FIDO U2F w systemie Linux

Konieczność zneutralizowania ryzyka związanego z hasłem

Zdecydowana większość przypadków naruszenia bezpieczeństwa danych w wyniku hakowania jest wynikiem złamania haseł. Hasła nie są bezpieczne i nie można na nich polegać. Uwierzytelnianie wieloskładnikowe jest teraz koniecznością.

Ponowne użycie tego samego lub podobnego hasła w wielu usługach znacznie zwiększa narażenie na złośliwy dostęp i przejęcie konta.

Coraz bardziej wyrafinowane i wiarygodne ataki phishingowe nakłaniają ludzi do ujawnienia swoich danych logowania, a do kradzieży haseł często wykorzystuje się złośliwe programy na telefony, tablety i laptopy.

Nawet usługi zarządzania hasłami, zaprojektowane, aby pomóc osobom posiadającym wiele unikatowych haseł do kont, stały się ofiarą hakerów.

Przestępcy stosują techniki inżynierii społecznej, aby wydedukować hasła używane przez ofiary.

Rozwiązanie FIDO

Wykazano, że próby wzmocnienia bezpieczeństwa logowania za pomocą kodów wysyłanych SMS-em i lokalnie generowanych kodów OTP mają luki (wiadomości tekstowe mogą być przechwytywane w sieci telefonicznej, a kody OTP przekazywane podczas ataków typu „phishing” w czasie użytkowania). Sojusz FIDO (Fast Identity Online), do którego należą m.in. Google, Microsoft, Mozilla, MasterCard, Visa i PayPal, pracował nad zdefiniowaniem bezpiecznego i powszechnie obsługiwanego standardu.Standardy FIDO są bardzo bezpieczne – wykorzystują (asymetryczne) pary kluczy publicznych i prywatnych, przy czym klucz prywatny nigdy nie jest współdzielony i może być dokładnie chroniony za pomocą dedykowanego sprzętu zabezpieczającego. FIDO pokonuje ataki typu phishing i man-in-the-middle – ponieważ protokół uwierzytelniania FIDO wymusza weryfikację pochodzenia wiadomości, więc fałszywe strony internetowe nie zostaną rozpoznane. FIDO jest skalowalny – zaprojektowany do bezpiecznego uwierzytelniania wielu kont za pomocą jednego wystawcy uwierzytelnienia. Dla każdego konta generowane są unikalne i anonimowe kody uwierzytelniające. Logowanie bez hasła – standard FIDO2 dodaje obsługę w celu usprawnienia bezpiecznego procesu logowania poprzez całkowite usunięcie codziennego polegania na hasłach, zmniejszenie ryzyka związanego z hasłem i obciążeń związanych z administrowaniem hasłem przez zespoły wsparcia IT. (Niektóre klucze uwierzytelniania mogą być również używane jako urządzenia kompatybilne z Windows Hello – umożliwiając użytkownikom konfigurację logowania Windows Hello bez hasła na ich konkretnym komputerze z systemem Windows 10).

Chociaż niektóre najnowsze wersje systemu Linux mają wbudowaną obsługę kluczy bezpieczeństwa U2F, wiele z nich tego nie robi, dlatego może być konieczna drobna zmiana konfiguracji systemu, aby umożliwić żądającej przeglądarce internetowej (takiej jak Chrome) bezpośrednią komunikację z Twoim Klucz Token U2F przez port USB.

Jest to ogólnosystemowa aktualizacja konfiguracji, która włącza funkcjonalność Key-ID U2F w systemie Linux dla wszystkich użytkowników i jest całkowicie bezpieczna. Korzysta ze standardowych reguł udev w systemie Linux, co pozwala zidentyfikować, a tym samym zezwolić na określone urządzenia, na podstawie ich określonych właściwości, takich jak identyfikator dostawcy USB i identyfikator produktu.

Klucz FIDO U2F o identyfikatorze klucza ma identyfikator dostawcy (VID) wynoszący 096e (hex) i identyfikator produktu (PID) 0850 lub 0880 (hex). Aby włączyć go w systemie Linux, zakładając, że korzystasz z udev w wersji 188 lub nowszej, po prostu utwórz plik /etc/udev/rules.d/70-u2f.rules z następującą zawartością:


# this udev file should be used with udev 188 and newer
ACTION!="add|change", GOTO="u2f_end"  # Key-ID FIDO U2F KERNEL=="hidraw*", SUBSYSTEM=="hidraw", ATTRS{idVendor}=="096e", ATTRS{idProduct}=="0850|0880", TAG+="uaccess"  LABEL="u2f_end"

możesz pobrać gotowy plik tu: http://download.ubuntu.com.pl/linux-desktop/70-u2f.rules

Zwykle musisz mieć pełne uprawnienia administratora, aby skopiować lub zapisać plik w tym folderze systemowym. Po utworzeniu uruchom ponownie system i wszystko powinno działać.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Translate »