YubiKey nhỏ bé của Yubico có tương lai bảo mật tất cả bị khóa
Công nghệ mã hóa của công ty nhỏ đang được các đại gia công nghệ đón nhận, mang đến cho người tiêu dùng một cách thức vững chắc, dễ tiếp cận để bảo vệ tài khoản của họ.
Nói lớn tiếng YubiKey, và bạn có thể hiểu ý định của Yubico, công ty đứng sau khóa xác thực dựa trên phần cứng USB này đã gây bão internet bằng cách rất thông minh và làm việc với các tiêu chuẩn mở. Cho đến gần đây, tôi chỉ âm thầm đọc tên sản phẩm và không chơi chữ cho đến khi tôi nói nó có mặt khắp nơi .
YubiKey có một số kiểu máy, tất cả đều tuân theo cách tiếp cận tương đối mới để xác thực danh tính trực tuyến dựa trên các khóa mã hóa duy nhất được gắn với một trang web hoặc ứng dụng cụ thể. Yubico đã thúc đẩy tiêu chuẩn hóa, tranh thủ các đối tác lớn và nhiều liên minh trên đường đi. Gần đây nhất, World Wide Web Consortium (W3C) đã áp dụng một tiêu chuẩn mà Yubico đã giúp phát triển, nhúng trực tiếp phương pháp mã hóa này vào các trình duyệt web, giúp các trang web thực hiện nó đơn giản hơn rất nhiều.
Khi công nghệ của Yubico lan rộng trên mạng, những người bình thường mệt mỏi vì hành vi trộm cắp thông tin, lừa đảo và gian lận khác cuối cùng có thể bám vào YubiKey để đơn giản và bảo mật. Chuyên viên bảo mật đã nhận thức rõ về nó. Một số tôi biết đã giới thiệu một người cho những người thân ít hiểu biết của họ, ngay cả khi họ phải cung cấp thiết lập và cầm tay.
Google từ lâu đã triển khai phiên bản đầu tiên của cái gọi là Xác thực Web (hay gọi tắt là WebAuthn) và hỗ trợ kích hoạt của Microsoft vào tháng 11 năm 2018 . Firefox đã kết hợp WebAuthn vào tháng 5 năm 2018. Apple thường nắm giữ một số loại tiêu chuẩn và khả năng tương tác có lợi cho riêng mình, hãng này xem xét các giải pháp an toàn hơn và tập trung vào quyền riêng tư hơn. Tuy nhiên, công ty đã đưa hỗ trợ WebAuthn vào phiên bản xem trước công nghệ có sẵn công khai của Safari cho Mac vào tháng 12 năm 2018 và có khả năng nó sẽ được giữ nguyên để cập nhật macOS vào quý 3 năm 2019. (Apple từ chối cung cấp thêm thông tin về nó có kế hoạch kết hợp công nghệ vào iOS hoặc macOS.)
Yubico đã kết hợp thành công các tiêu chuẩn này với việc phát hành mã thông báo USB tương thích với iPhone và iPad có bộ chuyển đổi Lightning của Apple ở một đầu và đầu cắm USB-C ở đầu kia. Được phát hành dưới dạng bản xem trước công nghệ, nó hoạt động với trình duyệt Brave cho iOS và bản xem trước Safari và các trình duyệt khác trong macOS. Hàng trăm dịch vụ hiện đang hoạt động với WebAuthn và các tiêu chuẩn trước đó được xây dựng; Hàng vạn người nên làm theo.
YubiKey mới nhất có đầu nối Lightning ở một đầu (đối với iPhone) và USB-C (iPad Ưu, máy Mac và đầu nối các thiết bị khác) ở đầu kia. [Ảnh: lịch sự của Yubico]
Khóa bảo mật của Yubico không hề rẻ, bắt đầu từ $ 45 cho mẫu khóa hàng đầu của nó. Họ cạnh tranh với phần cứng từ các công ty khác có giá chỉ $ 20. Nhưng một gần đây Verge roundup kiểm tra tám thiết bị xác thực phần cứng và đưa những cái gật đầu với bốn YubiKeys-bao gồm cả bảng xếp hạng nó ở # 1, # 2, và gắn-cho- # 3 vị trí. Một thiết bị do Google sản xuất đứng thứ tư. Công ty không phải đối mặt với sự cạnh tranh lớn từ các nhà sản xuất khóa xác thực khác, có lẽ bởi vì thật khó để xây dựng một cái gì đó có đủ giá trị gia tăng để đạt được mức lợi nhuận cao.
Ngay cả Yubico cũng không hoàn toàn kinh doanh để bán phần cứng bảo mật. Chúng tôi chưa bao giờ thành lập công ty để xây dựng YubiKey, ông Jerrod Chong, giám đốc giải pháp của Yubico cho biết. Thay vào đó, ông nói, mục tiêu là cung cấp một cách rộng rãi để giữ cho mọi người được an toàn trên internet. Đó là một mục tiêu cao cả, lý tưởng, và nó đang thành công.
ĐÓ LÀ TẤT CẢ TRONG THỜI GIAN
Với một YubiKey được cắm vào máy tính, máy tính bảng hoặc điện thoại của bạn, việc chứng minh danh tính của bạn với một ứng dụng hoặc trang web là vấn đề đầu tiên đăng ký thiết bị của bạn bằng cách sử dụng thông tin được mã hóa duy nhất được chôn trong khóa và sau đó đăng nhập vào một nút. (Một số trang web có thể yêu cầu đăng nhập thường xuyên cộng với nút nhấn mỗi lần; một số trang web khác có thể chọn mã thông báo để xác nhận lại.) Tất cả các trò đùa về mật mã xảy ra vô hình, bảo vệ bạn khỏi các trang web giả mạo và tài khoản của bạn khỏi những kẻ trộm mật khẩu và thậm chí là các cuộc tấn công tinh vi như như chiếm quyền xác thực hai yếu tố (2FA).
Trong khi theo đuổi sứ mệnh đó, YubiKey đã tăng từ 30 đến 200 nhân viên trong vài năm qua và đã huy động được 30 triệu đô la từ các nhà đầu tư. Crunchbase ước tính rằng công ty tư nhân cho đến nay kiếm được doanh thu khiêm tốn 10 triệu đô la trong một không gian có thể trị giá hàng tỷ đồng.
Cốt lõi của các tiêu chuẩn Yubico đã giúp phát triển và cho đi là một ý tưởng đơn giản: Người dùng nên kiểm soát và sở hữu các khóa mã hóa cho phép họ xác thực danh tính của họ bằng các ứng dụng, trang web và dịch vụ. Không người trung gian nào có quyền truy cập vào khóa cũng như nội dung liên lạc bằng cách sử dụng chúng và không yêu cầu cơ sở hạ tầng trung tâm.
Người khổng lồ công nghệ, tất nhiên, có thể rất vui khi được làm trung gian giữa người tiêu dùng và các ứng dụng và dịch vụ họ sử dụng. Nhưng cách tiếp cận phi tập trung của Yubico đã không khiến các công ty lớn sợ hãi. Thay vào đó, nhiều người đã đổ xô vào, với sự chấp thuận của W3C củng cố tương lai của nó.
Cách tiếp cận bảo mật của Yubico đã đạt được thành công như vậy một phần là do sự không đúng lúc. Công ty đã phát triển các tiêu chuẩn đăng nhập và phần cứng chuyên dụng ngay trước khi các nhà sản xuất điện thoại thông minh và các thiết bị khác bắt đầu xây dựng các tính năng tập trung vào xác thực dựa trên thiết bị, cục bộ, như quét vân tay và quét khuôn mặt và công nghệ liên quan. Khi Yubico đã phát triển và truyền bá cách tiếp cận mà nó giúp tiên phong, các nhà sản xuất đó đã ký kết với các tiêu chuẩn rộng hơn là sản xuất các lựa chọn thay thế độc quyền, có lẽ do tâm trạng công cộng ngày càng ủng hộ quyền riêng tư kỹ thuật số và chống lại việc củng cố quyền lực trong tay các công ty cụ thể.
Vào những thời điểm khác nhau trong những năm gần đây, Apple, Google và Microsoft đã quyết định bảo vệ nền tảng di động và máy tính để bàn bằng cách thêm các chip bảo mật hoạt động như ống dẫn một chiều và két riêng cho dữ liệu như khóa mã hóa và thẻ tín dụng. Apple nhúng các chip này vào thiết bị của riêng mình, cũng như Google cho điện thoại Pixel của mình; cả Google và Microsoft đều hỗ trợ họ trong các hệ điều hành của họ và khuyến khích các nhà sản xuất phần cứng nắm lấy chúng. Những khu vực này là trung tâm của sinh trắc học hiện đại, hệ thống thanh toán di động và nhiều hơn nữa.
Các chip an toàn được tích hợp trong các thiết bị mã hóa hình dạng khuôn mặt của bạn, các đường viền trên đầu ngón tay, cá bột trong giọng nói và mã trên thẻ tín dụng của bạn. Ngay cả những người tạo ra phần cứng đó cũng không thể trích xuất dữ liệu. Điều đó đã trở thành một vấn đề khi FBI yêu cầu Apple xây dựng một phiên bản iOS tùy chỉnh để cung cấp cho cơ quan tỷ lệ bẻ khóa mã được bảo mật bằng silicon. (Apple đã từ chối và chống lại tòa án; FBI cáo buộc rằng họ đã tìm thấy một cách khác.)
Tuy nhiên, mặc dù các chip bảo mật này có thể liên quan đến việc xác thực bạn trong các ứng dụng gốc, để mua hàng trực tuyến và thông qua thông tin đăng nhập dựa trên thiết bị (như Touch ID của Apple và Face ID), chúng không thu hẹp khoảng cách với web, nơi mà bất chấp những nỗ lực tốt nhất của các nhà sản xuất ứng dụng, người dân vẫn dành nhiều thời gian. Ví dụ, một dịch vụ email dựa trên web không thể truy cập trực tiếp vào một con chip như Secure Eniances của Apple để đăng nhập an toàn cho bạn.
Đó là nơi Yubico phù hợp với đội bóng theo nghĩa đen.
MỘT CHIP BẢO MẬT TRONG MỘT GÓI DI ĐỘNG
YubiKeys và các thiết bị tương tự dựa trên các tiêu chuẩn đặt chip bảo mật vào gói bên ngoài và biến nó thành phương thức xác thực không xác định của công ty, nền tảng và thiết bị. Các phím có thể hoạt động với bất kỳ thiết bị và phần mềm nào hiểu biết về USB.
Điều này là có thể vì Liên minh FIDO (Fast ID Online). Được thành lập vào năm 2012 để cung cấp một mật khẩu thay thế mật khẩu cho thiết bị, nó đã tăng danh mục đầu tư vào năm 2013 khi Yubico, Google và đối tác bán dẫn của họ NXN tham gia, mang đến một công nghệ dựa trên phần cứng có thể cung cấp yếu tố xác thực thứ hai.
Khái niệm này, được phát hành dưới dạng Universal 2nd Factor (U2F), dựa vào mật mã khóa công khai, trong đó bí mật mã hóa được chia thành một cặp khóa công khai và khóa riêng. Tại các trang web và dịch vụ hỗ trợ U2F, người dùng đăng ký bằng cách đăng nhập và tự xác minh, sau đó sử dụng thiết bị U2F để tạo một cặp khóa duy nhất. Các trang web từ xa giữ lại phần khóa công khai.
[Ảnh: lịch sự của Yubico]
Trong lần đăng nhập tiếp theo, người dùng vẫn có thể phải nhập tên người dùng và mật khẩu hoặc bất kỳ thông tin tương tự nào được yêu cầu. Sau đó, trang web bắt tay với khóa bảo mật bằng cách gửi một thách thức được mã hóa bằng khóa chung. Phần cứng U2F cung cấp phản hồi mà chỉ một bên sở hữu khóa riêng mới có thể. Cặp khóa duy nhất được liên kết với một tên miền cụ thể, ngăn chặn các trang web lừa đảo đánh lừa người dùng đăng nhập tại một trang web bất chính; chỉ trang web đã đăng ký có khóa công khai.
Điều này biến xác thực hai yếu tố thông thường trên đầu của nó. Nếu một trang web sử dụng mã một lần hoặc một bí mật được chia sẻ để xác thực người dùng, vì số lượng lớn họ thực hiện, thì thông tin có thể bị chặn bởi bên thứ ba và phải chịu các lỗ hổng khác. Bằng cách trao quyền sở hữu với người dùng và sử dụng trao đổi mật mã, phương pháp của Yubico cải thiện đáng kể tính toàn vẹn của yếu tố thứ hai trong việc bảo vệ tài khoản của người dùng.
Cho đến những năm gần đây, U2F đã áp dụng tương đối hạn chế, bên ngoài các ứng dụng và trang web cụ thể yêu cầu sử dụng trình duyệt Google Chrome. Trong khi danh sách các trang web ngày càng bao gồm những người chơi doanh nghiệp và người tiêu dùng lớn như Dropbox, Eve Online và Salesforce, mỗi trang web hoặc ứng dụng phải viết một cách tích hợp tùy chỉnh một cách hiệu quả.
Các công ty công nghệ lớn dường như quan tâm nhiều hơn đến việc đẩy mạnh Đăng nhập với các tùy chọn đăng nhập một lần cho phép người dùng dựa vào tài khoản của họ để đăng nhập ở nơi khác. Điều đó bao gồm các nhà sản xuất hệ điều hành như Microsoft và Google (cộng với Apple vào mùa thu này) và một loạt các công ty khác, bao gồm Amazon, Facebook và Twitter.
Những đăng nhập hợp nhất đó không chỉ phụ thuộc vào hệ sinh thái, dẫn đến khóa; họ không cung cấp bảo mật hơn. Trong thực tế, họ thiết lập các điểm thất bại thậm chí còn tồi tệ hơn.
TIÊU CHUẨN ĐẰNG SAU CHÌA KHÓA
Các công ty lớn thường muốn củng cố và nắm bắt người dùng. Thời gian này dường như là khác nhau, ít nhất là cho các nhà sản xuất hệ điều hành và trình duyệt. Mong muốn từ lâu của Yubico để mang lại xác thực an toàn cho các trang web đã thành hiện thực.
Vào năm 2016, FIDO đã đưa phần web của các tiêu chuẩn thế hệ thứ hai của mình lên W3C, phát hành phiên bản cuối cùng vào tháng 3 năm 2019 . WebAuthn đặt các phần cần thiết vào trình duyệt web để xác thực đăng nhập qua web bên ngoài trình duyệt. Điều này cho phép phần cứng bổ trợ như YubiKey. Nó cũng cho phép sử dụng chip bảo mật tích hợp gắn với một máy tính hoặc thiết bị di động cụ thể.
Đối với các nhà phát triển web tại các trang web lớn và nhỏ, điều này sẽ giúp cải thiện việc sử dụng YubiKey hoặc trình xác thực tương tự với trình duyệt và thực hiện giống nhau trên tất cả các trình duyệt hỗ trợ tiêu chuẩn. Nó đặt xác thực trên cùng một nền tảng như hoạt hình các đối tượng trên một trang hoặc lưu trữ dữ liệu cục bộ trong trình duyệt.
[Ảnh: lịch sự của Yubico]
Điểm bùng phát của Yubico có thể đã được tiến hành với việc áp dụng WebAuthn. Nhưng rất có thể nó sẽ đạt được tiềm năng đầy đủ của nó nếu Apple bổ sung tiêu chuẩn cho phiên bản Safari của iOS. Đó là lý do tại sao Yubico tạo ra bản xem trước Lightning / USB-C. Chong của Yubico nói rằng công ty muốn đưa một cái gì đó vào thị trường, ngay cả khi phát hành sớm hạn chế, thay vì chỉ giới thiệu một nguyên mẫu. Nếu bạn không chỉ ra một cách để tạo ra trải nghiệm, thì nó sẽ không bao giờ được thực hiện, anh ấy nói. Triết lý đó dường như đã hướng dẫn Yubico từ khi thành lập cho đến bây giờ.
Mối đe dọa lớn nhất của công ty có thể đến từ thành công của nó. Vì WebAuthn cho phép sử dụng các vỏ bảo mật hiện có, các nhà sản xuất điện thoại cuối cùng có thể xây dựng chức năng giống Yubikey vào điện thoại và các thiết bị khác, cho phép người mua YubiKey có thể tránh mua riêng. Tuy nhiên, các lực lượng tương tự sẽ khiến mọi người muốn xác thực bên ngoài trung gian của một công ty lớn cũng có thể khiến một số người trong số họ thích một thiết bị bên thứ ba, di động từ một công ty trung lập, một công ty bảo mật phát triển mạnh bằng cách mở rộng cửa .
Nói lớn tiếng YubiKey, và bạn có thể hiểu ý định của Yubico, công ty đứng sau khóa xác thực dựa trên phần cứng USB này đã gây bão internet bằng cách rất thông minh và làm việc với các tiêu chuẩn mở. Cho đến gần đây, tôi chỉ âm thầm đọc tên sản phẩm và không chơi chữ cho đến khi tôi nói nó có mặt khắp nơi .
YubiKey có một số kiểu máy, tất cả đều tuân theo cách tiếp cận tương đối mới để xác thực danh tính trực tuyến dựa trên các khóa mã hóa duy nhất được gắn với một trang web hoặc ứng dụng cụ thể. Yubico đã thúc đẩy tiêu chuẩn hóa, tranh thủ các đối tác lớn và nhiều liên minh trên đường đi. Gần đây nhất, World Wide Web Consortium (W3C) đã áp dụng một tiêu chuẩn mà Yubico đã giúp phát triển, nhúng trực tiếp phương pháp mã hóa này vào các trình duyệt web, giúp các trang web thực hiện nó đơn giản hơn rất nhiều.
Khi công nghệ của Yubico lan rộng trên mạng, những người bình thường mệt mỏi vì hành vi trộm cắp thông tin, lừa đảo và gian lận khác cuối cùng có thể bám vào YubiKey để đơn giản và bảo mật. Chuyên viên bảo mật đã nhận thức rõ về nó. Một số tôi biết đã giới thiệu một người cho những người thân ít hiểu biết của họ, ngay cả khi họ phải cung cấp thiết lập và cầm tay.
Google từ lâu đã triển khai phiên bản đầu tiên của cái gọi là Xác thực Web (hay gọi tắt là WebAuthn) và hỗ trợ kích hoạt của Microsoft vào tháng 11 năm 2018 . Firefox đã kết hợp WebAuthn vào tháng 5 năm 2018. Apple thường nắm giữ một số loại tiêu chuẩn và khả năng tương tác có lợi cho riêng mình, hãng này xem xét các giải pháp an toàn hơn và tập trung vào quyền riêng tư hơn. Tuy nhiên, công ty đã đưa hỗ trợ WebAuthn vào phiên bản xem trước công nghệ có sẵn công khai của Safari cho Mac vào tháng 12 năm 2018 và có khả năng nó sẽ được giữ nguyên để cập nhật macOS vào quý 3 năm 2019. (Apple từ chối cung cấp thêm thông tin về nó có kế hoạch kết hợp công nghệ vào iOS hoặc macOS.)
Yubico đã kết hợp thành công các tiêu chuẩn này với việc phát hành mã thông báo USB tương thích với iPhone và iPad có bộ chuyển đổi Lightning của Apple ở một đầu và đầu cắm USB-C ở đầu kia. Được phát hành dưới dạng bản xem trước công nghệ, nó hoạt động với trình duyệt Brave cho iOS và bản xem trước Safari và các trình duyệt khác trong macOS. Hàng trăm dịch vụ hiện đang hoạt động với WebAuthn và các tiêu chuẩn trước đó được xây dựng; Hàng vạn người nên làm theo.
YubiKey mới nhất có đầu nối Lightning ở một đầu (đối với iPhone) và USB-C (iPad Ưu, máy Mac và đầu nối các thiết bị khác) ở đầu kia. [Ảnh: lịch sự của Yubico]
Khóa bảo mật của Yubico không hề rẻ, bắt đầu từ $ 45 cho mẫu khóa hàng đầu của nó. Họ cạnh tranh với phần cứng từ các công ty khác có giá chỉ $ 20. Nhưng một gần đây Verge roundup kiểm tra tám thiết bị xác thực phần cứng và đưa những cái gật đầu với bốn YubiKeys-bao gồm cả bảng xếp hạng nó ở # 1, # 2, và gắn-cho- # 3 vị trí. Một thiết bị do Google sản xuất đứng thứ tư. Công ty không phải đối mặt với sự cạnh tranh lớn từ các nhà sản xuất khóa xác thực khác, có lẽ bởi vì thật khó để xây dựng một cái gì đó có đủ giá trị gia tăng để đạt được mức lợi nhuận cao.
Ngay cả Yubico cũng không hoàn toàn kinh doanh để bán phần cứng bảo mật. Chúng tôi chưa bao giờ thành lập công ty để xây dựng YubiKey, ông Jerrod Chong, giám đốc giải pháp của Yubico cho biết. Thay vào đó, ông nói, mục tiêu là cung cấp một cách rộng rãi để giữ cho mọi người được an toàn trên internet. Đó là một mục tiêu cao cả, lý tưởng, và nó đang thành công.
ĐÓ LÀ TẤT CẢ TRONG THỜI GIAN
Với một YubiKey được cắm vào máy tính, máy tính bảng hoặc điện thoại của bạn, việc chứng minh danh tính của bạn với một ứng dụng hoặc trang web là vấn đề đầu tiên đăng ký thiết bị của bạn bằng cách sử dụng thông tin được mã hóa duy nhất được chôn trong khóa và sau đó đăng nhập vào một nút. (Một số trang web có thể yêu cầu đăng nhập thường xuyên cộng với nút nhấn mỗi lần; một số trang web khác có thể chọn mã thông báo để xác nhận lại.) Tất cả các trò đùa về mật mã xảy ra vô hình, bảo vệ bạn khỏi các trang web giả mạo và tài khoản của bạn khỏi những kẻ trộm mật khẩu và thậm chí là các cuộc tấn công tinh vi như như chiếm quyền xác thực hai yếu tố (2FA).
Trong khi theo đuổi sứ mệnh đó, YubiKey đã tăng từ 30 đến 200 nhân viên trong vài năm qua và đã huy động được 30 triệu đô la từ các nhà đầu tư. Crunchbase ước tính rằng công ty tư nhân cho đến nay kiếm được doanh thu khiêm tốn 10 triệu đô la trong một không gian có thể trị giá hàng tỷ đồng.
Cốt lõi của các tiêu chuẩn Yubico đã giúp phát triển và cho đi là một ý tưởng đơn giản: Người dùng nên kiểm soát và sở hữu các khóa mã hóa cho phép họ xác thực danh tính của họ bằng các ứng dụng, trang web và dịch vụ. Không người trung gian nào có quyền truy cập vào khóa cũng như nội dung liên lạc bằng cách sử dụng chúng và không yêu cầu cơ sở hạ tầng trung tâm.
Người khổng lồ công nghệ, tất nhiên, có thể rất vui khi được làm trung gian giữa người tiêu dùng và các ứng dụng và dịch vụ họ sử dụng. Nhưng cách tiếp cận phi tập trung của Yubico đã không khiến các công ty lớn sợ hãi. Thay vào đó, nhiều người đã đổ xô vào, với sự chấp thuận của W3C củng cố tương lai của nó.
Cách tiếp cận bảo mật của Yubico đã đạt được thành công như vậy một phần là do sự không đúng lúc. Công ty đã phát triển các tiêu chuẩn đăng nhập và phần cứng chuyên dụng ngay trước khi các nhà sản xuất điện thoại thông minh và các thiết bị khác bắt đầu xây dựng các tính năng tập trung vào xác thực dựa trên thiết bị, cục bộ, như quét vân tay và quét khuôn mặt và công nghệ liên quan. Khi Yubico đã phát triển và truyền bá cách tiếp cận mà nó giúp tiên phong, các nhà sản xuất đó đã ký kết với các tiêu chuẩn rộng hơn là sản xuất các lựa chọn thay thế độc quyền, có lẽ do tâm trạng công cộng ngày càng ủng hộ quyền riêng tư kỹ thuật số và chống lại việc củng cố quyền lực trong tay các công ty cụ thể.
Vào những thời điểm khác nhau trong những năm gần đây, Apple, Google và Microsoft đã quyết định bảo vệ nền tảng di động và máy tính để bàn bằng cách thêm các chip bảo mật hoạt động như ống dẫn một chiều và két riêng cho dữ liệu như khóa mã hóa và thẻ tín dụng. Apple nhúng các chip này vào thiết bị của riêng mình, cũng như Google cho điện thoại Pixel của mình; cả Google và Microsoft đều hỗ trợ họ trong các hệ điều hành của họ và khuyến khích các nhà sản xuất phần cứng nắm lấy chúng. Những khu vực này là trung tâm của sinh trắc học hiện đại, hệ thống thanh toán di động và nhiều hơn nữa.
Các chip an toàn được tích hợp trong các thiết bị mã hóa hình dạng khuôn mặt của bạn, các đường viền trên đầu ngón tay, cá bột trong giọng nói và mã trên thẻ tín dụng của bạn. Ngay cả những người tạo ra phần cứng đó cũng không thể trích xuất dữ liệu. Điều đó đã trở thành một vấn đề khi FBI yêu cầu Apple xây dựng một phiên bản iOS tùy chỉnh để cung cấp cho cơ quan tỷ lệ bẻ khóa mã được bảo mật bằng silicon. (Apple đã từ chối và chống lại tòa án; FBI cáo buộc rằng họ đã tìm thấy một cách khác.)
Tuy nhiên, mặc dù các chip bảo mật này có thể liên quan đến việc xác thực bạn trong các ứng dụng gốc, để mua hàng trực tuyến và thông qua thông tin đăng nhập dựa trên thiết bị (như Touch ID của Apple và Face ID), chúng không thu hẹp khoảng cách với web, nơi mà bất chấp những nỗ lực tốt nhất của các nhà sản xuất ứng dụng, người dân vẫn dành nhiều thời gian. Ví dụ, một dịch vụ email dựa trên web không thể truy cập trực tiếp vào một con chip như Secure Eniances của Apple để đăng nhập an toàn cho bạn.
Đó là nơi Yubico phù hợp với đội bóng theo nghĩa đen.
MỘT CHIP BẢO MẬT TRONG MỘT GÓI DI ĐỘNG
YubiKeys và các thiết bị tương tự dựa trên các tiêu chuẩn đặt chip bảo mật vào gói bên ngoài và biến nó thành phương thức xác thực không xác định của công ty, nền tảng và thiết bị. Các phím có thể hoạt động với bất kỳ thiết bị và phần mềm nào hiểu biết về USB.
Điều này là có thể vì Liên minh FIDO (Fast ID Online). Được thành lập vào năm 2012 để cung cấp một mật khẩu thay thế mật khẩu cho thiết bị, nó đã tăng danh mục đầu tư vào năm 2013 khi Yubico, Google và đối tác bán dẫn của họ NXN tham gia, mang đến một công nghệ dựa trên phần cứng có thể cung cấp yếu tố xác thực thứ hai.
Khái niệm này, được phát hành dưới dạng Universal 2nd Factor (U2F), dựa vào mật mã khóa công khai, trong đó bí mật mã hóa được chia thành một cặp khóa công khai và khóa riêng. Tại các trang web và dịch vụ hỗ trợ U2F, người dùng đăng ký bằng cách đăng nhập và tự xác minh, sau đó sử dụng thiết bị U2F để tạo một cặp khóa duy nhất. Các trang web từ xa giữ lại phần khóa công khai.
[Ảnh: lịch sự của Yubico]
Trong lần đăng nhập tiếp theo, người dùng vẫn có thể phải nhập tên người dùng và mật khẩu hoặc bất kỳ thông tin tương tự nào được yêu cầu. Sau đó, trang web bắt tay với khóa bảo mật bằng cách gửi một thách thức được mã hóa bằng khóa chung. Phần cứng U2F cung cấp phản hồi mà chỉ một bên sở hữu khóa riêng mới có thể. Cặp khóa duy nhất được liên kết với một tên miền cụ thể, ngăn chặn các trang web lừa đảo đánh lừa người dùng đăng nhập tại một trang web bất chính; chỉ trang web đã đăng ký có khóa công khai.
Điều này biến xác thực hai yếu tố thông thường trên đầu của nó. Nếu một trang web sử dụng mã một lần hoặc một bí mật được chia sẻ để xác thực người dùng, vì số lượng lớn họ thực hiện, thì thông tin có thể bị chặn bởi bên thứ ba và phải chịu các lỗ hổng khác. Bằng cách trao quyền sở hữu với người dùng và sử dụng trao đổi mật mã, phương pháp của Yubico cải thiện đáng kể tính toàn vẹn của yếu tố thứ hai trong việc bảo vệ tài khoản của người dùng.
Cho đến những năm gần đây, U2F đã áp dụng tương đối hạn chế, bên ngoài các ứng dụng và trang web cụ thể yêu cầu sử dụng trình duyệt Google Chrome. Trong khi danh sách các trang web ngày càng bao gồm những người chơi doanh nghiệp và người tiêu dùng lớn như Dropbox, Eve Online và Salesforce, mỗi trang web hoặc ứng dụng phải viết một cách tích hợp tùy chỉnh một cách hiệu quả.
Các công ty công nghệ lớn dường như quan tâm nhiều hơn đến việc đẩy mạnh Đăng nhập với các tùy chọn đăng nhập một lần cho phép người dùng dựa vào tài khoản của họ để đăng nhập ở nơi khác. Điều đó bao gồm các nhà sản xuất hệ điều hành như Microsoft và Google (cộng với Apple vào mùa thu này) và một loạt các công ty khác, bao gồm Amazon, Facebook và Twitter.
Những đăng nhập hợp nhất đó không chỉ phụ thuộc vào hệ sinh thái, dẫn đến khóa; họ không cung cấp bảo mật hơn. Trong thực tế, họ thiết lập các điểm thất bại thậm chí còn tồi tệ hơn.
TIÊU CHUẨN ĐẰNG SAU CHÌA KHÓA
Các công ty lớn thường muốn củng cố và nắm bắt người dùng. Thời gian này dường như là khác nhau, ít nhất là cho các nhà sản xuất hệ điều hành và trình duyệt. Mong muốn từ lâu của Yubico để mang lại xác thực an toàn cho các trang web đã thành hiện thực.
Vào năm 2016, FIDO đã đưa phần web của các tiêu chuẩn thế hệ thứ hai của mình lên W3C, phát hành phiên bản cuối cùng vào tháng 3 năm 2019 . WebAuthn đặt các phần cần thiết vào trình duyệt web để xác thực đăng nhập qua web bên ngoài trình duyệt. Điều này cho phép phần cứng bổ trợ như YubiKey. Nó cũng cho phép sử dụng chip bảo mật tích hợp gắn với một máy tính hoặc thiết bị di động cụ thể.
Đối với các nhà phát triển web tại các trang web lớn và nhỏ, điều này sẽ giúp cải thiện việc sử dụng YubiKey hoặc trình xác thực tương tự với trình duyệt và thực hiện giống nhau trên tất cả các trình duyệt hỗ trợ tiêu chuẩn. Nó đặt xác thực trên cùng một nền tảng như hoạt hình các đối tượng trên một trang hoặc lưu trữ dữ liệu cục bộ trong trình duyệt.
[Ảnh: lịch sự của Yubico]
Điểm bùng phát của Yubico có thể đã được tiến hành với việc áp dụng WebAuthn. Nhưng rất có thể nó sẽ đạt được tiềm năng đầy đủ của nó nếu Apple bổ sung tiêu chuẩn cho phiên bản Safari của iOS. Đó là lý do tại sao Yubico tạo ra bản xem trước Lightning / USB-C. Chong của Yubico nói rằng công ty muốn đưa một cái gì đó vào thị trường, ngay cả khi phát hành sớm hạn chế, thay vì chỉ giới thiệu một nguyên mẫu. Nếu bạn không chỉ ra một cách để tạo ra trải nghiệm, thì nó sẽ không bao giờ được thực hiện, anh ấy nói. Triết lý đó dường như đã hướng dẫn Yubico từ khi thành lập cho đến bây giờ.
Mối đe dọa lớn nhất của công ty có thể đến từ thành công của nó. Vì WebAuthn cho phép sử dụng các vỏ bảo mật hiện có, các nhà sản xuất điện thoại cuối cùng có thể xây dựng chức năng giống Yubikey vào điện thoại và các thiết bị khác, cho phép người mua YubiKey có thể tránh mua riêng. Tuy nhiên, các lực lượng tương tự sẽ khiến mọi người muốn xác thực bên ngoài trung gian của một công ty lớn cũng có thể khiến một số người trong số họ thích một thiết bị bên thứ ba, di động từ một công ty trung lập, một công ty bảo mật phát triển mạnh bằng cách mở rộng cửa .
Nhận xét
Đăng nhận xét