Google presenta il progetto OpenSK per aiutare chiunque a costruire le proprie chiavi di sicurezza per 2FA

Se sei interessato agli ultimi sviluppi della sicurezza informatica, devi avere familiarità con l'autenticazione a due fattori per un po 'di tempo. D'altra parte, se non ne hai ancora sentito parlare, puoi colmare questa lacuna controllando la nostra voce su questo metodo di autenticazione qui .

Non tratteremo gli aspetti fondamentali di questo metodo di autenticazione in questa descrizione perché il nostro obiettivo è di dirti di più sull'OpenSK di Google e su come Google incoraggia lo sviluppo open source dell'autenticazione a due fattori con le chiavi di sicurezza. Questo è chiaramente un nuovo sviluppo nel panorama della cybersecurity, ma per riassumere tutto in una frase, possiamo dire che Google ha annunciato un'implementazione della chiave di sicurezza open source che supporta gli standard FIDO U2F e FIDO2. Sembra un po 'greco, no? Prendiamo un termine alla volta e vediamo di cosa si tratta allora.

Che cos'è FIDO?

FIDO è un'associazione industriale lanciata nel 2013. Lo scopo dell'associazione è quello di sviluppare standard di autenticazione su diverse piattaforme. Lo sviluppo del metodo di autenticazione è necessario per ridurre la dipendenza dalle password. Molte aziende fanno parte dell'Alleanza FIDO. Alcuni dei nomi di spicco includono Google, Bank of America, Alibaba Group, Amazon, NTT DoCoMo e altri.

Il punto di FIDO è che funziona davvero sullo sviluppo dell'autenticazione a due fattori con le chiavi di sicurezza . L'alleanza crea protocolli di sicurezza che vengono applicati dai suoi membri. Questi protocolli utilizzano la crittografia a chiave pubblica che può fornire un'autenticazione più forte.

Diciamo che un'azienda si registra per un servizio online. Il dispositivo dell'utente creerà quindi una nuova coppia di chiavi di sicurezza. La chiave privata rimane con il dispositivo e la chiave pubblica viene registrata con il servizio online. Pertanto, ogni volta che l'utente sta per accedere al servizio, il suo dispositivo dimostra che ha la chiave privata. Esistono diversi modi per sbloccare la chiave privata. A seconda dei metodi di autenticazione offerti dal dispositivo, l'utente potrebbe dover scorrere il dito, inserire un codice PIN, utilizzare il riconoscimento vocale, premere un pulsante o inserire un dispositivo di autenticazione hardware.

Google OpenSK utilizza uno di questi metodi di autenticazione: le chiavi di sicurezza hardware. Poiché soddisfa gli standard di autenticazione FIDO, il progetto open source può essere utilizzato da più siti Web. Per dirla semplicemente, tutti possono utilizzare lo stesso stampo per creare le loro chiavi uniche. Ora, come si aspetta che la gente lo aggiri?

Dongle nordico di Google OpenSK

Per implementare questo progetto open source, Google ha scelto un dongle di chip nordico. Che cos'è un dongle nordico? Bene, un dongle è un piccolo pezzo di hardware che ti aiuta a connettere due dispositivi. Ad esempio, probabilmente si utilizzano dongle USB ogni giorno per collegare il telefono al computer. O forse stai usando un mouse Bluetooth collegato al tuo laptop tramite un dongle Bluetooth. Ad ogni modo, i dongle hanno spesso funzionalità aggiuntive. Pertanto, possono facilmente funzionare come token di sicurezza.

Il dongle nordico si riferisce ai dongle USB sviluppati da NORDIC Semiconductor. Il motivo per cui Google OpenSK utilizza questi dispositivi è che i dongle nordici sono convenienti e soddisfano i criteri FIDO.

Google OpenSK

Il post ufficiale del blog di Google afferma che stanno spingendo questa nuova piattaforma open source perché sperano " sarà utilizzata da ricercatori, produttori di chiavi di sicurezza e appassionati per aiutare a sviluppare funzionalità innovative e accelerare l'adozione delle chiavi di sicurezza".

Come funziona Google OpenSK? Il progetto offre agli utenti il firmware che possono utilizzare per sviluppare la propria chiave di sviluppo. Per questo, gli utenti devono eseguire il flashing del firmware OpenSK sul suddetto dongle di chip Nordic. Se ciò non bastasse, Google offre anche una custodia stampabile in 3D personalizzata in grado di proteggere la chiave hardware e semplificare il trasporto. Secondo Google, il caso funziona su una varietà di stampanti 3D.

Va sottolineato, tuttavia, che Google OpenSK è ancora principalmente un progetto di ricerca sperimentale. Sì, è possibile creare la tua chiave di autenticazione FIDO personale, ma i tuoi sforzi di sviluppo fanno ancora parte di test e ricerche che dovrebbero aiutare tutti a migliorare i metodi di autenticazione in futuro.

Proprio come i dongle nordici sono stati scelti per la loro convenienza, il linguaggio di programmazione Rust è stato scelto per il progetto OpenSK perché ha una forte sicurezza della memoria e le sue astrazioni pulite del sistema operativo lo rendono meno vulnerabile a vari attacchi. Il progetto viene eseguito sul sistema operativo TockOS progettato per eseguire più applicazioni su microcontrollori a memoria ridotta e bassa potenza (che è una chiave di sicurezza hardware). Inoltre, Google afferma che questo sistema operativo consente di mantenere separati l'applet della chiave di sicurezza, i driver e il kernel all'interno della chiave hardware. Mantenere separati gli elementi chiave aumenta la sicurezza generale di una chiave di sicurezza.

Ci rendiamo conto che per un utente normale, creare le proprie chiavi di sicurezza e dilettarsi con la programmazione potrebbe non essere una cosa di tutti i giorni. Tuttavia, il fatto che Google crei un progetto open source per qualcosa come l'autenticazione a due fattori mostra quanto sia importante l'autenticazione in generale. Inoltre, dimostra che tutti coloro che sono coinvolti nella sicurezza informatica stanno lavorando per garantire un ambiente più sicuro per tutti.

Inoltre, un progetto open source significa che ogni singolo sviluppatore può avere un contributo in questa ricerca verso un'autenticazione sicura. Come sostiene Google nel loro post sul blog, sperano che " OpenSK nel tempo porterà funzionalità innovative, crittografia integrata più forte e incoraggerà l'adozione diffusa di token affidabili resistenti al phishing e un web senza password.

Prima che ciò accada, ovviamente, facciamo ancora affidamento su una combinazione di metodi di autenticazione, tra cui password, autenticazione a due fattori e altri. E le password sono quell'anello debole nella catena di autenticazione che devi prendere sul serio.

È l'unica cosa che puoi facilmente gestire da solo. Per non parlare del fatto che esistono numerosi strumenti come Cyclonis Password Manager che possono aiutarti a creare e archiviare password complesse per più account. Dimentica i giorni in cui stavi riciclando le tue password su base regolare. Fino a quando progetti come Google OpenSK si traducono in metodi di autenticazione senza password facili e convenienti, l'atteggiamento serio e responsabile nei confronti delle nostre password personali è la strada da percorrere.

Entro il Foley
April 1, 2020
Password Security
Italiano
April 1, 2020
Password Security

Post popolari

Microsoft avverte che gli autori di minacce sostenute dallo...

4 days fa

Rilevamento malware Trojan Al11

11 months fa

Pinaview è un'app adware completa

10 months fa

Pop-up "Il tuo iCloud è stato violato" e "Il tuo iPhone è...

7 months fa

Cos'è Lucky Ransomware?

7 months fa

Truffa e-mail "American Express: aggiorna le informazioni del...

6 months fa
Italiano
Caricamento in corso...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Prodotti

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Supporto

File di aiuto FAQs Downloads Inquiries & Support

Azienda

Riguardo a noi Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politica sulla riservatezza Gestione dei Cookie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows è un marchio di Microsoft, registrato negli Stati Uniti e in altri paesi.
Mac, iPhone, iPad e App Store sono marchi di Apple Inc., registrati negli Stati Uniti e in altri paesi.
iOS è un marchio registrato di Cisco Systems, Inc. e/o delle sue affiliate negli Stati Uniti e in alcuni altri paesi.
Android e Google Play sono marchi di Google LLC.