Ο διαχειριστής κωδικών πρόσβασης Bitwarden ανοιχτού κώδικα ανακοίνωσε ό
τι
όλοι οι χρήστες μπορούν πλέον να συνδεθούν στα θησαυροφυλάκια ιστού τους χρησιμοποιώντας έναν κωδικό πρόσβασης αντί για τα τυπικά ζεύγη ονόματος χρήστη και κωδικού πρόσβασης.
Οι κωδικοί πρόσβασης είναι η πιο ασφαλής εναλλακτική λύση σε σχέση με τους κωδικούς πρόσβασης που ορίζουν οι περισσότεροι άνθρωποι και είναι ανθεκτικοί στο phishing. Στην περίπτωση του Bitwarden, επιτρέπουν στους χρήστες να αποκρυπτογραφούν το θησαυροφυλάκιό τους χωρίς να χρειάζονται τον κύριο κωδικό πρόσβασης, μια διεύθυνση
email
ή έλεγχο ταυτότητας δύο παραγόντων (2FA).
Εφαρμογή PRF
Η υλοποίηση των κωδικών πρόσβασης της Bitwarden βρίσκεται επί του παρόντος σε beta και βασίζεται στην επέκταση PRF WebAuthn τόσο για τον έλεγχο ταυτότητας των χρηστών όσο και για τη λήψη ενός κλειδιού κρυπτογράφησης και την αποκρυπτογράφηση δεδομένων στο θησαυροφυλάκιο.
Ο Ryan Luibrand, ανώτερος διευθυντής μάρκετινγκ προϊόντων στη Bitwarden, εξηγεί ότι οι κρυπτογραφημένες εφαρμογές από άκρο σε άκρο, όπως το Bitwarden, πρέπει να ελέγχουν την ταυτότητα των χρηστών καθώς και να κρυπτογραφούν και να αποκρυπτογραφούν με ασφάλεια δεδομένα.
Η διαδικασία κρυπτογράφησης απαιτεί ένα στατικό κλειδί, το οποίο μπορεί να προέλθει από έναν κωδικό πρόσβασης. Ένα κλειδί πρόσβασης, το οποίο δεν είναι κοινόχρηστο με την
εφαρμογή
, θα δημιουργήσει διαφορετική τιμή για κάθε έλεγχο ταυτότητας.
Για να κάνει την πρόσβαση στο θησαυροφυλάκιο πιο βολική χωρίς να θυσιάζει την ασφάλεια, η Bitwarden χρησιμοποίησε το
Επέκταση PRF WebAuthn
η οποία είναι μια μέθοδος που επιτρέπει την “εξαγωγή μιας μοναδικής, σταθερής τιμής από έναν κωδικό πρόσβασης.”
Η επέκταση είναι ένα αναδυόμενο πρότυπο που επιτρέπει τη δημιουργία συμμετρικών κλειδιών κρυπτογράφησης από έναν έλεγχο ταυτότητας, όπως ένα κλειδί ασφαλείας, όταν χρησιμοποιείται με ένα συμβατό πρόγραμμα περιήγησης.
“Αυτή η
τεχν
ολογία προμηθεύει ένα κλειδί κρυπτογράφησης από έναν κωδικό πρόσβασης σε σχέση με έναν συγκεκριμένο ιστότοπο, ο οποίος μπορεί στη συνέχεια να χρησιμοποιηθεί για αξιόπιστη κρυπτογράφηση και αποκρυπτογράφηση δεδομένων” – Bitwarden
Όταν ένας χρήστης καταχωρεί έναν κωδικό πρόσβασης χρησιμοποιώντας ένα κλειδί ασφαλείας υλικού, επιτρέπει στο Bitwarden να κρυπτογραφήσει τα δεδομένα θησαυροφυλάκιου αυτού του χρήστη χρησιμοποιώντας το σχετικό κλειδί κρυπτογράφησης.
Σε αντίθεση με τον τρόπο με τον οποίο λειτουργούν οι μονάδες ασφαλείας υλικού (HSM), η επέκταση PRF δεν αποθηκεύει κλειδιά στο υλικό, αλλά παράγει κλειδιά χρησιμοποιώντας δεδομένα εισόδου (αλάτι) από το συνδεδεμένο μέρος (τον ιστότοπο).
Επειδή η δημιουργία κλειδιών είναι μια ντετερμινιστική διαδικασία, η ίδια είσοδος θα παράγει πάντα την ίδια έξοδο και, ως εκ τούτου, οι κωδικοί πρόσβασης μπορούν να χρησιμοποιηθούν αξιόπιστα για την ίδια διαδικτυακή πλατφόρμα ή υπηρεσία.
Bitwarden
Σε μια ανάρτηση που δημοσιεύτηκε το περασμένο
καλοκαίρι
, η Bitwarden παρέχει
περισσότερες λεπτομέρειες
σχετικά με την εφαρμογή της επέκτασης PRF και τον τρόπο λειτουργίας της.
Ρύθμιση των κλειδιών πρόσβασης
Η ομάδα του Bitwarden δημιούργησε το παρακάτω βίντεο για να δείξει πώς λειτουργεί η νέα δυνατότητα στην πλατφόρμα και πώς οι χρήστες μπορούν να δημιουργήσουν κωδικούς πρόσβασης από το μενού ρυθμίσεων λογαριασμού.
Κατά τη φάση beta, το Bitwarden θα επιτρέψει στους χρήστες όλων των σχεδίων να ρυθμίσουν έως και πέντε κωδικούς πρόσβασης για την εφαρμογή Ιστού.
Η λειτουργία είναι προς το παρόν διαθέσιμη σε προγράμματα περιήγησης που βασίζονται στο Chromium και υποστηρίζουν PRF WebAuthn, αλλά υπάρχουν σχέδια να επεκταθεί σε περισσότερους πελάτες στο μέλλον.
Για τους κωδικούς πρόσβασης που δεν υποστηρίζουν την επέκταση PRF WebAuthn, οι χρήστες εξακολουθούν να μπορούν να ελέγχουν ταυτότητα χωρίς email ή 2FA, χρησιμοποιώντας τον κωδικό πρόσβασης Bitwarden για αποκρυπτογράφηση.
VIA:
bleepingcomputer.com
