laptopy.
Jest to ekscytujące i zawsze było częścią wizji Yubico dla protokołów, nad których stworzeniem i rozpowszechnieniem pracowaliśmy.
Yubico pomogło stworzyć oryginalny transport bluetooth FIDO, a nawet zbudowało proof of concept bluetooth YubiKey. To pomogło nam wspólnie dowiedzieć się, jak zawodne mogą być niektóre implementacje i funkcje bluetooth w warunkach naturalnych. Ta nowa funkcja „telefonu jako klucza bezpieczeństwa” wykorzystuje to, czego nauczyliśmy się z tego protokołu i wykorzystuje łączność internetową, aby w większości uniknąć bluetooth, z wyjątkiem udowadniania bliskości. (Jeśli jesteś ciekawy, protokół nazywa się caBLEv2 i wkrótce zostanie przemianowany na transport „hybrydowy”, ponieważ obsługuje wiele opcji bliskości i wiele niezawodnych opcji transportu).
- Poświadczenia platformy FIDO wkrótce będą domyślnie automatycznie kopiowane do innych urządzeń zalogowanych do usługi menedżera haseł tego samego dostawcy platformy, w taki sam sposób, w jaki hasła robią to dzisiaj.
Powyższe zostało stworzone, aby ułatwić odzyskiwanie danych po utracie urządzenia, ale wiąże się z kompromisami w zakresie bezpieczeństwa. Te kompromisy mogą być OK dla konsumentów w niektórych środowiskach, ale są mało prawdopodobne, aby spełnić potrzeby przedsiębiorstw z powodu zgodności z politykami bezpieczeństwa.
Te nowe elementy są nadal w fazie beta i podlegają zmianom, a więcej informacji dostaniemy, jak wdrożenia będą blisko zakończenia. Możesz również przeczytać więcej w naszym poprzednim wpisie na ten temat.
Upewnimy się, że kontynuujemy publikowanie i aktualizowanie naszych opinii na temat tych funkcji w miarę ich dostarczania, a także zapewnimy szczegółowe wskazówki dla programistów, aby pomóc w poruszaniu się po protokole i zmianach kodu, które będą potrzebne do pełnego wykorzystania elastyczności zapewnionej przez te zmiany, przy jednoczesnym zapewnieniu odpowiedniego bezpieczeństwa dla aplikacji, które są od nich zależne.
P: Czym różni się passkey od klucza YubiKey?
Są takie same, a jednak są różne.
Są takie same, ponieważ YubiKey mają możliwość tworzenia bezhasłowych poświadczeń FIDO2 (passkey), odkąd seria YubiKey 5 stała się dostępna w połowie 2018 roku. Obecnie YubiKey może przechowywać maksymalnie 25 haseł. Oceniamy zwiększenie tego w przyszłości ze względu na prawdopodobny wzrost w pełni bezhasłowych poświadczeń w Internecie.
Różnią się one, ponieważ klucze dostępu utworzone na platformie będą domyślnie kopiowane przy użyciu danych uwierzytelniających dla bazowego konta w chmurze (plus być może dodatkowa fraza hasła do synchronizacji menedżera haseł), podczas gdy klucze w YubiKey są związane z fizycznym sprzętem YubiKey, gdzie nie można ich skopiować.
P: Jakich terminów będzie używać Yubico mówiąc o passkey?
Podoba nam się termin passkey i planujemy go używać. Ponieważ o wielu rzeczach mówi się w tym samym czasie, będziemy starali się konsekwentnie używać terminologii, aby różnice lub podobieństwa były jasne w zależności od sytuacji. W całej branży wciąż trwają prace nad tym zagadnieniem i będziemy się do niego dostosowywać w miarę zmian.
Oto kilka przykładów, które mogą na dzień dzisiejszy pomóc:
- Passkey są często nazywane „wielourządzeniowymi”, „synchronizowalnymi”, „z możliwością tworzenia kopii zapasowych”, „udostępnianymi” lub podobnymi terminami. Niektóre z tych terminów łatwo pomylić z koncepcją WebAuthn/FIDO „dołączenia” urządzenia uwierzytelniającego, które może mieć wartość „platforma” lub „cross-platform”. Wolimy używać „kopiowalnego”, ponieważ wyraźnie opisuje, co można zrobić z danymi uwierzytelniającymi, ale nie implikuje żadnej pozytywnych czy negatywnych wartości i nie używa przeciążonych lub mylących terminów. Niekopiowalne klucze są czasami nazywane „kluczami pojedynczego urządzenia”.
- Wolimy używać „powiązany ze sprzętem”, ponieważ wyraźnie opisuje lokalizację poświadczenia bez sugerowania, że poświadczenie może być używane tylko z jednym urządzeniem, w przeciwieństwie do pojedynczego urządzenia uwierzytelniającego, które jest powiązane z dowolnym urządzeniem/platformą.
P: Jakie są kompromisy w zakresie bezpieczeństwa pomiędzy kopiowalnymi i sprzętowymi kluczami dostępu?
Sprzętowe klucze dostępu, takie jak YubiKey, są złotym standardem dla nowoczesnego, odpornego na phishing uwierzytelniania i bezpieczeństwa. Są one bardzo łatwe do zrozumienia i zbudowania wokół nich systemów: brak urządzenia, brak dostępu. Jednak w przypadku konsumentów rejestrujących dane uwierzytelniające do wielu witryn, zarządzanie wieloma urządzeniami uwierzytelniającymi w celu posiadania aktualnej kopii zapasowej może stanowić wyzwanie.
Kopiowalne poświadczenia mogą ułatwić odzyskiwanie w przypadku utraty urządzenia, jeśli użytkownik posiada inne urządzenie, które działa z usługą synchronizacji w chmurze, z której korzystał, i może odzyskać swoje konto. Użycie tego kopiowalnego poświadczenia dowodzi, że był dostęp do urządzenia, które było zalogowane do konta w chmurze użytkownika. Może to być przydatny dodatkowy sygnał, ale nie zapewnia tego samego poziomu bezpieczeństwa, co klucz dostępu związany sprzętowo z usługą.
Rozszerzymy tę kwestię w przyszłych treściach dla różnych odbiorców, w miarę jak będą powstawać wdrożenia.
P: Jakie są ogólne wytyczne Yubico dotyczące passkey?
- Mamy nadzieję, że konsumencki nacisk na klucze zachęci więcej usług do włączenia wsparcia dla WebAuthn/FIDO.
- Kopiowalne klucze oferują mniej więcej takie samo bezpieczeństwo jak „Zaloguj się za pomocą Google/Apple”, plus dodatkowe hasło do synchronizacji kluczy.
- Dzisiaj banki, organizacje i osoby, które chcą lub potrzebują wysokiego bezpieczeństwa, nie polegają wyłącznie na bezpieczeństwie kont w chmurze zapewnionym przez zaloguj się z Google/Apple za pomocą protokołów federacyjnego logowania, takich jak SAML, OpenID Connect czy OAuth. Nawet jeśli do zapewnienia tego skojarzenia zostaną użyte klucze kopiowalne, zapewnione bezpieczeństwo nadal będzie niewystarczające dla potrzeb wysokiego bezpieczeństwa.
- Mnogość przypadków użycia najwyższego bezpieczeństwa, przed którymi stoi wiele organizacji, wymaga więcej protokołów niż tylko FIDO. Organizacje te potrzebują gwarancji bezpieczeństwa i poświadczeń kryptograficznych dostarczanych przez sprzętowo wspierane dane uwierzytelniające, aby wiedzieć, że ich systemy są bezpieczne i móc to udowodnić.
- Atestacja jest również jedynym sposobem osiągnięcia wysokiej pewności, że dane poświadczenie jest związane ze sprzętem.
- Służby powinny nadal żądać, przechowywać i wykorzystywać informacje o poświadczeniu, aby podejmować decyzje dotyczące ryzyka w oparciu o rodzaj używanego poświadczenia. Nasze szczegółowe wytyczne dotyczące poświadczeń są przedstawione bardziej szczegółowo na naszej stronie dla deweloperów.
- Większe wykorzystanie WebAuthn/FIDO, miejmy nadzieję oznacza, że ostatecznie mniej osób będzie korzystać, a równocześnie mniej usług będzie musiało zajmować się tworzeniem i zabezpieczaniem niebezpiecznych systemów, opartych na nazwie użytkownika i haśle.
Cieszymy się, że standardy, które współtworzyliśmy i nad których udoskonaleniem pracowaliśmy przez lata, spotykają się z jeszcze szerszym przyjęciem i mamy nadzieję, że te wnioski będą nadal zmniejszać szkody i rozwijać naszą misję, aby Internet był bezpieczniejszy dla wszystkich.
Wiemy, że jest więcej pytań, na które trzeba odpowiedzieć i zapraszamy do obejrzenia nasz webinar: „Passkey i przyszłość nowoczesnego uwierzytelniania: Q&A z CTO firmy Yubico”. Podczas webinarium zanurzamy się jeszcze głębiej w temat, aby pomóc wnieść jasność, wyeliminować zamieszanie i odpowiedzieć na wszelkie konkretne pytania, które możesz mieć.
Na podstawie artykułu ze strony Yubico.