ARPASS
→ Apri Arpass
ARPASS
→ Apri Arpass
"Passkey", "chiave pubblica", "AES", "PWA"… il mondo della sicurezza è pieno di sigle. Eccole in linguaggio semplice, con le forme complete scritte e un'analogia quotidiana dove utile.
Una coppia di chiavi. La chiave pubblica può essere condivisa in sicurezza — pensala come un lucchetto che chiunque può usare. La chiave privata è l'unica che apre quel lucchetto, e non la dai mai. Con questa coppia puoi scambiare cose in sicurezza senza mai inviare la chiave stessa.
Un modo di accesso senza password. Una chiave vive nel tuo telefono, PC o in una chiave di sicurezza come una YubiKey. Il modo in cui dimostri di essere tu dipende dal dispositivo — telefoni e PC usano impronta digitale o riconoscimento facciale, mentre una YubiKey usa "tocca il contatto metallico" più PIN se richiesto (nota: le YubiKey comuni non hanno sensore di impronte). Niente da memorizzare e molto difficile da phishare.
Gli standard che fanno funzionare le passkey nei browser. Definiscono come un sito chiede al browser di "verificare questo utente con il suo dispositivo o chiave". FIDO2 è la famiglia più ampia di specifiche sottostanti.
Un modo per estrarre su richiesta "lo stesso valore segreto, ma unico per questa chiave" da una YubiKey. Arpass lo usa per derivare una chiave di cifratura separata per ogni YubiKey registrata.
Richiedere una verifica aggiuntiva oltre la password — un codice sul telefono, un tap YubiKey, ecc. "Due serrature sulla porta." MFA è il termine più generale e significa due o più fattori combinati.
Un codice numerico usa-e-getta che cambia ogni 30 secondi circa. Anche se rubato, scade in fretta. Usato comunemente per il 2FA.
La cifratura trasforma i dati in qualcosa di illeggibile con una chiave. La decifratura la inverte con la chiave. Tutto qui.
Il metodo di cifratura più diffuso oggi. La stessa chiave cifra e decifra ("cifratura simmetrica"). "AES-256" significa chiave da 256 bit — molto forte.
Entrambi sono metodi di cifratura a chiave pubblica. RSA è il classico di lunga data (dal nome dei tre inventori). ECC è più recente e usa chiavi più corte a parità di forza, quindi sta diventando dominante su telefoni e YubiKey. La matematica è intricata; non serve capirla per usarla.
Trasforma i dati in una stringa "impronta" di lunghezza fissa. Lo stesso input produce sempre la stessa impronta, ma non puoi tornare all'input dall'impronta. Usato per rilevare manomissioni e confrontare elementi.
Un modo per produrre in sicurezza chiavi specifiche per scopo da un segreto sottostante. La disciplina di non riutilizzare lo stesso segreto direttamente per tutto.
Futuri computer ultra-potenti che, in teoria, potrebbero rompere la crittografia a chiave pubblica attuale (RSA, ECC). PQC è la prossima generazione di crittografia progettata per resistere loro. Oggi non è una minaccia pratica.
Un piccolo dispositivo fisico USB / NFC che contiene chiavi di accesso. YubiKey è il marchio più noto. Poiché la chiave vive fisicamente nella tua mano, è molto forte.
La usi toccando il contatto metallico, più PIN quando richiesto. Le YubiKey comuni (serie 5 e serie Security Key) non hanno sensore di impronte. (Yubico produce anche una linea "YubiKey Bio" separata che ha l'impronta, ma è una linea di prodotto diversa.)
Wireless a brevissimo raggio. Il tipo di comunicazione del "tocca il telefono con una YubiKey". Stessa famiglia di tecnologia delle carte di trasporto contactless.
Un'area isolata e dedicata dentro un telefono o PC che archivia chiavi con protezioni extra. I dati di impronta / volto e le chiavi del dispositivo vivono qui e non escono. (È integrato in telefoni e PC — non è la stessa cosa di una YubiKey.)
Un hardware dedicato che gestisce le chiavi senza mai farle uscire. Usato lato server da banche e grandi servizi.
Uno standard di lunga data per cifrare e firmare email e file. Basato sull'originale "PGP" (Pretty Good Privacy). YubiKey può contenere queste chiavi.
Uno standard di verifica dell'identità stile "smartcard", originariamente per i dipendenti del governo statunitense. Usato per login PC aziendali, tra l'altro. YubiKey lo supporta.
Un modo per far comportare un sito web come un'app. "Aggiungi alla schermata Home" crea un'icona che avvia il sito a schermo intero. Non passa da uno store di app.
Un piccolo programma che gira in background per una pagina web. Usato per il supporto offline e per qualificare un sito come PWA.
Un piccolo "file di configurazione" per una PWA. Elenca nome dell'app, icone e come deve essere avviata. Permette al browser di trattare il sito come un'app.
Un modo per avvolgere un sito web in un "guscio app" Android così da poterlo elencare su Google Play.
Acquistare beni digitali all'interno di un'app usando la fatturazione di Apple / Google. Quegli store prendono una commissione.
Un'impostazione di sicurezza che dice a una pagina web "puoi caricare script e immagini solo da questi posti". Aiuta a impedire l'esecuzione di script malevoli iniettati.
Un design in cui l'operatore del servizio non può vedere (né raggiungere) i contenuti dei tuoi dati. La cifratura avviene interamente nel tuo browser; l'operatore vede solo byte cifrati. Arpass usa questo design.
"Blockchain" è un modo di archiviare dati in modo distribuito e molto difficile da alterare o cancellare. Arweave è un tipo specifico di archiviazione blockchain in cui ciò che scrivi resta scritto, permanentemente. Arpass archivia qui i tuoi dati cifrati.
In Arpass, la chiave maestra che cifra effettivamente i tuoi dati. La MEK stessa è poi avvolta (cifrata) dalla tua password, YubiKey e altri "fattori", quindi non è mai nuda.
Il codice di recupero di Arpass. La soluzione di ultima istanza se perdi tutti i dispositivi e le chiavi. Stampato su carta e conservato in sicurezza. (La modalità solo-YubiKey non usa Recovery Secret.)