Avsnittet: #174 – Brister med tvåfaktorsautentisering med Nikka
Inspelat: 2022-06-09 (publicerat 2022-06-12)
Deltagare: Mattias Jadesköld, Erik Zalitis och Karl-Emil Nikka.
Detta avsnitt är ett samarbete med SIG Security.
Lyssna på avsnittet – Nikka
Medan du lyssnar – Nikka
På Norges nationaldag, den 17 maj, höll Karl-Emil Nikka föredraget ”Utmaningen med säker autentisering” hos SIG Security för att förklara var vi är på väg med säker autentisering. Det är länge sedan vi kunde prata om att ”vi måste sluta förlita oss på lösenord”. Det tåget har gått. Nu är det multifaktorautentisering som är standarden. Och nu kämpar vi istället med fråga oss vilken metod som är den säkraste och hur man ens sätter upp sitt konto. Karl-Emil har företaget Nikka systems och är en föreläsare som går hem i stugorna och på scenen. Han har också en egen, mycket populär podd, som heter ”Bli säker-podden”.
Om du kan IT bra, vet du hur. Men att konfigurera multi-faktor, som kanske inte ens är säker nog, är en utmaning för de äldre generationerna och för folk utan teknikintresse. Allt behöver säker autentisering, men alla kan inte hantera den.
Fyra vägar – olika resultat
Karl-Emil pratar om de olika metoderna från SMS med koder, via de där apparna som alla nu måste använda och fram till Passkeys. Det sistnämnda är framtiden, men det är en framtid där Microsoft, Apple och Google kommer lagra våra privata nycklar. För mer information och ”hela resan”, lyssna på avsnittet och du kommer förstå allting, medan du läser denna artikel.
Vänta, vadå? Ska jag lagra mina privata nycklar hos de stora leverantörerna??? Det är just den framtiden, Nikka pratar om. Den som inte vill detta, hänvisas till Titankey och Yubikey. Mattias undrar hur detta fungerar med GDPR och själv känner jag mig osäker på detta. Men frågan är om det finns någon annan väg som gör att alla kan hantera säker autentisering.
Min högst privata tanke är att det finns en risk att ett hackat datacenter hos Google, Apple, Amazon eller Microsoft leder till att Troy Hunt får uppdatera sin lösenordsläckage-site ”Have I been pnwed” med certifikatsläckor. Är det vår framtid? Kanske inte, men vägen mellan säkerhet och faktisk användarbarhet är svårt. Karl-Emil Nikka tror på Passkeys och förklarar hur han ser på de problem som finns och den lösning framtidens autentisering kan erbjuda.
Länkar – Nikka
Felaktigheter
- Inget att rapportera denna gång. Kommentera gärna om ni
inte håller med omhittar fel i något vi sagt.
Hej. Karl-Emil Nikka har fel angående Apples Passkey: privata nycklarna är lika säkra som Yubikey eftersom de skapas och stannar i Secure Enclave (T2 Secure chip). Viktigt att korrigera!
Hej
Tackar för kommentaren, jag ska skicka detta vidare till Karl-Emil, så får han svarar.
Mvh
Erik Zalitis
Hej Theo. Nej, de privata nycklarna stannar inte i T2-enklaven. De synkroniseras mellan enheter via Icloud Keychain. Jag lägger med länkarna till Apples och Googles utvecklardokumentation ifall du eller andra förbipasserande läsare vill veta mer.
Apple: https://developer.apple.com/documentation/authenticationservices/public-private_key_authentication
”With passkeys, the device stores its public-private key pair in the user’s iCloud Keychain and syncs the keys across the user’s devices.”
Google: https://developers.google.com/identity/fido
Hej Theo. Nej, de privata nycklarna stannar inte i T2-enklaven. De synkroniseras mellan enheter via Icloud Keychain. Jag lägger med länkarna till Apples och Googles utvecklardokumentation ifall du eller andra förbipasserande läsare vill veta mer.
Apple: https://developer.apple.com/documentation/authenticationservices/public-private_key_authentication
”With passkeys, the device stores its public-private key pair in the user’s iCloud Keychain and syncs the keys across the user’s devices.”
Google: https://developers.google.com/identity/fido
Hej igen Karl-Emil. Jag är iOS utvecklare och pratade under WWDC med en Apple ingenjör angående detta. Nej, privata nycklarna skapas i Secure Enclave och som alltid sparar man en ”data representation” i Keychain som en länk till den privata nyckeln. Den ”data representation” är som en tagg som du har på din nyckelknippa där det står till exempel ”hem”. Det går inte att återskapa den privata nyckel från den ”data representation” den fungerar liksom en SHA256 hash. Därför är det säker att använda Passkey. Om Apple hade sparat privata nyckeln i Keychain direkt hade ingen använt det eftersom man kan lätt läsa hela keychain på en iPhone (Grayshift t.ex).
Jag föreslår att du kontaktar Apple för att de bekräftar detta till dig. Alltid bäst att höra sanningen ”from the horse’s mouth” 😄
Annars trevlig podcast var det! Använder Yubikey varje dag 🇸🇪🥳
Det var intressant att Apple-representanten sade det. Det går ju rakt emot det som Apple själva skriver i sin utvecklardokumentation:
“There are two forms of public-private key authentication: passkeys and security keys. With passkeys, the device stores its public-private key pair in the user’s iCloud Keychain and syncs the keys across the user’s devices.”
https://developer.apple.com/documentation/authenticationservices/public-private_key_authentication
Ifall inte de privata nycklarna synkroniseras (end-to-end-krypterat) till Icloud Keychain vore det inte heller möjligt för en användare att återfå åtkomsten till sina konton ifall användaren förlorat alla sina Apple-enheter. Detta sade Apple att var möjligt på WWDC 2021.
“Passkeys are WebAuthn credentials with the amazing security that the standard provides combined with the usability of being backed up, synced, and working on all of your devices. We’re storing them in iCloud Keychain. Just like everything else in your iCloud Keychain, they’re end-to-end encrypted, so not even Apple can read them. /…/ And since it’s backed by iCloud Keychain, you can still get your credentials back, even if you lose all of your Apple devices.”
https://developer.apple.com/videos/play/wwdc2021/10106/
Google skriver samma sak.
“What happens if a user loses their device? Passkeys created on Android are backed up and synced with Android devices that are signed in to the same Google Account, in the same way as passwords are backed up to the password manager. That means a users’ passkeys go with them when they replace their devices. To sign into apps on a new phone, all users need to do is unlock their phone.”
https://developers.google.com/identity/fido
Som Apple lyfte upp på årets WWDC går det också att dela passkeys med andra användare via Airdrop.
“I can tap on our shared account to pull up more details. Here, I can get some information about my saved passkey or add a note to this account. I can also share my passkey. There’s my partner’s phone. I’ll go ahead and select that. Now my partner has the passkey too. And that’s how easy it is to use passkeys everywhere.”
https://developer.apple.com/videos/play/wwdc2022/10092/
Jag söker gärna med Apple-ingenjören som du talade med på WWDC. Det vore mycket intressant. Ifall du har möjlighet att delge mig vem det var du talade med så får du gärna göra det. Du når mig på ke.nikka@nikkasystems.com (PGP via WKD) eller 0735181000 (Signal).