Nieuwe Intel-processoren ondersteunen U2F-authenticatie
Intel heeft aan de nieuwe Kaby Lake-processoren U2F-ondersteuning toegevoegd, zodat gebruikers zonder aanvullende hardware of codes van tweefactorauthenticatie gebruik kunnen maken. De Universal 2nd Factor (U2F) is een open authenticatiestandaard die gebruikers een usb-beveiligingssleutel of nfc-apparaat als tweede factor bij het inloggen laat gebruiken.
Zo ondersteunen Facebook, Dropbox, Google, Windows 10 en GitHub inloggen via een fysieke beveiligingssleutel. De Kaby Lake-processoren van Intel zijn voorzien van de Intel Converged Security and Manageability Engine (CSME). Dit biedt de functionaliteit die voor U2F vereist is, zoals het genereren, registreren en signeren van U2F-challenges met een sleutelpaar, zonder dat hiervoor aanvullende hardware is vereist. "Het voordeel dat Intel U2F direct aan de chipset heeft toegevoegd is dat bedrijven en consumenten niet langer aanvullende hardware moeten aanschaffen om van U2F gebruik te maken", zegt Rich Smith van Duo Security. Het bedrijf ontwikkelt authenticatiesoftware.
Volgens Smith heeft Intel een interessante aanpak voor de implementatie van hun U2F-client gekozen. "In plaats van een usb-apparaat te gebruiken waarmee de meeste mensen bekend zijn, heeft Intel gekozen om hun U2F-client in de software te integreren en op het scherm op een willekeurig gegenereerde locatie een vierkant te laten zien." De gebruiker moet hier vervolgens op klikken. Intel heeft daarbij maatregelen genomen die moeten voorkomen dat dit proces kan worden afgeluisterd of omzeild.
Zodra de gebruiker op het vierkant heeft geklikt is de U2F-challenge gesigneerd door een sleutel die in de hardware wordt opgeslagen en vervolgens aan de browser wordt teruggegeven om op een account in te loggen. "De software-only U2F-implemantie maakt sterke U2F-gebaseerde authenticatie voor alle eigenaren van een Kaby Lake-processor beschikbaar, zonder aanvullende investeringen", gaat Smith verder. Hij hoopt dat dit ervoor zal zorgen dat meer mensen van U2F gebruik gaan maken. Uit cijfers van Duo Security blijkt namelijk dat op dit moment voor alle waargenomen tweefactorauthenticatie-sessies slechts 1 procent van U2F gebruikmaakt en dit het afgelopen jaar niet veel is veranderd.
Ik zie namelijk geen enkel voordeel voor de gebruiker...
De U2F specificatie is expliciet geschreven om als privacy vriendelijker alternatief voor smartcard authenticatie te fungeren. Het is juist NIET mogelijk om gebruikers over meerdere diensten/accounts heen te volgen.
De U2F specificatie is expliciet geschreven om als privacy vriendelijker alternatief voor smartcard authenticatie te fungeren. Het is juist NIET mogelijk om gebruikers over meerdere diensten/accounts heen te volgen.
Waar blijkt dat uit? En wie "managed" dat?
Intel cpu's hebben ingebouwde id's. En Intel ME.
http://hackaday.com/2016/01/22/the-trouble-with-intels-management-engine/
De U2F specificatie is expliciet geschreven om als privacy vriendelijker alternatief voor smartcard authenticatie te fungeren. Het is juist NIET mogelijk om gebruikers over meerdere diensten/accounts heen te volgen.
Waar blijkt dat uit? En wie "managed" dat?
Intel cpu's hebben ingebouwde id's. En Intel ME.
http://hackaday.com/2016/01/22/the-trouble-with-intels-management-engine/
Zowel Intel als AMD zijn dus niet te vertrouwen omdat ze beiden geen openheid willen geven over wat hun verstopte engines uit vreten.
Waar blijkt dat uit? En wie "managed" dat?
https://fidoalliance.org/specs/fido-u2f-v1.1-id-20160915/fido-u2f-overview-v1.1-id-20160915.html#site-specific-public-private-key-pairs
Het is aardig hoe Yubico hiermee omgaat. Die ondersteunen meerdere registraties bij dezelfde service die verschillende key handles opleveren, en ze genereren het sleutelpaar uit de key handle (bij authenticatie na controle op origine) en een geheime sleutel die per token verschilt. Omdat ze sleutelparen kunnen hercreéren hoeven ze die niet op te slaan. En omdat dat niet hoeft is een token geschikt voor gebruik met een onbeperkt aantal accounts, zonder dat die met elkaar in verband kunnen worden gebracht.
https://developers.yubico.com/U2F/Protocol_details/Key_generation.html
Dus zo kan dat worden gemanaged. Dat betekent niet dat elke implementatie precies zo werkt, maar het is dus mogelijk om zonder opslag van accountafhankelijke gegevens en zonder gegevens te delen tussen accounts toch zo'n systeem te laten werken. Het is een elegante opzet die vermoedelijk ook door anderen dan Yubico wordt toegepast. Hoe Intel het doet in deze processoren? Dat weet ik niet. Maar ik weet wel dat als een gebruiker over meerdere diensten heen te volgen is ze zich niet aan de U2F-specificaties hebben gehouden.
Het is natuurlijk ook wel zo handig dat je een token met meerdere computers kan gebruiken. Maar mij staat bij dat het ook mogelijk is om meerdere tokens aan een service te koppelen, dus dat is misschien geen beperking.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.