Automatisk English

Black bokse til sikkerhed

Hvad er authenticators?

Forestil dig en black box med et begrænset API. Det giver dig mulighed for at generere et nøglepar inde i black boksen, at læse den offentlige nøgle, og at signere data med den private nøgle. Men ikke på nogen måde at læse hvad den private nøgle er. Hvis du bryder boksen op for at se hvad den er, selvdestruerer dens memory. Der er, i kraft af designet, ingen måde hvorpå du, eller nogen anden, kan se se hvad den nøgle er.

En authenticator er essentielt set sådan en black boks.

I virkeligheden er det selvfølgelig meget mere broget. Men lad os her nøjes med at se på de måder authenticators er implementeret.

Roaming authenticators

roaming authenticator

En roaming authenticator er en hardware nøgle som kommunikerer med brugerens enhed gennem USB, NFC eller en anden kort-rækkende kanal. Den kan have en sensor, for at kunne registrere presence når brugeren rører den. Nogle roaming authenticators er multi-protokol. Vær forsigtig med dem, for det er nemt at bruge dem forkert, og dermed ikke få den sikkerhed som man tror de giver.

De mest populære roaming authenticators er UbiKeys.

Platform authenticators

platform authenticator

En platform authenticator er en hardware nøgle bygget ind i brugerens enhed. Det betyder at en privat nøgle vil være bundet til den enhed. Hvis enheden bliver væk, bør brugeren få sig en anden enhed og bruge den til at generere en ny nøgle og onboarde den.

I en PC er platform authenticatoren typisk et lille modul, som følger TPM standarden. I daglig tale kaldet en TPM chip. PCer er blevet solgt med TPM chips siden midt 00erne.

I en mobil enhed er platform authenticatoren et såkaldt Secure Element, eller bare SE. Egentlig samme slags chip som bruges i smartcards. Firmwaren på Secure Elementer er ikke standardiseret. Mobiltelefoner er blevet solgt med Secure Elementer siden midt 10erne.

Virtuelle authenticators

virtual authenticator

En virtuel authenticator er en nøgle der kun er implementeret i software. Sådan en nøgle kan være praktisk i et virtuelt miljø, hvis ikke man tager sikkerheden alt for tungt. Den tillader desuden en bagdør så de private nøgler kan synkroniseres. Dette er ikke muligt med de andre authenticator typer.

Passkeys, forstået som de Google og Apple produkter der blev lanceret 2022, er virtuelle authenticators.

Andre begreber

Begrebet hardware authenticator gælder både roaming og platform authenticators.

Begrebet cross-platform authenticator er bare et andet navn for en virtuel authenticator.

Begrebet passkey er forvirrende. Nogle bruger det generelt om alle FIDO2 authenticators, nogle bruger det som et synonym for virtuelle authenticators, og nogle bruger det specifikt om Googles og Apples produkter.

authenticator overblik

Afvejning

Afvejningen mellem sikkerhed og bekvemmelighed er forskellig for de tre slags authenticators.

Roaming authenticators er de sikreste men mindst bekvemmelige, da du skal huske at have din nøgle med dig og fumle rundt med den.

Platform authenticators er næsten lige så sikre som roaming authenticators. De er hardware, men operastivsystem og applikation danner et softwarelag rundt om, som kan blive kompromitteret. Hvis det sker kan det betyde at malware vil kunne authentikere på egen hånd. Men det vil ikke betyde at de private nøgler kunne lækkes. På bekvemmelighedssiden er platform authenticators bedre end roaming authenticators, da de altid er inde i din device.

Virtuelle authenticators er de mindst sikre fordi de ikke indkapsler de private nøgler. Faktisk synkroniserer de dem ofte, så sikkerheden kommer mere til at være på password manager niveau. De er dog mere sikre end passwords. De virtuelle authenticators, som synkroniserer private nøgler, kan være mere bekvemme end platform authenticators når du onboarder en ny enhed. Desuden kan det være besværligt at bruge mange forskellige enheder hvis man kører rå WebAuthn uden nogen form for trust infrastruktur. Så i den situation kan de synkroniserede nøgler gøre at de virtuelle authenticators er mere bekvemme.

Authentikering

Når du skal bruge en authenticator skal du først låse den op ved at indtaste et password. Eller, hvad der kommer ud på et, ved at skanne et fingeraftryk, ved at gestikulere, eller noget i den stil.

De data der bruges til at tjekke passwordet findes kun inde i authenticatoren (givet at det er en hardware authenticator). Så brugerens enhed er den eneste maskine der ser passwordet. Authenticators accepterer kun at authentikering, eller oplåsning, sker lokalt. Så du er nødt til at indtaste dit password direkte på din enhed når du låser authenticatoren op.

authenticator flow

Dette betyder at hvis det kun er en brugers password der bliver lækket, eller kun brugerens enhed der bliver stjålet, så bliver sikkerheden ramt minimalt. Det vil kræve at både password og enhed kommer i hænderne på en bad actor for at det kan udnyttes. Bemærk desuden at udnyttelse kræver fysisk adgang til enheden, så det begrænser det til én bad actor ad gangen. I modsætning til læk af klassiske passwords, hvor hele darknet kan udnytte det på samme tid.

Da authenticator passwordet er så meget mindre kritisk, kan kompleksitets- og udløbskrav være mere lempelige end for klassiske passwords. Dermed kan authenticators give både en bedre brugeroplevelse og et meget bedre sikkerhedsniveau.

Relateret:
Authentikering i generationer
Password tanker

Made by a human Licenser RSS feed