نماد سایت مستر لایسنس – لایسنس امن نرم افزارها

PRF WebAuthn و نقش آن در کلیدهای عبور

Bitwarden

Bitwarden

PRF WebAuthn و نقش آن در کلیدهای عبور

Bitwarden اخیراً پشتیبانی از رمز عبور را برای کاربران به منظور ذخیره و مدیریت کلیدهای عبور در صندوق های خود راه اندازی کرده است.

امکان استفاده از کلیدهای عبور برای ورود به صندوق ها به زودی پس از آن در دسترس خواهد بود. این ویژگی های هیجان انگیز آغاز پایان نام های کاربری و رمزهای عبور را نشان می دهد.

دسترسی و باز کردن قفل خزانه Bitwarden با یک رمز عبور، از یک برنامه افزودنی برای WebAuthn به نام تابع شبه تصادفی یا PRF استفاده می کند. این مقاله کمی بیشتر در مورد این استاندارد پیشرو و چگونگی تأثیر آن بر تجربه کاربر ورود با کلید عبور بررسی می‌کند.

PRF چیست و چگونه کار می کند؟

پسوند PRF برای WebAuthn یک استاندارد در حال ظهور است که کلیدهای متقارن را از یک احراز هویت منبع می کند.

هنگام استفاده از یک احراز هویت مانند یک کلید امنیتی همراه با یک مرورگر سازگار، برنامه افزودنی WebAuthn PRF به تأیید کننده اجازه می دهد تا یک کلید رمزگذاری مرتبط با یک سایت خاص، که اغلب به آن طرف متکی می گویند، ایجاد کند.

سپس می توان این کلید را در حین احراز هویت در اختیار آن سایت قرار داد. به عنوان مثال، یک کاربر Bitwarden یک رمز عبور از کلید امنیتی سخت افزار ثبت می کند.

پس از آن، Bitwarden می تواند از آن کلید رمزگذاری (مرتبط با رمز عبور) برای رمزگذاری داده های خزانه کاربر استفاده کند.

بر خلاف یک ماژول امنیتی سخت افزاری (HSM)، که دسترسی به کلید امنیتی دیجیتال سازمان را کنترل می کند، پسوند PRF کلیدهای رمزگذاری را روی دستگاه سخت افزاری ذخیره نمی کند.

در عوض، از داده های ورودی (Salt) ارائه شده توسط طرف متکی برای تولید کلیدها استفاده می کند، یک عملیات قطعی که در آن خروجی همیشه برای یک ورودی خاص یکسان خواهد بود.

این با خروجی های معمولی (یا امضاهای) FIDO2 که همیشه بدون توجه به ورودی یا چالش متفاوت خواهند بود، متفاوت است. به همین دلیل، FIDO2 به طور کلی برای رمزگذاری استفاده نمی شود و چرا پسوند PRF مهم است – این اجازه می دهد تا از کلیدهای عبور برای عملیات رمزگذاری استفاده شود.

PRF برای شما چه معنایی دارد؟

هنگامی که از یک احراز هویت مانند کلید امنیتی و مرورگری استفاده می‌کنید که از کلید امنیتی پشتیبانی می‌کند – همانطور که در این نسخه آزمایشی با عنوان “ورود به سیستم و باز کردن قفل Bitwarden با کلیدهای عبور” نشان داده شده است – پسوند PRF از تأیید کننده می‌خواهد یک کلید رمزگذاری مرتبط با یک کلید خاص ایجاد کند. سایت اینترنتی. این کلید را می توان پس از احراز هویت در اختیار آن برنامه قرار داد.

به عنوان مثال، یک کاربر Bitwarden که یک رمز عبور را از یک دستگاه ثبت می کند، می تواند از همان رمز عبور برای رمزگذاری و رمزگشایی خزانه خود استفاده کند. این بدان معناست که با پسوند PRF، کاربران می‌توانند خزانه‌های Bitwarden خود را بدون رمز عبور اصلی رمزگشایی کنند (اگرچه ممکن است همچنان برای پشتیبان‌گیری بخواهید).

PRF همچنین راحتی و امنیت بیشتری را در صورت استفاده از یک دستگاه موقت افزایش می دهد.

چگونه؟ ابتدا اجازه دهید احراز هویت سنتی را بررسی کنیم: اگر از Yubikey برای 2FA استفاده می‌کنید، این Yubikey تعیین می‌کند که سرورهای Bitwarden به چه کسانی خزانه رمزگذاری شده شما را می‌دهند — یک لایه امنیتی اضافی در بالای رمز عبور اصلی شما اضافه می‌کند. خزانه شما تنها پس از دریافت احراز هویت ارائه شده توسط Yubikey رمزگشایی می شود. در بیشتر موارد، این یک تنظیم امن است.

با این حال، اگر یک فرد با دور زدن 2FA به صندوق رمزگذاری شده شما دسترسی پیدا کند، حفاظت ارائه شده توسط Yubikey بی اعتبار است. این به این دلیل است که Yubikey برای کمک به سرور Bitwarden در تعیین اینکه آیا خزانه رمزگذاری شده باید با شما به اشتراک گذاشته شود استفاده شد. به عنوان بخشی از فرآیند رمزگذاری نیست. در این مورد، Yubikey 2FA به تنهایی بالاترین استانداردهای امنیتی را تضمین نمی کند، به خصوص اگر رمز عبور اصلی ضعیف استفاده شده باشد.

PRF این شکاف را با جایگزین کردن رمز اصلی شما با یک کلید رمزگذاری قوی برطرف می کند، که شکستن آن در مقایسه با رمزهای عبور بسیار سخت تر است. این ویژگی هنوز پیاده سازی نشده است، اما به زودی بخشی از نقشه راه Bitwarden خواهد بود.

آیا شما اولین پذیرنده PRF هستید؟

PRF در حال حاضر در Chrome Canary، نسخه آزمایشی مرورگر وب Google Chrome برای توسعه دهندگان، کاربران اولیه، فناوران و علاقه مندان به مرورگر در دسترس است.

شما میتوانید نسخه آخر این نرم افزار را از مسترلایسنس سفارش دهید.

 

در صورتی که این مقاله PRF WebAuthn و نقش آن در کلیدهای عبور برای شما مفید و آموزنده بود، پیشنهاد می‌شود برای اطلاع از سایر مقالات مستر لایسنس به صفحه وبلاگ مستر لایسنس مراجعه نمایید.

خروج از نسخه موبایل