Tornar al Blog
Application Security

Passkeys: els avantatges i riscos d'aquestes noves contrasenyes

11 de juny de 2024 · 7 min per Matthijs Melissen, Security Specialist & Tech Lead

Contingut de l'article

Que son les Passkeys?

Les Passkeys asseguren que els usuaris puguin iniciar sessio a aplicacions i llocs web sense utilitzar contrasenyes. En lloc d'una contrasenya, l'usuari confirma la seva identitat amb un autenticador de maquinari, com un lector d'empremtes digitals o reconeixement facial. Grans actors com Apple, Google, Amazon, Microsoft, PayPal i WhatsApp ja utilitzen aquesta tecnologia.

Com funciona exactament una Passkey?

Per a cada lloc web o aplicacio, es creen dues claus: una clau publica (coneguda pel lloc web) i una clau privada (vinculada al teu dispositiu personal). La combinacio d'aquestes claus permet iniciar sessio. Si la teva clau publica es filtra a traves d'una bretxa de dades, no hi ha cap problema: sense la teva clau privada, un hacker no pot fer res.

Avantatges de les Passkeys

  • Resistents a l'endevinacio: les passkeys son tan llargues que es impossible endevinar-les.
  • Evita la reutilitzacio de contrasenyes: cada clau es unica per lloc.
  • Proteccio contra phishing: les claus nomes funcionen a l'URL real de l'aplicacio.

Riscos de les Claus d'Acces

WebAuthn es inherentment molt segur, pero ha de ser implementat correctament. Els riscos d'implementacio inclouen:

  • Falta de comprovacio de la signatura: si no es verifica, un atacant pot iniciar sessio com qualsevol usuari.
  • Confusio d'origen: un atacant pot redirigir l'inici de sessio a un lloc malicio.
  • Falta de comprovacions UP i UV: les bandes de presencia i verificacio de l'usuari s'han de verificar sempre.
  • Atacs CSRF: un atacant pot afegir la seva propia clau d'acces al compte de la victima.
  • Falta de comprovacio del comptador: facilita l'us d'autenticadors clonats.

Riscos practics

Durant la nostra investigacio de cinc parts de confianca, vam trobar una vulnerable a la confusio d'origen, tres que no van verificar correctament la presencia i verificacio de l'usuari, i una aplicacio amb un comptador de signatura mancat. Tots els afectats van ser notificats i es van proporcionar solucions.

Recerca en col·laboracio academica

Aquesta recerca va ser realitzada en col·laboracio amb Peizhou Chen de la Universitat de Twente, que va completar la seva tesi de master sobre aquest tema a DEFION Security sota la supervisio de Matthijs Melissen.

Vols implementar passkeys de forma segura?

Contacta amb nosaltres Linia d'incidents 24/7