Giải nén mật khẩu Pwned: Có thể là nghiên cứu mang tính suy đoán nhất trong nhiều thập kỷ

Đừng tin mọi thứ bạn đọc, đặc biệt là khi nó là một phần của quảng cáo chiêu hàng tiếp thị được thiết kế để bán dịch vụ bảo mật.

Ví dụ mới nhất về sự cường điệu bỏ chạy có thể đến từ những cú ném như vậy là nghiên cứu được xuất bản ngày hôm nay bởi SquareX, một công ty khởi nghiệp bán dịch vụ bảo mật trình duyệt và các ứng dụng phía máy khách khác. Nó tuyên bố, không có cơ sở, đã tìm thấy một lỗ hổng mật khẩu lớn “, làm suy yếu những lời hứa bảo mật cao cả của Apple, Google, Microsoft và hàng nghìn công ty khác đã nhiệt tình chấp nhận mật khẩu.

Ôi, lòng bàn tay hướng về phía trước

“Passkeys Pwned,” cuộc tấn công được mô tả trong nghiên cứu, đã được chứng minh vào đầu tháng này trong a Trình bày defcon. Nó dựa vào tiện ích mở rộng trình duyệt độc hại, được cài đặt trong một cuộc tấn công kỹ thuật xã hội trước đó, chiếm đoạt quy trình tạo mật khẩu để sử dụng trên Gmail, Microsoft 365 hoặc bất kỳ trang web nào trong số hàng nghìn trang web khác hiện sử dụng hình thức xác thực thay thế.

Đằng sau hậu trường, tiện ích mở rộng cho phép tạo một cặp khóa và liên kết nó với miền gmail.com hợp pháp, nhưng cặp khóa được tạo bởi phần mềm độc hại và bị kẻ tấn công kiểm soát. Cùng với đó, đối thủ có quyền truy cập vào các ứng dụng đám mây mà các tổ chức sử dụng cho các hoạt động nhạy cảm nhất của họ.

“Khám phá này phá vỡ huyền thoại rằng không thể đánh cắp mật khẩu, chứng minh rằng việc đánh cắp mật khẩu ‘’ không chỉ có thể thực hiện được mà còn tầm thường như việc đánh cắp thông tin xác thực truyền thống, các nhà nghiên cứu của ” SquareX đã viết trong phiên bản dự thảo của bài nghiên cứu hôm thứ Năm gửi cho tôi. “Điều này đóng vai trò như một lời cảnh tỉnh rằng mặc dù mật khẩu có vẻ an toàn hơn nhưng phần lớn nhận thức này bắt nguồn từ một công nghệ mới chưa trải qua nhiều thập kỷ nghiên cứu bảo mật và thử nghiệm bằng lửa.”

Trên thực tế, tuyên bố này là điều mà Lôi chưa được kiểm chứng. Nhiều hơn về điều đó sau. Hiện tại, đây là bản tóm tắt về mật khẩu.

Tóm tắt FIDO

Passkeys là một phần cốt lõi của Thông số kỹ thuật FIDO được soạn thảo bởi Liên minh FIDO (Fast IDentity Online), một liên minh gồm hàng trăm công ty trên khắp thế giới. Passkey là một cặp khóa mật mã công khai-riêng tư sử dụng ES256 hoặc một trong một số thuật toán mật mã được thử nghiệm theo thời gian khác. Trong quá trình đăng ký, một cặp khóa duy nhất được tạo cho— và được liên kết bằng mật mã với— trên mỗi trang web mà người dùng đăng ký. Trang web lưu trữ khóa công khai. Khóa riêng vẫn chỉ nằm trên thiết bị xác thực của người dùng, có thể là điện thoại thông minh, khóa bảo mật chuyên dụng hoặc thiết bị khác.

Khi người dùng đăng nhập, trang web sẽ gửi cho người dùng một chuỗi dữ liệu giả ngẫu nhiên. Sau đó, thiết bị xác thực sử dụng khóa riêng được liên kết với miền trang web để ký chuỗi thử thách bằng mật mã. Sau đó, trình duyệt sẽ gửi lại thử thách đã ký cho trang web. Sau đó, trang web sử dụng khóa công khai của người dùng để xác minh rằng thử thách đã được ký bởi khóa riêng. Nếu chữ ký hợp lệ, người dùng đã đăng nhập. Toàn bộ quá trình nói chung là nhanh chóng, nếu không nhanh hơn, hơn đăng nhập vào trang web bằng mật khẩu.

Như tôi đã nói đã lưu ý trước, passkey vẫn còn một chặng đường dài trước khi chúng sẵn sàng cho nhiều người dùng. Điều đó chủ yếu là do passkey không phải lúc nào cũng tương tác tốt giữa các nền tảng khác nhau. Hơn thế nữa, chúng mới đến mức chưa có dịch vụ nào cung cấp tài khoản chỉ có thể đăng nhập bằng mật khẩu và thay vào đó yêu cầu mật khẩu phải được đăng ký làm dự phòng. Và miễn là những kẻ tấn công vẫn có thể lừa đảo hoặc đánh cắp mật khẩu của người dùng, phần lớn lợi ích của mật khẩu bị suy yếu.

Điều đó nói rằng, mật khẩu cung cấp một giải pháp thay thế xác thực mà cho đến nay, kháng cự nhất đối với các loại tiếp quản tài khoản đã gây khó chịu cho các dịch vụ trực tuyến và người dùng của họ trong nhiều thập k. Không giống như mật khẩu, cặp khóa mật khẩu không thể bị lừa đảo. Nếu người dùng được chuyển hướng đến một trang Gmail giả mạo, mật khẩu sẽ không hoạt động kể từ khi nó bị ràng buộc với tên miền gmail.com thực. Passkeys không thể bị tiết lộ trong các cuộc gọi điện thoại hoặc tin nhắn văn bản được gửi bởi những kẻ tấn công giả dạng nhân viên CNTT đáng tin cậy. Họ không thể bị đánh hơi qua dây. Chúng không thể bị rò rỉ trong các vi phạm cơ sở dữ liệu. Cho đến nay, không có lỗ hổng nào được báo cáo trong thông số kỹ thuật FIDO.

Một sự hiểu lầm cơ bản về an ninh

SquareX hiện đang tuyên bố tất cả những điều đó đã thay đổi vì nó đã tìm ra cách để chiếm quyền điều khiển quá trình đăng ký passkey. Những tuyên bố đó dựa trên sự thiếu hiểu biết về thông số kỹ thuật FIDO, logic thiếu sót và sự hiểu lầm cơ bản về bảo mật nói chung.

Đầu tiên, tuyên bố rằng Passkeys Pwned cho thấy passkeys có thể bị đánh cắp là sai lầm. Nếu người dùng được nhắm mục tiêu đã đăng ký mật khẩu cho Gmail, khóa đó sẽ vẫn được lưu trữ an toàn trên thiết bị xác thực. Kẻ tấn công không bao giờ đến gần để đánh cắp nó. Sử dụng phần mềm độc hại để chiếm quyền điều khiển quá trình đăng ký là một điều hoàn toàn khác. Nếu người dùng đã đăng ký mật khẩu, Passkeys Pwned sẽ chặn đăng nhập và trả về thông báo lỗi nhắc người dùng đăng ký mật khẩu mới. Nếu người dùng cắn câu, khóa mới sẽ bị kẻ tấn công điều khiển. Không có lúc nào bất kỳ passkeys bị đánh cắp.

Nghiên cứu cũng không tính đến việc thông số kỹ thuật FIDO làm rõ rằng các mật khẩu không cung cấp khả năng phòng thủ trước các cuộc tấn công dựa vào hệ điều hành hoặc trình duyệt chạy trên đó, bị xâm phạm và do đó không phải là một phần của mô hình mối đe dọa FIDO.

Phần 6 của tài liệu liệt kê các giả định bảo mật “” cụ thể vốn có trong mô hình tin cậy mật khẩu. SA-3 tuyên bố rằng “Ứng dụng trên thiết bị người dùng có thể thiết lập các kênh an toàn cung cấp xác thực máy chủ đáng tin cậy cũng như tính bảo mật và tính toàn vẹn cho tin nhắn.” SA-4 cho rằng “môi trường điện toán trên thiết bị người dùng FIDO và các ứng dụng... liên quan đến hoạt động FIDO đóng vai trò là tác nhân đáng tin cậy của người dùng.” WebAuthn, thông số kỹ thuật tiền thân của FIDO, gợi ý về cùng một hạn chế thông thường.

Theo định nghĩa, một cuộc tấn công dựa vào trình duyệt bị nhiễm phần mềm độc hại nằm ngoài phạm vi bảo vệ mà mật khẩu được thiết kế để cung cấp. Nếu passkey yếu vì chúng có thể chịu được sự thỏa hiệp của điểm cuối mà chúng chạy trên đó, thì các biện pháp bảo vệ mà chúng tôi coi là đương nhiên trong mã hóa TLS và mã hóa đầu cuối trong các trình nhắn tin như Signal— cũng vậy, chưa kể đến tính bảo mật của chính các dịch vụ SquareX. Làm mất uy tín hơn nữa, bài viết hôm thứ Năm bao gồm một quảng cáo chiêu hàng tiếp thị cho nền tảng SquareX.

“Theo quan điểm cá nhân của tôi, đây có vẻ là một chiêu trò bán hàng đáng ngờ đối với một sản phẩm thương mại,” Kenn White, một kỹ sư bảo mật làm việc cho các tổ chức ngân hàng, chăm sóc sức khỏe và quốc phòng, đã viết trong một cuộc phỏng vấn. “Nếu bạn được thiết kế xã hội để thêm tiện ích mở rộng độc hại, TẤT CẢ các mô hình tin cậy trên web đều bị hỏng. Tôi biết rằng trong các ủy ban chương trình hội nghị mà tôi tham gia, một bài nộp như thế này sẽ bị loại ở vòng đầu tiên.”