Uso de un autenticador FIDO incorporado en Chromebooks de última generación

Principales casos de uso
Tecnología FIDO tiene como objetivo resolver tres casos de uso separados para las partes confiantes (o de lo contrario referidos como servicios de World-wide-web) ayudando a:

1. Evite el phishing durante el inicio de sesión inicial en un servicio en un nuevo dispositivo
2. Vuelva a verificar la identidad de un usuario en un servicio en un dispositivo en el que ya haya iniciado sesión
3. Confirme que el dispositivo desde el que se conecta un usuario sigue siendo el dispositivo initial desde el que inició sesión anteriormente. Esto normalmente se necesita en la empresa.

Los profesionales expertos en seguridad pueden interpretar el tercer caso de uso como una instancia especial del caso de uso # 2. Sin embargo, hay algunas diferencias, que desglosamos un poco más abajo:

• En el caso n. ° 2, el problema que la tecnología FIDO intenta resolver es volver a verificar la identidad de un usuario desbloqueando una clave privada almacenada en el dispositivo.
• En el caso n. ° 3, la tecnología FIDO ayuda a determinar si una clave creada anteriormente todavía está disponible en el dispositivo authentic sin ninguna prueba de quién es el usuario.

Cómo funciona el caso de uso n.º 1: claves de seguridad móviles

Como toda la premisa de este caso de uso es aquella en la que el usuario inicia sesión en un dispositivo nuevo que nunca antes ha autenticado, esto requiere que el usuario tenga una clave de seguridad FIDO (extraíble, multiplataforma o un autenticador itinerante) . Según esta definición, un autenticador FIDO integrado en dispositivos Chrome OS no podría cumplir este requisito, ya que no podría ayudar a verificar la identidad del usuario sin haber sido configurado previamente. En el inicio de sesión inicial, la identidad del usuario se verifica junto con la presencia de una clave de seguridad (como la de Google Titan Security Critical) previamente vinculado a su cuenta.

Llaves de seguridad Titán

Una vez que el usuario ha iniciado sesión con éxito, se confía confianza desde la clave de seguridad al dispositivo en el que el usuario está iniciando sesión, generalmente colocando una cookie u otro token en el dispositivo para que la parte que confía «recuerde» que el usuario ya realizó un segundo component de autenticación en este dispositivo. Una vez que se completa este paso, ya no es necesario requerir un segundo aspect físico en este dispositivo porque la presencia de la cookie le indica a la parte confiante que este dispositivo es de confianza.

Opcionalmente, algunos servicios pueden requerir que el usuario aún verifique periódicamente que es el usuario correcto frente al dispositivo ya reconocido (por ejemplo, servicios particularmente sensibles y regulados, como las compañías de servicios financieros). En casi todos los casos, no debería ser necesario que el usuario, además de proporcionar su element de conocimiento (como una contraseña), vuelva a presentar su segundo variable al volver a autenticarse, ya que ya lo hicieron durante la inicial bootstrapping

Tenga en cuenta que en los dispositivos con Chrome OS, sus datos se cifran cuando no está conectado, que protege aún más sus datos contra el acceso malicioso

Cómo funciona el caso de uso n. ° 2: Autenticación

Frecuentemente referido como «re-autenticación», el caso de uso # 2 permite que una parte que confía vuelva a verificar que el mismo usuario todavía está interactuando con el servicio desde un dispositivo verificado previamente. Esto ocurre principalmente cuando un usuario realiza una acción que es particularmente delicada, como cambiar su contraseña o al interactuar con servicios regulados, como las compañías de servicios financieros. En este caso, se puede registrar un autenticador biométrico incorporado (por ejemplo, un sensor de huellas digitales o PIN en dispositivos Android), que ofrece a los usuarios una forma más conveniente de volver a verificar su identidad con el servicio en cuestión. De hecho, tenemos recientemente habilitado Este caso de uso en dispositivos Android para algunos servicios de Google.

Además, hay beneficios de seguridad para esta solución en unique, ya que la parte que confía no solo tiene que confiar en una cookie emitida previamente, sino que ahora puede verificar que el usuario correcto está presente (por medio de un biométrico) y que un unique privado La clave está disponible en este dispositivo en specific. A veces, esta promesa se hace en función del materials clave almacenado en el hardware (por ejemplo, la seguridad de Titan en Pixel Slate), que puede ser un fuerte indicador de que la parte que confía está interactuando con el usuario correcto en el dispositivo correcto.

Cómo funciona el caso de uso n.º 3: autenticador de dispositivo incorporado

El desafío de verificar que un dispositivo en el que un usuario haya iniciado sesión anteriormente sigue siendo el dispositivo desde el que interactúa con la parte que confía, es lo que el autentificador FIDO incorporado en la mayoría de las Chromebooks de última generación puede ayudar a resolver.

Anteriormente, notamos que en el inicio de sesión inicial, las partes confiantes colocan regularmente cookies o tokens en el dispositivo de un usuario, para que puedan recordar que un usuario se ha autenticado previamente. En algunas circunstancias, como cuando hay malware presente en un dispositivo, es posible que estos tokens se filtren. Solicitar el «toque de un autenticador incorporado» a intervalos regulares ayuda a la parte que confía a saber que el usuario todavía está interactuando desde un dispositivo legítimo al que previamente se le ha emitido un token. También ayuda a verificar que el token no se haya filtrado a un dispositivo diferente, ya que los autenticadores FIDO ofrecen una mayor protección contra la filtración de la clave privada. Esto se debe a que generalmente se encuentra en el hardware en sí. Por ejemplo, en el caso de la mayoría de las Chromebooks de última generación (por ejemplo, Pixel Slate), está protegido por la seguridad Titan basada en hardware.

Los dispositivos Pixel Slate están construidos con seguridad Titan basada en components

En el caso de nuestra implementación en Chrome OS, las claves de FIDO también tienen un alcance específico para el usuario que inició sesión, lo que significa que cada usuario en el dispositivo esencialmente obtiene su propio autenticador FIDO al que no se puede acceder a través de los límites del usuario. Esperamos que este caso de uso sea particularmente útil en entornos empresariales, por lo que la función no está habilitada de forma predeterminada. Los administradores pueden habilitarlo en la consola Google Admin.

Habilitación del autenticador FIDO incorporado en la Consola del administrador de Google

Aunque es técnicamente posible registrar el autenticador FIDO incorporado en un dispositivo Chrome OS como una «clave de seguridad» con servicios, es mejor evitar esta instancia ya que los usuarios pueden correr un mayor riesgo de bloqueo de cuenta si alguna vez necesitan iniciar sesión al servicio desde una máquina diferente.

Chromebooks compatibles

Comenzando con Chrome 76, la mayoría de las Chromebooks de última generación obtuvieron la opción de habilitar un autenticador FIDO incorporado respaldado por la seguridad Titan basada en hardware. Para ver si su Chromebook se puede habilitar con esta capacidad, puede navegar a chrome: // system y verificar la entrada «tpm-edition». Si «vendedor» es igual a «43524f53», entonces su Chromebook está respaldada por la seguridad de Titan.

Navegando a Chrome: // sistema en su Chromebook

Resumen