PRF WebAuthn och dess roll i lösenord

Bitwarden inkluderar lösenordshantering för användare att lagra och hantera lösenord i sina valv och möjligheten att använda lösenord för att logga in i Bitwardens webbvalv. Att komma åt och låsa upp Bitwarden-valvet med en lösenordsnyckel utnyttjar en förlängning för WebAuthn som kallas pseudo-random-funktionen eller PRF. Den här artikeln utforskar denna framväxande standard och hur den kan påverka användarupplevelsen av lösenordsinloggning. Att integrera PRF-tillägget i WebAuthn stöder också end-to-end-kryptering, vilket säkerställer säker kommunikation för känslig data. Gå med i Bitwarden-communityt och dela din erfarenhet.

WebAuthn PRF-tillägget är en framväxande standard som hämtar symmetriska nycklar från en autentisering. När du använder en autentiserare, såsom en säkerhetsnyckel och en kompatibel webbläsare, tillåter WebAuthn PRF-tillägget autentiseringsenheten att generera en krypteringsnyckel som är associerad med en viss webbplats, ofta kallad den förtroende parten. Denna nyckel kan sedan tillhandahållas den platsen under autentiseringen. Till exempel, när en Bitwarden-användare registrerar en lösenordsnyckel från en hårdvarusäkerhetsnyckel som en YubiKey, kan Bitwarden använda den krypteringsnyckeln (associerad med lösenordet) för att kryptera och dekryptera användarens valvdata. Till skillnad från en hårdvarusäkerhetsmodul (HSM), som styr åtkomst till en organisations digitala säkerhetsnyckel, lagrar WebAuthn PRF-tillägget inte krypteringsnycklar på hårdvaruenheten. Istället använder tillägget indata (ett salt) som tillhandahålls av den förlitande parten för att generera nycklar, en deterministisk operation där utdata alltid kommer att vara densamma för en viss ingång. Många nuvarande plattformsautentiseringsenheter implementerar inte specifika säkerhetstillägg, varför stödet för PRF i WebAuthn är betydande.

Detta skiljer sig från vanliga FIDO2-utgångar (eller signaturer), som alltid kommer att skilja sig, oavsett inmatning eller utmaning, eftersom PRF tillåter att lösenord används för krypteringsoperationer.

PRF-tillägget erbjuder flera fördelar och användningsfall som förbättrar säkerheten och funktionaliteten hos WebAuthn. Här är några viktiga fördelar:

1. Kryptering på klientsidan: En av de utmärkande funktionerna i PRF-tillägget är dess förmåga att aktivera kryptering på klientsidan. Detta tillåter användare att behålla full kontroll över sina data. Tjänsteleverantörer kan lagra krypterad data utan att behöva se den, vilket säkerställer att känslig information förblir konfidentiell och säker.

2. Dataskydd: Genom att använda PRF-saltet som bas för den HMAC-baserade Key Derivation Function (HKDF), ger PRF-tillägget ett extra lager av säkerhet. Detta säkerställer att användardata skyddas mot obehörig åtkomst, vilket gör det till en robust lösning för dataskydd.

3. Identitetsplånböcker: PRF-tillägget kan härleda krypteringsnycklar för identitetsplånböcker, vilket möjliggör säker lagring och hantering av identitetsdata.

4. Digitala plånböcker utan förvaring: Med PRF-tillägget finns det inget behov av åtkomst på serversidan till privata nycklar. Detta gör det möjligt för digitala plånböcker att fungera säkert, vilket ger användarna sinnesfrid att deras privata nycklar är säkra från intrång på serversidan.

5. Känsligt dataskydd: För plattformar som hanterar mycket känslig information kan PRF-tillägget möjliggöra kryptering av känslig data på klientsidan.

När du använder en autentiseringsverktyg som säkerhetsnycklar och en webbläsare som stöder säkerhetsnyckeln – som visas i "Logga in och lås upp Bitwarden med lösenord" – uppmanar WebAuthn PRF-tillägget autentiseringsenheten att generera en krypteringsnyckel som är kopplad till en viss webbplats. Denna nyckel kan sedan tillhandahållas till det programmet efter autentisering. 

Så här fungerar det. En Bitwarden-användare som registrerar en lösenordsnyckel från en kompatibel enhet kan använda samma lösenord för att kryptera och dekryptera sitt valv, vilket innebär att med WebAuthn PRF-tillägget kan användare dekryptera sina Bitwarden-valv utan att använda ett huvudlösenord. Tillägget utökar också ytterligare bekvämlighet och säkerhet om du använder en tillfällig enhet.

Hur? Låt oss först utforska traditionell autentisering: Om du använder en YubiKey för 2FA, bestämmer denna YubiKey vem Bitwarden-servrar ska ge ditt krypterade valv till och lägger till ett extra säkerhetslager utöver ditt huvudlösenord. Ditt valv dekrypterar först efter att det har fått autentisering från YubiKey. I de flesta fall är detta en säker installation.

Men om en dålig skådespelare får tillgång till ditt krypterade valv genom att på något sätt kringgå 2FA, är skyddet som tillhandahålls av YubiKey ogiltigt. Detta beror på att YubiKey användes för att hjälpa Bitwarden-servern att avgöra om det krypterade valvet ska delas med dig, inte som en del av krypteringsprocessen. I det här fallet garanterar inte Yubikey 2FA ensam de högsta säkerhetsstandarderna, särskilt om ett svagt huvudlösenord användes.

WebAuthn PRF åtgärdar denna lucka genom att ersätta ditt huvudlösenord med en stark krypteringsnyckel, som är mycket svårare att knäcka jämfört med lösenord. Det är också viktigt att notera att WebAuthn PRF-tillägget för närvarande är tillgängligt i Chromium-baserade webbläsare, som Google Chrome och Microsoft Edge.

När möjligheterna med WebAuthn PRF utvecklas, gå med i Bitwarden-communityt och dela dina erfarenheter. Låt oss tillsammans hjälpa till att göra onlinevärlden säkrare!

Bygg lösenordsautentisering för dina webbplatser och applikationer med Bitwarden Passwordless.dev.

Lär dig hur Bitwarden hjälper kunder att anta säkra, lösenordsfria upplevelser.