นักวิจัยด้านความปลอดภัยได้สาธิตวิธีการที่ระบบยืนยันตัวตน passkey สามารถถูกบุกรุกผ่านวิธีการแบบซอฟต์แวร์ ทำให้เกิดการถกเถียงกันอย่างเข้มข้นในชุมชนไซเบอร์ซีเคียวริตี้เกี่ยวกับความสมดุลระหว่างความปลอดภัยและความสะดวกในการใช้งานของระบบยืนยันตัวตนสมัยใหม่
การวิจัยนี้มุ่งเน้นไปที่การวิศวกรรมย้อนกลับโปรโตคอล CTAP2 และการใช้งาน WebAuthn เพื่อสร้างตัวยืนยันตัวตนแบบซอฟต์แวร์ที่สามารถเบี่ยงเบนมาตรการรักษาความปลอดภัยบางประการได้ แม้ว่าเทคนิคเหล่านี้จะต้องใช้ความเชี่ยวชาญทางเทคนิคอย่างมากและเงื่อนไขเฉพาะเจาะจงเช่นโหมดดีบักระยะไกลของ Chrome แต่ก็เน้นย้ำถึงจุดอ่อนที่อาจเกิดขึ้นในวิธีที่ระบบ passkey ตรวจสอบคำขอการยืนยันตัวตน
องค์ประกอบทางเทคนิคหลักที่เกี่ยวข้อง:
- CTAP2 ( Client to Authenticator Protocol 2 )
- WebAuthn ( Web Authentication API )
- กรอบการทำงานการยืนยันตัวตน FIDO2
- การสื่อสาร USB-HID ( Human Interface Device )
- Hardware Security Keys และโมดูล TPM
- virtual authenticator ของ Chrome สำหรับการทดสอบ
ข้อกังวลด้านความปลอดภัยหลัก
การสาธิตแสดงให้เห็นว่าผู้ประสงค์ร้ายอาจสามารถแฮ็กกระบวนการลงทะเบียน passkey โดยการแทนที่กุญแจเข้ารหัสของตนเองระหว่างการตั้งค่าบัญชี สิ่งนี้จะทำให้ผู้โจมตีสามารถยืนยันตัวตนในฐานะเหยื่อในภายหลังโดยใช้ข้อมูลประจำตัวที่พวกเขาควบคุม อย่างไรก็ตาม ผู้เชี่ยวชาญด้านความปลอดภัยชี้ให้เห็นว่าการโจมตีนี้ต้องการให้การลงทะเบียนครั้งแรกเกิดขึ้นบนระบบที่ถูกบุกรุก ซึ่งจำกัดผลกระทบในทางปฏิบัติอย่างมาก
การโจมตีทำงานโดยการสร้างตัวยืนยันตัวตน FIDO2 แบบซอฟต์แวร์ที่สามารถสร้างการตอบสนองการยืนยันตัวตนที่ถูกต้องโดยไม่ต้องใช้กุญแจรักษาความปลอดภัยฮาร์ดแวร์เฉพาะหรือโมดูลแพลตฟอร์มที่เชื่อถือได้ ( TPMs ) แม้ว่าลายเซ็นเข้ารหัสเองจะถูกต้องตามกฎหมาย แต่ข้อกังวลอยู่ที่ความสามารถในการสร้างลายเซ็นเหล่านี้โดยใช้ซอฟต์แวร์แทนที่จะเป็นฮาร์ดแวร์ที่ปลอดภัย
ข้อกำหนดในการโจมตี:
- เบราว์เซอร์ Chrome ที่เปิดใช้งาน remote debugging
- การเข้าถึงอุปกรณ์ของเหยื่อในระหว่างการลงทะเบียน passkey
- ความเชี่ยวชาญด้านเทคนิคในการ reverse engineering โปรโตคอล
- ความสามารถในการรันซอฟต์แวร์ที่กำหนดเองบนระบบเป้าหมาย
- ความสามารถ MITM (Man-in-the-Middle) ในระหว่างขั้นตอนการลงทะเบียน
การตอบสนองของอุตสาหกรรมและการถกเถียงเรื่องการรับรอง
การวิจัยนี้ได้จุดประกายการอภิปรายเกี่ยวกับข้อกำหนดการรับรองในการใช้งาน passkey อีกครั้ง การรับรองเป็นกลไกที่ช่วยให้เว็บไซต์สามารถตรวจสอบว่าข้อมูลประจำตัวการยืนยันตัวตนถูกสร้างขึ้นโดยฮาร์ดแวร์เฉพาะที่เชื่อถือได้แทนที่จะเป็นซอฟต์แวร์ ปัจจุบันเว็บไซต์ส่วนใหญ่ที่หันหน้าไปหาผู้บริโภคไม่ต้องการการรับรอง ทำให้พวกเขาอาจเสี่ยงต่อวิธีการยืนยันตัวตนแบบซอฟต์แวร์
ประโยชน์ชัดเจน: กุญแจที่มาจากฮาร์ดแวร์ไม่สามารถถูกขโมยได้ภายใต้สถานการณ์ปกติใดๆ ในขณะเดียวกัน passkey ที่ซิงค์แล้วเป็นเพียงคู่ชื่อผู้ใช้/รหัสผ่านที่หรูหรา ดังนั้นจึงสามารถถูกขโมยโดยผู้โจมตีได้
อย่างไรก็ตาม การใช้ข้อกำหนดการรับรองที่เข้มงวดอาจสร้างปัญหาด้านการใช้งานที่สำคัญ มันอาจจะล็อคผู้ใช้ที่พึ่งพาตัวจัดการรหัสผ่านหรือบริการซิงโครไนซ์ข้ามแพลตฟอร์ม บังคับให้พวกเขาซื้อกุญแจรักษาความปลอดภัยฮาร์ดแวร์เฉพาะ แนวทางนี้ยังสามารถสร้างสถานการณ์ vendor lock-in ที่เฉพาะอุปกรณ์จากผู้ผลิตที่ได้รับอนุมัติเท่านั้นที่จะทำงานกับเว็บไซต์บางแห่งได้
ปัจจัย Apple และผลกระทบต่อระบบนิเวศ
แนวทางของ Apple ต่อการใช้งาน passkey ได้กลายเป็นจุดศูนย์กลางในการถกเถียงนี้ ไม่เหมือนบริษัทเทคโนโลยีใหญ่อื่นๆ Apple เลือกที่จะไม่ใช้การรับรองสำหรับ passkey ของผู้บริโภค โดยให้ความสำคัญกับความเป็นส่วนตัวของผู้ใช้และความสามารถในการพกพาข้ามอุปกรณ์มากกว่าการตรวจสอบฮาร์ดแวร์ การตัดสินใจนี้ได้บังคับให้เว็บไซต์จำนวนมากยอมรับข้อมูลประจำตัวที่ไม่ได้รับการรับรองอย่างมีประสิทธิภาพ เนื่องจากการแยกผู้ใช้ Apple ออกไปจะไม่เป็นไปได้ในเชิงพาณิชย์
นักวิจารณ์โต้แย้งว่าจุดยืนของ Apple ได้ทำให้ท่าทางความปลอดภัยโดยรวมของระบบ passkey อ่อนแอลง ในขณะที่ผู้สนับสนุนโต้เถียงว่ามันได้ป้องกันการสร้างระบบนิเวศที่เข้มงวดซึ่งเฉพาะผู้จำหน่ายที่ได้รับอนุมัติเท่านั้นที่สามารถให้บริการยืนยันตัวตนได้ การถกเถียงสะท้อนถึงความตึงเครียดที่กว้างขึ้นระหว่างความปลอดภัย ความเป็นส่วนตัว และการแข่งขันในตลาดในระบบยืนยันตัวตนดิจิทัล
ตำแหน่งของอุตสาหกรรมเกี่ยวกับการรับรอง:
- Apple: ยกเลิกการรับรองสำหรับ passkey ของผู้บริโภค รองรับเฉพาะในสภาพแวดล้อม MDM เท่านั้น
- Google / Microsoft: โดยทั่วไปสนับสนุนความสามารถในการรับรอง
- องค์กรธุรกิจ: มักต้องการการรับรองเพื่อการปฏิบัติตามกฎระเบียบ ( FIPS , ความปลอดภัยขององค์กร)
- เว็บไซต์ผู้บริโภค: ส่วนใหญ่ไม่ได้ใช้การตรวจสอบการรับรอง
- โปรแกรมจัดการรหัสผ่าน: รองรับ passkey แต่จะถูกล็อกออกหากมีการรับรองที่เข้มงวด
 |
|---|
| การวิเคราะห์ทราฟฟิกเครือข่ายที่สะท้อนถึงความซับซ้อนของการใช้งาน passkey และช่องโหว่ที่อาจเกิดขึ้น |
ผลกระทบในทางปฏิบัติและการประเมินความเสี่ยง
แม้จะมีการสาธิตทางเทคนิค แต่ผู้เชี่ยวชาญด้านความปลอดภัยเน้นย้ำว่าความเสี่ยงในทางปฏิบัติสำหรับผู้ใช้ส่วนใหญ่ยังคงต่ำ การโจมตีต้องการการเข้าถึงทางกายภาพไปยังอุปกรณ์ของเหยื่อระหว่างการลงทะเบียนหรือความสามารถในการรันซอฟต์แวร์ที่เป็นอันตรายด้วยสิทธิ์ที่สูงขึ้น สำหรับแอปพลิเคชันผู้บริโภคส่วนใหญ่ ประโยชน์ด้านความปลอดภัยที่มีอยู่ของ passkey รวมถึงความต้านทานต่อการโจมตีแบบฟิชชิ่งและการโจมตีการใช้ข้อมูลประจำตัวซ้ำ ยังคงมีน้ำหนักมากกว่าช่องโหว่เชิงทฤษฎีเหล่านี้
สภาพแวดล้อมขององค์กรอาจมีการคำนวณความเสี่ยงที่แตกต่างกัน โดยเฉพาะอย่างยิ่งสำหรับแอปพลิเคชันความปลอดภัยสูงที่ต้นทุนของฮาร์ดแวร์เพิ่มเติมและความซับซ้อนสามารถได้รับการพิสูจน์ นโยบายความปลอดภัยขององค์กรจำนวนมากต้องการการยืนยันตัวตนแบบฮาร์ดแวร์พร้อมการรับรองที่เหมาะสมสำหรับระบบที่ละเอียดอ่อนอยู่แล้ว
การวิจัยนี้ทำหน้าที่เป็นการเตือนใจที่มีค่าว่าไม่มีระบบยืนยันตัวตนใดที่สมบูรณ์แบบ และการใช้งานความปลอดภัยต้องสร้างสมดุลระหว่างลำดับความสำคัญที่แข่งขันกันหลายประการ รวมถึงความสามารถในการใช้งาน ความเป็นส่วนตัว และการป้องกันต่อโมเดลภัยคุกคามต่างๆ ในขณะที่การยอมรับ passkey ยังคงเติบโต การวิจัยด้านความปลอดภัยอย่างต่อเนื่องและการอภิปรายของชุมชนจะมีความสำคัญสำหรับการระบุและแก้ไขช่องโหว่ที่อาจเกิดขึ้นในขณะที่รักษาประโยชน์ด้านประสบการณ์ผู้ใช้ที่ทำให้ passkey เป็นทางเลือกที่น่าสนใจแทนรหัสผ่านแบบดั้งเดิม