Jak zapobiegać synchronizacji passkeys między urządzeniami?

Jak zapobiec współdzieleniu passkeyów dzięki uwierzytelnianiu mobilnemu Secfense

W miarę jak coraz więcej organizacji przechodzi na uwierzytelnianie bezhasłowe, wiele z nich staje przed krytycznym pytaniem: jak możemy zapobiec synchronizacji passkeys między urządzeniami? Kwestia ta jest szczególnie istotna dla przedsiębiorstw zabezpieczających dostęp pracowników, w których przenoszenie passkeys może wiązać się z ryzykiem braku zgodności lub nieautoryzowanym dostępem.

Secfense bezpośrednio odpowiada na to wyzwanie dzięki Mobile-Bound Passkeys. Podejście to zapewnia, że każde poświadczenie jest kryptograficznie powiązane z pojedynczym urządzeniem i nie może być eksportowane ani ponownie wykorzystywane w innym miejscu.

Czym są Mobile-Bound Passkeys?

Mobile-Bound Passkey to poświadczenie FIDO, które jest tworzone i przechowywane w Trusted Execution Environment (TEE ) na urządzeniu mobilnym użytkownika. W przeciwieństwie do synchronizowanych passkeys, które mogą być kopiowane lub przenoszone między platformami, Mobile-Bound Passkey są zablokowane na określonym komponencie sprzętowym. Zapobiega to nieautoryzowanemu powielaniu lub używaniu na innych urządzeniach.

Jakie gwarancje bezpieczeństwa zapewnia Secfense?

Secfense Mobile-Bound Passkeys zapewnia cztery kluczowe gwarancje:

  1. Klucz prywatny jest generowany w bezpiecznym środowisku.
    Na Androidzie wykorzystuje to magazyn kluczy wspierany sprzętowo; na iOS wykorzystuje Secure Enclave. Zaufane środowisko wykonawcze zapewnia, że materiał klucza prywatnego jest odizolowany od głównego systemu operacyjnego.
  2. Klucz prywatny nigdy nie opuszcza urządzenia.
    Klucz jest z założenia nieeksportowalny. Nie może on być archiwizowany, kopiowany ani migrowany – nawet przez użytkownika końcowego.
  3. Autentyczność urządzenia jest weryfikowana.
    Podczas rejestracji urządzenie przechodzi weryfikację za pomocą atestu WebAuthn, który potwierdza, że klucz pochodzi z oryginalnego, zaufanego sprzętu.
  4. Integralność poświadczenia jest powiązana z aplikacją Secfense Authenticator.
  5. Oprócz standardowej attestation WebAuthn, Secfense stosuje dodatkową warstwę weryfikacji integralności aplikacji. W tym celu wykorzystywane są platformowe interfejsy API:
  6. Play Integrity API na Androidzie
  7. App Attest na iOS

Dzięki nim możliwe jest potwierdzenie, że poświadczenie pochodzi z autentycznej, niezmodyfikowanej wersji aplikacji Secfense Authenticator zainstalowanej na zweryfikowanym urządzeniu. Podczas rejestracji część komunikacji WebAuthn jest podpisywana i przesyłana poza głównym kanałem (out-of-band), a następnie weryfikowana po stronie serwera, zanim poświadczenie zostanie uznane za zaufane.

Te mechanizmy kontroli bezpieczeństwa są egzekwowane podczas ceremonii tworzenia poświadczeń i weryfikowane po stronie serwera, zapewniając spójny i weryfikowalny model zaufania.

W jaki sposób WebAuthn Attestation to wspiera?

Secfense wyraźnie żąda poświadczenia podczas procesu rejestracji poświadczeń WebAuthn. W zależności od urządzenia:

  • W systemie Android wymagany jest format android-key.
  • W systemie iOS wymagamy formatu zaświadczenia Apple.

Obiekt atestacji jest osadzony w odpowiedzi WebAuthn i zawiera metadane urządzenia i klucza. Dane te są weryfikowane przez systemy zaplecza Secfense, aby upewnić się, że klucz został wygenerowany na zweryfikowanym urządzeniu przy użyciu obsługiwanego bezpiecznego sprzętu.

Dlaczego ma to znaczenie dla przedsiębiorstw

W przypadku organizacji stosujących passkeys do uwierzytelniania pracowników kluczowe znaczenie ma

  • Zapobieganie ponownemu użyciu poświadczeń na niezarządzanych urządzeniach.
  • Utrzymanie kontroli nad poziomami bezpieczeństwa tożsamości.
  • Upewnij się, że tylko zweryfikowane, zgodne urządzenia są używane do uzyskiwania dostępu.

Secfense umożliwia to przy minimalnym wpływie na istniejącą infrastrukturę, jednak weryfikacja integralności poświadczeń wymaga integracji z aplikacją Secfense Authenticator oraz wykorzystania platformowych interfejsów attestation. Mobile-Bound Passkeys od Secfense płynnie integrują się z istniejącymi przepływami tożsamości, zapewniając jednocześnie silne zabezpieczenie i pełne egzekwowanie zasad.

Chcesz dowiedzieć się więcej?

Chętnie podzielimy się szczegółami implementacji w ramach umowy NDA.

→ Skontaktuj się z ekspertem Secfense, aby omówić Mobile-Bound Passkeys
→ Zobacz, jak bank BNP Paribas wdrożył passkeys na dużą skalę w zaledwie 3 miesiące

Antoni takes care of all the marketing content that comes from Secfense. Czytaj więcej

Polecane artykuły

Bądźmy w kontakcie

Czytaj więcej

Jak BNP Paribas wdrożył passkeys na szeroką skalę w zaledwie 3 miesiące

Coraz więcej instytucji finansowych poszukuje sposobów na zwiększenie bezpieczeństwa uwierzytelniania przy jednoczesnym uproszczeniu procesu logowania. Jednym z najbardziej efektywnych podejść jest uwierzytelnianie bezhasłowe oparte na…
Avatar of Antoni Sikora Antoni Sikora

READ TIME < 1 MIN

Jak zapobiegać synchronizacji passkeys między urządzeniami?

W miarę jak coraz więcej organizacji przechodzi na uwierzytelnianie bezhasłowe, wiele z nich staje przed krytycznym pytaniem: jak możemy zapobiec synchronizacji passkeys między urządzeniami? Kwestia…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 2 MIN

Jak branża telekomunikacyjna w Polsce podchodzi do MFA i passwordless? Wyniki ankiety z KIKE

W czasie najważniejszego wydarzenia sektora telekomunikacyjnego w Polsce, konferencji KIKE, przeprowadziliśmy ankietę wśród uczestników reprezentujących zarówno największe firmy świadczące usługi łączności i transmisji danych, jak…
Avatar of Antoni Sikora Antoni Sikora

READ TIME 2 MIN

Referencje

Każdego dnia stajemy przed coraz to nowymi wyzwaniami. Musimy być stale o krok przed atakującymi, przewidywać ich działania. W technologii User Access Security Broker dostrzegliśmy rozwiązanie, które zapewnia nowy poziom bezpieczeństwa zarówno przy pracy z biura, jak i z domu. Współpracę z Secfense postrzegamy jako szansę na dzielenie się naszym doświadczeniem w ramach rozwiązania, którego twórcy są świadomi znaczenia nieszablonowego myślenia.

Krzysztof Słotwiński

Dyrektor Pionu Bezpieczeństwa i Zarządzania Ciągłością Działania

Bank BNP Paribas Polska

W ramach analizy przedwdrożeniowej zweryfikowaliśmy, że użytkownicy korzystają z bardzo różnych platform klienckich: komputerów stacjonarnych, laptopów, tabletów, smartfonów i tradycyjnych telefonów komórkowych. Każde z tych urządzeń różni się zaawansowaniem technologicznym i funkcjami, a także poziomem zabezpieczeń. Z uwagi na to, a także ze względu na rekomendację KNF zdecydowaliśmy się na wprowadzenie dodatkowej ochrony w postaci mechanizmów uwierzytelniania wieloskładnikowego opartego na FIDO. Dzięki temu użytkownicy naszych aplikacji mogą się do nich bezpiecznie logować, unikając popularnych cyberzagrożeń – phishingu, przejęcia konta oraz kradzieży danych swoich i klientów.

Marcin Bobruk

Prezes Zarządu

Sandis

Cieszymy się, że możemy współpracować z Secfense w celu zwiększenia bezpieczeństwa dostępu użytkowników do naszych aplikacji internetowych. Integrując ich brokera bezpieczeństwa dostępu użytkowników, zapewniamy bezproblemową i bezpieczną ochronę naszych aplikacji i systemów, zapewniając naszym klientom najwyższy poziom bezpieczeństwa i wygody.

Charm Abeywardana

IT & Infrastructure

Visium Networks

Przed inwestycją w Secfense mieliśmy okazję porozmawiać z jej dotychczasowymi klientami. Ich reakcje były jednomyślne: to takie proste w użyciu! Szczególne wrażenie zrobił na nas fakt, że wdrożenie Secfense nie wymaga zaangażowania programistów IT. Daje to ogromną przewagę nad konkurencją, a jednocześnie otwiera drzwi potencjalnym klientom, którzy do tej pory bali się zmian związanych z wdrażaniem rozwiązań uwierzytelniania wieloskładnikowego.

Mateusz Bodio

Dyrektor Zarządzający

RKKVC

Jednym z największych wyzwań, przed którymi stoi dziś świat, jest zabezpieczenie naszej tożsamości online – mówi Stanislav Ivanov, partner założyciel w Tera Ventures. – Dlatego tak bardzo zależało nam na tym, aby Secfense znalazł się w naszym portfolio. Firma umożliwia wprowadzenie silnego uwierzytelniania w sposób zautomatyzowany. Do tej pory organizacje musiały selektywnie chronić aplikacje, ponieważ wdrożenie nowej technologii było bardzo trudne, a nawet niemożliwe. Dzięki Secfense implementacja uwierzytelniania wieloskładnikowego nie stanowi już problemu, a wszystkie organizacje mogą korzystać z najwyższych standardów bezpieczeństwa.

Stanislav Ivanov

Partner i współzałożyciel

Tera Ventures

Nawet jeśli sieć i infrastruktura są wystarczająco zabezpieczone, socjotechnika i skradzione hasła mogą zostać wykorzystane do przejęcia kontroli przez atakujących. Uwierzytelnianie wieloskładnikowe (MFA) to aktualny trend. Secfense rozwiązuje problem trudnej implementacji MFA i umożliwia zbudowanie polityk bezpieczeństwa w organizacji opartej na modelu zero trust i bez stosowania hasła.

Eduard Kučera

Partner

Presto Ventures