Více
    Registrace
    Domů / Blog / Co je FIDO (U2F/FIDO2) bezpečnostní klíč?

    Co je FIDO (U2F/FIDO2) bezpečnostní klíč?

    Co je FIDO bezpečnostní klíč?

    Malé USB zařízení, které funguje na principech  asymetrické kryptografie . Dokáže rozpoznat a zabránit cíleným útokům do vašich webových účtů. Pomocí FIDO klíče se přihlásíte do webových služeb jako je Gmail, Facebook, Yahoo, Twitter, Dropbox, Microsoft, AppleID a mnoho jiných. Celkový seznam služeb naleznete na webu  (zvolte protokol FIDO U2F a FIDO2). Studie od Google poukázala, že FIDO bezpečnostní klíče poskytují 100% ochranu před cílenými útoky. Ověření pomocí SMS 76% a push notifikace 90%.

    Zatím FIDO klíč slouží především jako dvoufaktorové ověření a náhrada za ověřování pomocí SMS a APP, které jsou zanitelné. U služeb podporujících passwordless (Microsoft) se umíte přihlásit bez jména a hesla a to jen s FIDO klíčem. V budoucnu se plánuje podpora passwordless pro všechny online služby. 

    Passwordless (Bez hesla) je bezpečnostní přístupový model, který umožňuje uživatelům přihlásit se bez použití hesla. Místo toho se používá jiný typ autentifikace, jako například autentifikace pomocí bezpečnostních klíčů, autentifikace pomocí biometrie nebo autentifikace pomocí zařízení. Tato metoda poskytuje vyšší úroveň zabezpečení. Výhodou passwordless přístupu je také to, že uživatelům usnadňuje proces přihlašování, protože nemusí pamatovat žádné heslo.

    pokrocila ochrana google feitian fido u2f fido 2

    Zdroj: Google

    Bezpečnostní klíče pro Apple ID

    Apple přichází s podporou FIDO bezpečnostních klíčů. Ty umíte použít pokud máte verzi iOS 16.3 < nebo MacOS 13.2 <. Klíče výrazně zvyšují bezpečnost a díky tomu ochrání váš dokumenty, fotky a poznámky na iCloudu. Bezpečnostní klíče pro Apple ID spárujete v Macu: Systémová nastavení => AppleID=> Heslo a zabezpečení => Bezpečnostní klíče. V iOS: Nastavení => Apple ID=> Heslo a zabezpečení=> Přidejte bezpečnostní klíče. Doporučujeme použít klíče od Feitianu ePass NFC Plus.  Ty fungují skvělé se zařízeními Apple a lze je použít i pro přihlášení do MacOS jako smart card. Je dostupný software od FEITIANU pro správu pro MacOS (i M1). Více informací.

    Před jakými nejběžnějšími útoky mě ochrání FIDO bezpečnostní klíč?

    Phishing

    Phishing je forma podvodného získávání citlivých informací od lidí, často prostřednictvím falešných e-mailů a webových stránek. Útočník se vydává za důvěryhodnou instituci, aby získal přístup k citlivým údajům, jako jsou hesla, čísla kreditních karet a jiné osobní informace.

    Zajímavost: Google, který zavedl v roce 2017 povinné používání těchto klíčů pro více než 85 000 zaměstnanců a od té doby nezaznamenali ani jeden úspěšný phishingový útok.

    Brute force

    Útok, při kterém útočník zkouší různé kombinace hesel, aby získal přístup k něčemu, co má zabezpečené heslo. Cílem útočníka je projít všechny možné kombinace hesel, dokud nenajde správné heslo. FIDO klíč nevyplňuje heslo a tudíž neexistuje riziko, že by útočník získal uživatelské heslo. V případě brute force útoku na PIN, FIDO klíč se po 5 nesprávně zadaných PINů zablokuje. Následně je třeba obnovit výrobní nastavení v aplikaci FEITIAN Manager, čímž se vše bezpečně vymaže.

    MiTM a AiTM

    Je typ útoku, který se provádí tím, že útočník vloží sám sebe mezi dvě komunikující strany, například mezi počítač uživatele a webový server. Tím má útočník přístup ke všem procházejícím údajům a může je zachytit, analyzovat nebo změnit.

    Příklad #1. Phishingový útok na straně hackera a oběti. AiTM nástroj: Evilginx2

    Takto vypadá útok do služby Microsoft, pokud používáte jméno + heslo + dvoufaktorové ověření (SMS kód nebo Microsoft Autentifikátor). 

    Hacker díky nástroji Evilginx2 jednoduše získal:

    • jméno (username: bob@bader.cloud)
    • heslo (password: Wedo1378!) 
    • session cookies potřebné k obejití 2 faktorového ověření, jako je například SMS kód nebo Microsoft Authenticator. 

    Takto vypadá útok do služby Microsoft, pokud používáte FIDO klíč.  Hacker nezíská nic a přístup je zamítnut:

    Secure element (SE), FIPS a EAL certifikace 

    Secure Element (SE) je bezpečnostní prvek, který je integrován do zařízení, jako jsou chytré telefony, platební karty nebo jiná zařízení pro zpracování citlivých informací. Secure Element slouží jako bezpečné úložiště pro citlivé informace, jako jsou například hesla, certifikáty a osobní údaje.

    FIPS 140 (Federal Information Processing Standard 140) je standard pro bezpečnostní požadavky na produkty a systémy v oblasti informačních technologií používaných v USA federální vládní organizaci. Produkty a systémy schválené podle standardu FIPS 140 jsou považovány za bezpečnější než produkty a systémy, které tyto požadavky nesplňují.

    Standard FIPS 140 stanoví přísné požadavky na bezpečnost informačních technologií, jako jsou například šifrování, autentifikace a přístupové kontroly, a produkty a systémy, které tyto požadavky splní, se považují za vysoce zabezpečené.

    Výhodou používání produktů a systémů schválených podle standardu FIPS 140 je, že tyto produkty prošly přísnými bezpečnostními testy, které byly vyvinuty speciálně pro potřeby USA federální vlády. To znamená, že tyto produkty byly prověřeny a schváleny jako bezpečné pro zpracování citlivých informací.

    EAL (Evaluation Assurance Level) je standard pro posouzení bezpečnosti produktů a systémů informačních technologií. Tento standard se používá pro hodnocení bezpečnosti produktů a systémů. Tím, že EAL certifikované produkty splňují tyto požadavky na bezpečnost, je možné jejich použití v kritických aplikacích.

    EAL se skládá z pěti úrovní, od EAL1 až po EAL7, přičemž každá úroveň zahrnuje stále přísnější požadavky na bezpečnost. Například produkty a systémy na úrovni EAL7 jsou považovány za nejbezpečnější, protože splní nejpřísnější požadavky na bezpečnost.

    Pro více tipů a návodů, díky kterým zlepšíte své zabezpečení a ochráníte soukromí nás sledujte na:  FacebookInstagram  a  Linkedin .

    sociální sítě keeprivacy linkedin fb a ig

    Jak probíhá přihlášení pomocí FIDO klíče do FB?

    Zadáte jméno a heslo. Následně vás služba vás požádá o vložení FIDO klíče a dotykem klíče se přihlásíte, některé služby jako například. Facebook žádají PIN (ne vždy se vyžaduje PIN, někdy stačí jen dotek klíče-Google). Po úspěšném ověření se přihlásíte do služby:

    Je FIDO klíč napájen přes baterii?

    Ne. Baterii má jen model Multipass (K13) výdrž baterie je cca 3 měsíce. Následně pomocí USB kabelu, který je součástí balení je Multipass třeba dobít.

    Jsou nějaké skryté nebo fixní poplatky?

    Ne. Jedná se pouze o jednorázovou investici. Nejsou potřeba žádné dodatečné měsíční poplatky.

    Jaké e-commerce platformy podporují přihlášení pomocí FIDO klíče?

    Jaké kryptomenové burzy  podporují přihlášení pomocí FIDO klíče?

    • Kraken
    • Binance
    • Gemini
    • Coinbase
    • Bitfinex 

    Umím použít FIDO klíč k přihlášení do Wordpressu?

    Ano, pomocí pluginů jako například:

    Co se stane, když použiji FIDO klíč v případě phishingového útoku?

    Nic . Hacker získá vaše jméno a heslo, ale bez FIDO klíče je mu to zbytečné. FIDO klíče jsou stavěny na rozpoznání cílených phishingových útoků (app ID musí být stejné jako origin). Kromě toho mají v sobě několik vestavěných funkcí jako ochrana před klonováním, podepisování vygenerované challange a mnoho jiných, které poskytují dodatečný level ochrany. 

    Nabízíte služby, které mi pomohou s instalací?

    Ano  přes TeamViewer, MS Teams a jiné. 

    Proč je FIDO bezpečnostní klíč lepší než Google authentifikátor nebo SMS?

    Soukromí

    Při aplikacích se vaše osobní údaje nejen sbírají, dokonce mohou být nabídnuty a předány třetím stranám. third parties. FIDO klíč funguje off-line, nesbírá a neposílá o vás žádné údaje. Každá služba má jiný veřejný klíč. Ten klíč slouží jako náhodně generovaný identifikátor pro jednotlivou službu. Facebook má jiný identifikátor (veřejný klíč) než Google a nikdo nedokáže najít spojitost mezi jednotlivými účty. Více informací se dozvíte v tomto článku .

    Bezpečnost

    Mobilní aplikace fungují online, stačí malware nebo zranitelnost v telefonu a hacker se dostane k "hashe" potřebnému k vygenerování kódu. FIDO klíč funguje offline  má izolovaný hardware a zabudovaný  čip Secure Element , který je vestavěný na různé formy útoků.

    Ochrana před Phishingem

    Aplikace generují časové kódy, většinou je to 30 sekund a ty nechrání před phishingem, ale jen před unikem databází hesel . FIDO klíč naopak využívá asymetrickou kryptografii a dokáže odhalit i sofistikované phishingovy útoky. Kromě toho chrání také před Brute force, MITM, SIM Swap, Keylogger a jinými cílenými útoky.

    Úspora času

    Není třeba mít nainstalovanou žádnou další aplikaci – a už vůbec není třeba žádné následné kódy vkládat manuálně. Stačí pouze jeden dotek na klíči, který můžete použít pro neomezené množství účtů (někdy je vyžadován i PIN). 

    PIV funkce

    Dražší verze FIDO klíčů, které mají funkci PIV lze použít k vygenerování certifikátů a následně použít jako SmartCard pro šifrovací programy (Bitlocker) nebo k přihlášení do MacOS.

    Co je to pokročilá ochrana od Google?

    Advanced Protection Program (Program pokročilé ochrany) od Google je nástroj určený pro zvýšení zabezpečení účtů uživatelů. Tento program poskytuje vysokou úroveň ochrany proti útokům, jako jsou phishing, malware a jiné typy útoků na účty. Advanced Protection Program od Google poskytuje pokročilé funkce, jako jsou dvojí autentifikace, bezpečnostní klíče FIDO, výstraha o neznámých přihlášení a jiné funkce na ochranu údajů.

    Tento program je určen pro kritické účty, jako jsou účty politiků, novinářů a jiných veřejných osobností, které jsou vystaveny vyššímu riziku útoků. Více informací naleznete: Nejsilnější zabezpečení účtu od Googlu v podobě programu pokročilé ochrany