Mozilla: Google Konti, Android udløser Firefoxs 'adgangskodeløse' login-planer

  • Aug 30, 2023

Firefox vil få understøttelse af den ældre sikre login-standard FIDO U2F i kommende udgivelser.

Firefox-producenten Mozilla vil gerne gå videre med ny WebAuthn-standard for mere sikre og nemmere hjemmeside-login. Men i stedet har browserproducenten besluttet at tage et skridt tilbage og aktivere en ældre sikker login-standard – WebAuthns forgænger, FIDO U2F.

Grunden? Google Konti understøtter endnu ikke fuldt ud WebAuthn, fordi millioner af Android-enheder, der i øjeblikket er i brug, aldrig kan understøtte det.

WebAuthn var først ratificeret i sidste måned men understøttes allerede af Google Chrome, Microsoft Edge, Firefox og preview-versionen af ​​Apples Safari samt Android og Windows 10.

Standarden giver brugere mulighed for at logge ind på et websted ved hjælp af biometriske id'er, såsom et fingeraftryk eller en ansigtsscanning gemt på en pc eller smartphone.

WebAuthn er efterfølgeren til FIDO U2F API, som giver brugerne mulighed for at logge ind på Google Konti og andre websteder med en fysisk sikkerhedsnøgle, såsom en Yubikey. Teknikindustrien ser generelt gerne, at den nyere standard bliver vedtaget så hurtigt som muligt for at få den i gang.

Som Mozilla-kryptograf JC Jones forklarer, er WebAuthn "vores bedste tekniske svar på legitimationsphishing".

"Det er derfor, vi har kæmpet for det som en teknologi," skrev han i et indlæg forklarer, hvorfor Mozilla nu vil tilføje bagudkompatibilitet til FIDO U2F API i Firefox, selvom det er en forældet, ældre standard med mere begrænsede loginmuligheder.

"Vi opfordrer til brugen af ​​webgodkendelse i stedet for FIDO U2F API. Nogle store webejendomme støder dog på problemer med at migrere: WebAuthn arbejder med sikkerhedsoplysninger produceret af FIDO U2F API," skrev Jones.

"Men WebAuthn-producerede legitimationsoplysninger kan ikke bruges med FIDO U2F API. For de berørte enheder kan dette føre til dårlige brugeroplevelser og hæmme overordnet brug af denne kritiske teknologi."

Disse store webejendomme er Google-websteder som Gmail, som milliarder af brugere logger ind på via Google-konti, som i øjeblikket ikke understøtter registrering af sikkerhedsnøgler oprettet med WebAuthn.

SE: Sådan opbygger du en succesfuld udviklerkarriere (gratis PDF)

Jones forklarer på en Mozilla mailingliste at den vigtigste hindring ligger i det store antal Android-enheder, der ikke kan opdateres med WebAuthn-sikkerhedsnøgleunderstøttelse.

"Vi har for nylig erfaret, at Google-konti har forsinket deres tidsplan for brug af webgodkendelse til at registrere nye legitimationsoplysninger. Denne forsinkelse tilskrives, at sikkerhedsnøgleunderstøttelse på Android, for de fleste enheder, ikke kan opgraderes," skrev kryptografen.

"WebAuthn er bagudkompatibel med legitimationsoplysninger produceret af FIDO U2F API. WebAuthn-producerede legitimationsoplysninger kan dog ikke bruges med FIDO U2F API. På grund af det vil legitimationsoplysninger, der er oprettet ved hjælp af WebAuthn, aldrig være brugbare på de fleste FIDO U2F-only Android-enheder, der i øjeblikket er i omløb." 

Firefox har haft eksperimentel understøttelse af FIDO U2F API siden Firefox 57, udgivet i november 2017. Men på grund af Android- og Google Accounts WebAuthn-problemet vil FIDO U2F være aktiveret som standard for alle Firefox-brugere, startende med Firefox Nightly 68 og Firefox 67 beta, som udkommer i næste uge.

Flytningen følger efter debat blandt Mozilla-udviklere i hele marts om, hvem der har skylden, og hvilken part der skal løse problemet.

Mozilla ser Google-konti som afgørende for at tillade Firefox-brugere at logge ind med WebAuthn, fordi G Suite- og Gmail-brugere er den største population af brugere, der er afhængige af sikkerhedsnøgler for at logge ind. Men Jones bemærker også, at Mozillas støtte til FIDO U2F overlader det til Googles nåde at beslutte, hvornår den nye standard skal understøttes.

Sikkerhed

  • 8 vaner hos yderst sikre fjernarbejdere
  • Sådan finder og fjerner du spyware fra din telefon
  • De bedste VPN-tjenester: Hvordan sammenligner top 5?
  • Sådan finder du ud af, om du er involveret i et databrud – og hvad du skal gøre nu

"Det ser ud til, at den eneste måde, hvorpå vi får Firefox-brugere af Google-konti fuldt ud i stand til at bruge sikkerhedsnøgler, er at aktiver FIDO U2F API-understøttelse, så de nævnte brugere kan tilmelde sig via FIDO U2F API og derefter autentificere via … ja, enten. Vi bliver nødt til at stole på, at Google vil udrulle autentificering-via-WebAuthn hurtigt af hensyn til standarden fremover." 

Da skylden vendte sig til Google, vejede Alexei Czeskis fra Googles identitets- og sikkerhedsteam ind for at forklare, at det ikke kan skifte til WebAuthn, før nok ældre Android-enheder flytter ud af cirkulation.

Czeskis sagde, at det at holde ud med WebAuthn ikke har noget at gøre med virksomhedens motivationsniveau, som er "højt".

"Dette har at gøre med OEM-brændte billeder på Android-enheder, der allerede er afsendt, og livscyklussen for disse enheder ude i marken. Uden at gå ind i for mange detaljer, for ikke at låse brugere ude af deres enheder, kan vi ikke skifte U2F-register til WebAuthn create(), før der er tilstrækkelig churn i Android-enheder. Du kan forvente, at WebAuthn get() kommer meget hurtigere, da det ikke er påvirket," sagde han.

"Igen, dette sker kun på grund af, hvordan koden, der tilføjer konti, er brændt ind i visse enheder. Der er ingen andre hjemmesider, som jeg er bekendt med, der er i en lignende uheldig situation. Så jeg håber (og tror stærkt på), at dette skridt ikke vil tilskynde til mere brug af U2F (over WebAuthn)."

Mozillas Jones bemærkede, at hans organisation ikke vil behandle ufuldstændige dele af Firefoxs implementering af FIDO U2F.

"Med stigningen i brugen af ​​biometriske mekanismer såsom ansigtsgenkendelse eller fingeraftryk i enheder, fokuserer vi vores støtte på WebAuthn. Det giver et sofistikeret niveau af autentificeringer og kryptografi, der vil beskytte Firefox-brugere," skrev han.

"Det er vigtigt, at internettet flytter til webgodkendelse i stedet for at bygge nye muligheder med den forældede, ældre FIDO U2F API."

Mere om WebAuthn og sikkert login

  • W3C færdiggør Web Authentication (WebAuthn) standard
  • Apple dræber webadgangskoder? Safari prøver WebAuthn-login på macOS
  • Windows 10: Microsofts plan om at dræbe adgangskoder fortsætter med ny testbuild
  • Windows 10 rykker tættere på at dræbe adgangskoder med Edge WebAuthn-logins
  • Der opstår bekymringer om sikkerheden i den nye WebAuthn-protokol
  • MWC 2019: Din fremtidige Android-telefon, apps behøver ingen adgangskode
  • YubiKey: Beskyt dine Facebook-, Google- og andre onlinekonti med denne hardwaregodkendelsesnøgle
  • Sådan gør du dine apps adgangskodeløse med Microsoft Authenticator og FIDO2 TechRepublic
  • Firefox flytter browsere ind i fremtiden efter adgangskode med WebAuthn-teknologi CNET