Ο διαχειριστής κωδικών πρόσβασης Bitwarden, που είναι ανοικτού κώδικα, ανακοίνωσε ότι όλοι οι χρήστες μπορούν τώρα να συνδεθούν στις ηλεκτρονικές τους αποθήκες χρησιμοποιώντας passkeys αντί για τα συνηθισμένα διαπιστευτήρια όνομα χρήστη και κωδικού πρόσβασης.
Δείτε επίσης: Bitwarden: Σοβαρό κενό ασφαλείας επιτρέπει κλοπή κωδικών μέσω iframes
Τα passkeys είναι η πιο ασφαλής εναλλακτική λύση από τους κωδικούς που οι περισσότεροι άνθρωποι χρησιμοποιούν και είναι ανθεκτικά στις επιθέσεις phishing. Στην περίπτωση του Bitwarden, επιτρέπουν στους χρήστες να αποκρυπτογραφήσουν το αποθετήριό τους χωρίς την ανάγκη για τον κύριο κωδικό πρόσβασης, μια διεύθυνση email ή διπλή επαλήθευση (2FA). Η υλοποίηση των passkeys του Bitwarden είναι αυτήν τη στιγμή σε φάση beta και βασίζεται στην επέκταση PRF WebAuthn για να επαληθεύει τους χρήστες και να λαμβάνει ένα κλειδί κρυπτογράφησης και να αποκρυπτογραφήσει δεδομένα.
Ο Ryan Luibrand, ανώτερος διευθυντής προϊόντος στην Bitwarden, εξηγεί ότι οι εφαρμογές με κρυπτογράφηση end-to-end, όπως η Bitwarden, χρειάζeται να πιστοποιούν τους χρήστες και να κρυπτογραφούν και αποκρυπτογραφούν τα δεδομένα με ασφάλεια.
Ο διαδικασία κρυπτογράφησης απαιτεί ένα στατικό κλειδί, το οποίο μπορεί να προκύψει από έναν κωδικό πρόσβασης. Ένα passkey, το οποίο δεν κοινοποιείται με την εφαρμογή, θα παράγει μια διαφορετική τιμή για κάθε επαλήθευση.
Για να καταστεί πιο βολική η πρόσβαση χωρίς να θυσιάζεται η ασφάλεια, η Bitwarden χρησιμοποίησε την επέκταση PRF WebAuthn, η οποία είναι μια μέθοδος που επιτρέπει “την παραγωγή μιας μοναδικής, σταθερής τιμής από ένα passkey.“
Η επέκταση είναι ένα αναδυόμενο πρότυπο που επιτρέπει τη δημιουργία συμμετρικών κλειδιών κρυπτογράφησης από ένα authenticator, όπως ένα κλειδί ασφαλείας, όταν χρησιμοποιείται με ένα συμβατό πρόγραμμα περιήγησης.
Δείτε ακόμα: Google ads phishing επίθεση στοχεύει χρήστες Bitwarden
Όταν ένας χρήστης εγγράφεται με ένα passkey χρησιμοποιώντας ένα κλειδί ασφαλείας υλικού, επιτρέπει στο Bitwarden να κρυπτογραφήσει τα δεδομένα αποθήκης του χρήστη χρησιμοποιώντας τον συναφή κλειδί κρυπτογράφησης. Αντίθετα με τον τρόπο λειτουργίας των Hardware Security Modules – HSMs, η επέκταση PRF δεν αποθηκεύει κλειδιά στο υλικό, αλλά δημιουργεί κλειδιά χρησιμοποιώντας εισροή δεδομένων από τον εξαρτώμενο φορέα (την ιστοσελίδα).
Επειδή η δημιουργία του κλειδιού είναι μία προκαθορισμένη διαδικασία, η ίδια είσοδος θα παράγει πάντα την ίδια έξοδο, και ως εκ τούτου, τα κλειδιά πρόσβασης μπορούν να χρησιμοποιηθούν με αξιοπιστία για την ίδια online πλατφόρμα ή υπηρεσία.
Σε ένα άρθρο που δημοσιεύτηκε το περασμένο καλοκαίρι, η Bitwarden παρέχει περισσότερες λεπτομέρειες σχετικά με την υλοποίηση της επέκτασης PRF και τον τρόπο λειτουργίας της.
Κατά τη διάρκεια της φάσης beta, το Bitwarden θα επιτρέπει σε χρήστες όλων των πακέτων να δημιουργήσουν ένα μέγιστο αριθμό πέντε passkeys για την web εφαρμογή. Αυτή η λειτουργία είναι αυτήν την στιγμή διαθέσιμη σε προγράμματα περιήγησης που βασίζονται στο Chromium και υποστηρίζουν το PRF WebAuthn, αλλά υπάρχουν σχέδια για την επέκτασή της σε περισσότερους πελάτες στο μέλλον.
Για passkeys που δεν υποστηρίζουν την επέκταση PRF WebAuthn, οι χρήστες μπορούν ακόμη να πιστοποιηθούν χωρίς email ή 2FA, χρησιμοποιώντας τον κωδικό πρόσβασης Bitwarden για αποκρυπτογράφηση.
Δείτε επίσης: Το ZenRAT malware εντοπίστηκε σε μια ψεύτικη σελίδα Bitwarden
Τα passkeys γίνονται μια δημοφιλής μέθοδος για την εξασφάλιση της πρόσβασης σε προσωπικές και εμπιστευτικές πληροφορίες σε υπολογιστές, smartphone και διάφορες συσκευές Διαδικτύου. Χρησιμοποιώντας βιομετρικά δεδομένα όπως δαχτυλικά αποτυπώματα, αναγνώριση προσώπου ή σαρώσεις ίριδας που δημιουργούν μοναδικούς κωδικούς πρόσβασης για κάθε μεμονωμένο χρήστη, τα passkeys έχουν τη δυνατότητα να αντικαταστήσουν την παραδοσιακή ασφάλεια που βασίζεται σε κωδικό πρόσβασης.
Αυτή η μέθοδος όχι μόνο παρέχει μεγαλύτερη ασφάλεια, αλλά επιτρέπει επίσης ταχύτερη και ευκολότερη πρόσβαση σε συσκευές, καθώς δεν χρειάζεται να πληκτρολογήσετε κωδικούς πρόσβασης με μη αυτόματο τρόπο.
Πηγή: bleepingcomputer
