A Mozilla soltou a atualização 114 do Firefox, com várias melhorias interessantes.

A fundação Mozilla soltou a atualização 114 do Firefox, com várias melhorias interessantes. Agora é mais fácil gerenciar a lista de exceções do DNS sobre HTTPS, proporcionando uma interface mais intuitiva. Além disso, é possível pesquisar diretamente pelos favoritos no menu correspondente, o qual pode ser adicionado à barra de ferramentas. Uma nova opção permite restringir as pesquisas ao…

View On WordPress

軟體模擬 FIDO2 裝置

看到「Virtual FIDO」這個專案，用軟體模擬 FIDO2 裝置： Virtual FIDO is a virtual USB device that implements the FIDO2/U2F protocol (like a YubiKey) to support 2FA and WebAuthN. 就安全性來說有點本末倒置，畢竟硬體確保了 secret 無法被軟體直接搬走，而這個軟體模擬的方式就沒辦法了，這個專案比較像是實驗示範性質… 翻了一下 Hacker News 上也有人提到這個問題：「Show HN: A virtual Yubikey device for 2FA/WebAuthN (github.com/bulwarkid)」，但也有提到「tpm-fido」這個專案，用 TPM 來保護： tpm-fido is FIDO token…

View On WordPress

Passkey: Die Grundlage von Finoms Sicherheitsupgrade

Erfahren Sie mehr über die Integration von FIDO2/WebAuthn bei Finom - für eine verbesserte Nutzererfahrung und mehr Sicherheit.

Passkeys (FIDO2/WebAuthn) sind ein notwendiges Tool, um Ihre digitale Sicherheit sicherzustellen. Dem von Verizon durchgeführten 2023 Data Breach Investigations Report zufolge sind 83 % aller Datenlecks finanziell motiviert. 49 % dieser Lecks entstanden aufgrund gestohlener Anmeldedaten. Finom führt Finanztransaktionen auf der ganzen Welt durch. Daher ist es sehr wichtig, die neuesten Technologien einzusetzen, um unsere Kunden zu schützen.

Aber was tun diese Tools eigentlich? In diesem Artikel soll ein umfassender Überblick darüber geboten werden, einschließlich der technischen Aspekte von Passkeys und Details bezüglich ihrer praktischen Implementierung. Außerdem werden die weiteren Auswirkungen auf die Industrie betrachtet.

Passkey: Die Grundlagen 

Um den Wert dieser Technologie begreifen zu können, muss man vorher die technische Seite der Dinge verstehen - Passkeys sind nämlich auch als FIDO2 und WebAuthn bekannt. Der folgende Abschnitt wird kurz darüber aufklären.

Was ist FIDO2?

FIDO2 ist der generelle Begriff für alle passwortlosen, offenen Authentifizierungsstandards. Mit FIDO2 kann man über Plattform-Authentifikatoren - beispielsweise biometrische Scanner - auf Geräte zugreifen. Sie sind in der Regel in das Gerät eingebaut; bekannte Beispiele sind Fingerabdruckscanner oder Gesichtserkennung. Das bedeutet, dass man auch ohne separate Authentifikatoren - beispielsweise USB-Sicherheitsschlüssel, die wie ein physischer Schlüssel funktionieren und an keine bestimmte Plattform gebunden sind - passwortlos auf ein Gerät zugreifen kann. Ermöglicht wird dies durch die FIDO-Allianz, eine offene Industrievereinigung, deren Hauptziel es ist, die Abhängigkeit der Nutzer von Passwörtern zu reduzieren. 

FIDO2 besteht aus zwei Teilen: der Web-Authentifizierung (WebAuthn) und dem Client to Authenticator Protocol (CTAP). In diesem Artikel werden wir uns auf WebAuthn konzentrieren, da diese für den Nutzer relevanter ist.

Was ist WebAuthn?

Die Web Authentication-API wurde von der FIDO-Allianz und dem World Wide Web Consortium entwickelt, um es Servern zu ermöglichen, Nutzer ohne Passwort zu authentifizieren. Stattdessen wird ein öffentlich-privates Schlüsselpaar generiert, welches Authentifikatoren von Anwendungen wie Apples Touch-ID miteinander verbindet, wodurch kein Passwort mehr benötigt wird.

Also, wie funktioniert WebAuthn innerhalb des FIDO2-Frameworks? Eigentlich genauso wie CTAP, dessen Hauptzweck es ist, Passwörter abzuschaffen. Der Fokus von WebAuthn liegt jedoch auf der Serverseite statt der Nutzerseite. Mit WebAuthn ist es wesentlich einfacher für Online-Dienstleister wie Finom, sichere Authentifizierungsmethoden zu verwenden. 

Die Wichtigkeit fortschrittlicher Authentifizierung im Finanzsektor

Wissen Sie noch, dass wir sagten, 83 % aller Datendiebstähle seien finanziell motiviert? Das bedeutet, dass Hacker hauptsächlich den Finanzsektor angreifen. Dem VMWare-Artikel Modern Bank Heists 5.0 zufolge ist es offensichtlich, dass diese Branche einigen einzigartigen Herausforderungen gegenübersteht: 

Hacker werden in ihren Angriffen des Finanzsektors immer kreativer. Statt direkt anzugreifen, implementieren sie inzwischen etwas namens Inselhopping. Sie konzentrieren sich auf einzelne Parteien und angegliederte Dritte, bis sie zum eigentlichen Ziel gelangen. 

Erpressungssoftware erlebt ein Comeback. 74 % aller Banken haben bereits mindestens einen Angriff mit Erpressungssoftware erlebt. In 63 % dieser Fälle wurde das Lösegeld tatsächlich bezahlt. 

Man kann das Problem nicht mit Geld lösen. Viele große Finanzeinrichtungen planen, ihr Budget um bis zu 30 % zu erhöhen. Doch wie man sieht, garantiert das keinen Erfolg. Hacker könnten einfach neue Wege finden, die Systeme zu manipulieren. 

Die Nutzung von Passkeys bei Finom

Da die Situation immer gefährlicher wird, wissen wir, dass die Einhaltung von Industriestandards und der Datenschutz-Grundverordnung nicht ausreichen wird. Daher hat Finom den wichtigen Schritt getan, Passkeys in seine Dienstleistungen zu integrieren. 

Wie implementiert Finom Passkeys?

Um die Dinge so einfach wie möglich zu halten, sorgt Finom dafür, dass Passwörter nicht länger notwendig sind. Das bedeutet, dass man diese nicht länger vergessen oder verlieren kann, was auch die potenzielle Anfälligkeit für Phishing-Attacken und Hackerangriffe reduziert. Statt eines Passworts nutzen wir Biometrie - etwas, das individuell und einzigartig ist und nicht vergessen oder verloren werden kann. 

Wie profitieren Finoms Kunden von Passkeys?

Kunden, denen Benutzerfreundlichkeit wichtig ist, werden Passkeys sicherlich lieben. Man muss sich ein Passwort weniger merken und kann so schnell und problemlos auf seinen Account zugreifen. Das Highlight dieser Technologie ist jedoch die erhöhte Sicherheit. Phishing und nicht autorisierte Zugriffsversuche bleiben erfolglos, da ein Passwort alleine nicht reicht, um sich einzuloggen.

Nutzererfahrung mit Passkeys

Grundsätzlich sind die Nutzererfahrungen mit Passkeys positiv. Sie machen den Login-Prozess reibungslos und sicher. Aus wirtschaftlicher Perspektive reduzieren Passkeys die Betriebskosten für Passwort-Datenbanken und gewährleisten eine hohe digitale Sicherheit. 

Es sollte auch erwähnt werden, dass Passkeys auch bei Verlust eines Handys via Apple-, Google- oder Microsoft-Cloud synchronisiert bleiben. Das bedeutet, dass man einfach ein anderes Gerät nutzen kann, um auf seine Accounts zuzugreifen.

Cybersicherheit entwickelt sich derzeit in Richtung einer breiteren Akzeptanz und Nutzung von Passkeys weiter. Mit dieser Technologie wird der Faktor Mensch eine geringere Auswirkung auf die digitale Sicherheit haben. Dasselbe gilt für Nutzer von Finanzdienstleistungen, einschließlich der Kunden von Finom.

Die Zukunft der Authentifizierung im Finanzsektor

Inzwischen wird biometrische Authentifizierung bereits in vielen Geräten verwendet. Wir erwarten, dass ihre Nutzung sich in Zukunft weiter verbreiten wird, wodurch diese Authentifizierungsmethode sich durchsetzen und zur Norm werden wird. Da immer mehr Unternehmen im Finanzsektor mit Passkeys arbeiten, hoffen wir, dass Passwörter bald der Vergangenheit angehören werden. Was Geldtransfers angeht, werden Passwörter vermutlich großflächig durch Passkeys ersetzt werden. 

Unsere Priorität ist es stets, unsere Dienstleistungen für alle unsere Kunden so bequem und sicher wie möglich zu machen. Wir werden neue Technologien immer im Blick behalten und diejenigen implementieren, die die Sicherheit unserer Dienste verbessern können. Damit hoffen wir, die Sicherheitsstandards aller Kunden des Finanzsektors erhöhen zu können.

Wie können Passkeys die Sicherheit im Finanzsektor verbessern?

Passkeys verringern die Angreifbarkeit von Nutzern, wenn diese auf ihre Accounts zugreifen. Im Finanzsektor ist dies besonders wichtig, da hier das Potenzial für finanzielle Verluste besteht. Einen Passkey zu benutzen, bedeutet, dass kein Passwort geklaut werden kann, wodurch es nicht autorisierten Personen schwerer fällt, Zugriff auf einen Account zu erhalten. 

Hacker werden immer kreativer. Indem wir moderne Authentifizierungsmethoden wie Passkeys verwenden, erhöhen wir unsere Sicherheit und stellen gleichzeitig eine bessere Nutzererfahrung sicher. Deshalb ist es wahrscheinlich, dass Sie diese Technologie bei mehr und mehr Online-Anwendungen unterschiedlicher Unternehmen antreffen werden. Für eine sicherere Zukunft des Finanzsektors und darüber hinaus!

Genießen Sie bei der Nutzung von Finoms Dienstleistungen das höchste Sicherheitslevel

Finom nutzt Passkeys, um sicherzustellen, dass nur autorisierte Personen auf einen Finom-Account zugreifen können. Möchten Sie mehr über Finoms Palette an Finanzdienstleistungen erfahren? Werfen Sie einen Blick auf die Links im Produkte-Tab am Ende der Website. Wenn Sie mehr über den Login-Prozess bei Finom erfahren wollen, können Sie außerdem unseren ausführlichen Guide über Passkeys lesen.

Die Vorteile höherer Zugriffsanforderungen gehen über den Finanzsektor hinaus. Reduzieren Sie das Phishing- und Hacking-Risiko, indem Sie diese modernen Authentifizierungsmethoden auch für Ihre persönlichen Accounts nutzen.

Kensington VeriMark™ Desktop Fingerprint Key

🔒 Secure Your Workspace with the Kensington VeriMark™ Desktop Fingerprint Key! 🔒

Elevate your security with cutting-edge biometric technology. The VeriMark™ Desktop Fingerprint Key offers business-class security with FIDO U2F and FIDO2 WebAuthn compatibility, plus seamless integration with Windows Hello. Perfect for enterprise PC deployment and compatible with Microsoft services like Office365, Outlook, and more. Protect your data effortlessly!

What is Windows Hello for Business [RESOLVED]

Windows Hello is an advanced authentication technology designed to enable users to access their Windows devices using biometric data or a PIN, eliminating the reliance on conventional passwords. This system offers heightened security through resilient two-factor authentication, resistant to phishing attempts, and includes built-in safeguards against brute force attacks. Additionally, Windows Hello supports FIDO/WebAuthn, allowing users to utilize it for signing in to compatible websites, streamlining the management of multiple complex passwords. Windows Hello for Business serves as an expansion of Windows Hello, catering specifically to enterprise needs by delivering top-tier security and management features. This includes device attestation, certificate-based authentication, and the implementation of conditional access policies. Organizations can deploy policy settings to devices, ensuring they adhere to security standards and compliance requirements. Windows Hello for Business offers a multitude of advantages, including: - Enhanced Protection Against Credential Theft: - Significantly strengthens defenses against credential theft by requiring both the device and the corresponding biometric data or PIN for access. This dual-factor authentication approach increases the difficulty for unauthorized access without the user's awareness. - Phishing and Brute Force Attack Mitigation: - Eliminates vulnerabilities associated with passwords, effectively thwarting phishing and brute force attacks. By utilizing asymmetric credentials generated within the secure confines of Trusted Platform Modules (TPMs), it successfully prevents server breaches and replay attacks. - Simple and Convenient Authentication: - Provides users with a straightforward and convenient authentication method, reinforced by a PIN. This method is not only easily accessible but also secure, as Windows Hello incorporates built-in protection against brute force attempts, and the PIN never leaves the user's device. - Loss Prevention and Device Flexibility: - Ensures users always have access to a secure authentication method (PIN) without the risk of losing physical items like traditional tokens or cards. Moreover, the addition of biometric devices can be seamlessly integrated into a coordinated deployment or allocated to specific users based on organizational needs. Windows Hello for Business employs a robust two-factor authentication mechanism, merging a device-specific credential with a biometric or PIN gesture. This credential is intricately linked to your identity provider, such as Microsoft Entra ID or Active Directory, granting access to organizational applications, websites, and services. During the initial user provisioning phase, Windows Hello conducts a two-step verification process. Subsequently, the user configures Windows Hello on their device, selecting a gesture—either a biometric or a PIN. The user then provides this chosen gesture to validate their identity, and Windows utilizes Windows Hello to authenticate the user. Recognized as two-factor authentication, Windows Hello for Business aligns with the authentication factors of something you have, something you know, and something that's part of you. It encompasses two of these factors: something you have (the user's private key safeguarded by the device's security module) and something you know (your PIN). With compatible hardware, the user experience can be further enhanced by integrating biometrics. By leveraging biometrics, the authentication factor of something you know can be replaced by the factor of something that is part of you, with the added assurance that users can revert to the familiarity of the something you know factor if needed. Biometric Authentication with Windows Hello Windows Hello offers a robust and seamlessly integrated biometric authentication system, leveraging facial recognition or fingerprint matching for secure sign-ins. Employing specialized infrared (IR) cameras and sophisticated software, Windows Hello enhances accuracy while safeguarding against spoofing attempts. Leading hardware manufacturers now ship devices equipped with integrated cameras and fingerprint readers compatible with Windows Hello. On Windows Hello-enabled devices, a simple biometric gesture grants access to users' credentials through: - Facial Recognition: - Utilizes special cameras capable of infrared (IR) vision to distinguish between photographs or scans and live individuals reliably. Various vendors provide external cameras featuring this technology, while numerous laptop manufacturers integrate it into their devices. - Fingerprint Recognition: - Employs a capacitive fingerprint sensor to scan fingerprints, whether integrated into laptops, external devices, or USB keyboards. Most existing fingerprint readers, whether external or integrated, seamlessly work with Windows. - Iris Recognition: - Introduces a scan of the iris using cameras, with HoloLens 2 being the pioneering Microsoft device to incorporate an Iris scanner. Windows securely stores biometric data exclusively on the local device, ensuring that it does not roam or transmit to external servers. This localized storage approach prevents the creation of a single vulnerable point that attackers could exploit to pilfer biometric data. With Windows Hello, the biometric identification data remains confined to the device, offering a robust defense against unauthorized access. Further information https://learn.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/ Read the full article

The best security keys of 2023: Expert tested

Nitrokey 3A NFC features: Open source technologies | Based on Rust | Hardware security includes Secure Boot and ARM TrustZone | Supports multiple operating systems | Firmware updates | Supports FIDO U2F, FIDO2, WebAuthn, OTP, and more  Developed in the Rust language, the Nitrokey 3A NFC security key is based on open source technologies. The key’s cryptographic framework and protocols, Trussed,…

View On WordPress

WebAuthN and Fido for Linux

https://github.com/AlfioEmanueleFresta/xdg-credentials-portal Comments

The Benefits of Digital Identity Verification

In this day and age where mobility and convenience have taken a foothold at the core of mobile network operators’ businesses, there is an increased need to add more and more innovative services while ensuring customer security and trust. This trend has led carriers to implement different solutions to improve how they verify their customers’ identities and create digital identities to access services. One particular challenge that carriers face is enabling customer-centric workflow across all channels and reducing subscription fraud. The good news is that solutions such as FIDO webauthn and automatic ID verification can reduce subscription fraud.

By using digital identity verification in your business, you can benefit in various ways. One of the things that this technology can do is improve customer experience. This not only significantly decreases the enrolment time thanks to the digitalization of the data capture, but it also assures the verification of customer identities (who they really are). Carriers can streamline and digitize workflows, something that helps reduce manual entry and paperwork which could take several days to process while customers get a smoother and faster onboarding experience.

Another benefit of digital identity verification is that it creates customer-centric workflow across channels. Another key success factor is to ensure a consistent experience and integration across different channels. When it comes to in store deployment, the solution needs to adapt to its specific processes by providing an automatic tool to validate customer identity documents in a few seconds. From the other side, when remote solutions are deployed, seamless tools for document capture and biometric solutions such as facial recognition and liveness detection are needed to verify identities and provide instant access to services instead of waiting several hours or even days to access them.

For more information on the benefits of digital identity verification, visit our website at https://loginid.io/

Apple, Google and Microsoft are speeding up the burial of passwords

Apple, Google and Microsoft are speeding up the burial of passwords

You will also be interested [EN VIDÉO] Kézako: how is data encrypted on the Internet? Cryptography is the oldest form of encryption. There are traces of its use until 2,000 BC. This technique still used today, especially on the Web, reveals its mysteries on video thanks to the Kézako program from Unisciel and the University of Lille 1. According to a report by cybersecurity specialist Verizon,…

View On WordPress

Apple, Google et Microsoft accélèrent le mouvement

Apple, Google et Microsoft accélèrent le mouvement

Cela vous intéresse également [EN VIDÉO] Kézako : comment avez-vous crypté les données sur Internet ? La cryptographie est la plus ancienne forme de chiffrement. On retrouve les traces de son utilisation jusqu’à 2000 avant J.-C. Cette technique est encore utilisée aujourd’hui, notamment sur le Web, dévoilant ses mystères dans des vidéos gracieuses dans le cadre du programme Kézako Uniciel et de…

View On WordPress

いきなり全てのレガシーが消え去らないので、パスワードマネージャのマスターパスワードがパスワードレスになるだけで意義は大きい。人類にパスワードは早い

[B! セキュリティ] パスワードマネージャのLastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表。パスワードレスの時代にパスワードマネージャの存在意義はどうなるのか？

iOS 上的 Yubikey

在「Yubico iOS Authentication Expands to Include NFC」這邊看到 iOS 13 上對於 NFC 類的 MFA 會有的進展。

主要是因為之前的 NFC 只有讀取能力，所以 U2F/FIDO2/WebAuthn 之類的應用沒有辦法套用上去：

Previously, NFC on iOS was read-only, which meant that it couldn’t support modern authentication protocols like FIDO U2F, FIDO2/WebAuthn that require both read and write capabilities – but now that has changed.

iOS 13 後開放了 API 可以讀寫，所以有辦法支援這些協定了：

With these…

View On WordPress

W3C approves WebAuthn as the web standard for password-free logins

W3C approves WebAuthn as the web standard for password-free logins

The World Wide Web Consortium (W3C) today declared that the Web Authentication API (WebAuthn) is now an official web standard. First announced by the W3C and the FIDO Alliance in November 2015, WebAuthn is now an open standard for password-free logins on the web. It is supported by W3C contributors, including Airbnb, Alibaba, Apple, Google, IBM, Intel, Microsoft, Mozilla, PayPal, SoftBank,…

View On WordPress

#Google is rolling out this new login mechanism, which it calls “local user verification,” and it uses #Android’s built-in #FIDO2 certified security key feature, W3C WebAuthn and FIDO CTAP to work—designed to offer simpler and more secure authentication for web-based apps. (via Twitter http://twitter.com/TheHackersNews/status/1160970408222289921)

074: FIDO2

@ken5scalさんをゲストに迎えて、FIDO2や、Androidにおけるその実装方法などについて話しました。

podcast feedを購読するか、DLしてお楽しみ下さい。

Show Notes:

DroidKaigi 2019 - Deep Dive to fido.fido2 Packages / ken5scal [EN]

Deep Dive to "com.google.android.gms.fido.fido2" - Speaker Deck

FIDO Alliance

Universal 2nd Factor (U2F) Overview

FIDO UAF Architectural Overview

googlesamples/android-fido: Quickstart sample for the Android FIDO API

Fido  |  Google APIs for Android  |  Google Developers

FIDO/WebAuthNにおけるAndroid SafetyNet AttestationとKey Attestationの違い - Got Some \W+ech?

Android Now FIDO2 Certified, Accelerating Global Migration Beyond Passwords - FIDO Alliance

Contact:

@dexfmpodcast

@hydrakecat

@ken5scal

The Benefits Of Digital Signature Authentication

When it comes to securing your business systems, digital signature authentication is one of the technologies that you should consider implementing. In recent times, the increase in global businesses, online activities of general masses as well as digitalization of paperwork and personal identity have raised cybersecurity concerns. There are so many techniques being used to mitigate cyber threats right now, with a digital signature being one of the best.

Digital signature authentication is being used to ensure a given data has originated from its actual owner. It assures the recipient of the authenticity of a message or digital document. This is done so that the sender cannot deny sending the message and that the contents of the message or document are not changed in the transmission.

A digital signature is not just the binary version of a scanned hand-marked signature. It uses cryptographic encryption techniques for secure communication. It is based on public-key encryption (PKI) and can also be formed using a Hashing algorithm.

There are various benefits that you can get as a result of using digital signature and FIDO WebAuthn technologies in your business. One of them is document confidentiality. Managing and storing signed physical documents can be a very difficult task as they are prone to be tampered with for various reasons, such as being stolen, destroyed by fire (intentionally or accidentally), or any other reason. Thus, they are prone to be tampered with and eventually leading to loss of confidentiality. On the other hand, digital documents are safe from such risks if they are properly signed and back up.

Using digital signatures can also be good for your business reputation. People usually feel security when they deal with businesses using digitally signed documents. This helps improve customer’s experience and enhances the reputation and market value of an organization.

For more information on the benefits of digital signature authentication, visit our website at https://loginid.io/