Пароли

MUST

DIE

Аккерманн Юрий

twitter/github/habrahabr: @herrjemand

Специалист по беспарольной аутентификации

Дисклеймер

Все ниже сказанное является личным мнением автора и ни в коем смысле не выражает позицию его работодателей

Немного истории...

до: 1980х

Чистая, парольная, аутентификация

В чём проблема?

Взлом базы данных ведет к компрометации пароля

1980е

Парольная аутентификация с хешированием и солью

1990е

Атака по середине

В чём проблема?

https://twitter.com/durumcrustulum/status/983613760995774464

2000e

Безопасное соединение с помощью TLS

БОТЫ

В чём проблема?

2010e

Двухфакторная аутентификация на одноразовых паролях

Три фактора аутентификации

То что я знаю

То что я имею

То что я наследую

Фишинг

В чём проблема?

2014й

Универсальная двух-факторная аутентификация

Как можно компрометировать пароль?

В чём проблема?

Пароли это как борщь

Куда ни ступи, он будет везде.

Поговорим о FIDO

Пользователь

Протокол

Транспорт

Пользователь

Протокол

Вызов-ответ

Защита от фишинга

Защита от атаки повтором

Регистрационно зависимые пары ключей

Аттестация

Без Табу: беспарольная аутентификация

Верификация

Аутентификация

Ваш паспорт?

О да! Оболонь светлое!

Аутентификация/Верификация

Парольная аутентификация

Беспарольная аутентификация

Тест на присутствие пользователя

Пользовательская верификация

Пользовательская верификация

FIDO2

  • Веб ориентированный протокол
  • Ключики безопасности
  • Обратная совместимость с U2F
  • Все ваши виндовсы и адроиды теперь FIDO2 аутентификаторы
  • Легкий JS API. Большое комьюнити. Много опен соурса
  • Поддерка AzureAD. Можно входить в ноуты по ключику.
  • С 2020го можно использовать для гибридных решений. Давай до свидания PIV

Король умер, да зравствует король!

CTAP2

Браузерная
Поддержка FIDO2

UAF

  • Ориентирован на мобильную среду
  • Самый используемый протокол FIDO.
    (est 800млн пользователей)
  • Поддержка криптографического подтверждения тразнзакций (показал, отпечаток, подписал)
  • Гибкость решений для всевозможных сценариев
  • iOS и Android
  • Большой рынок коммерческих решений.
  • Мало опенсоурса :(

Когда вы банк и PDS2 ваш враг

Подведем итоги

  • FIDO единственно решение против фишинга
  • Огромный рынок решений
  • FIDO2 хорош для веба
  • UAF хорош для мобильных решений
  • Пароли мастдай но не так как вы думали
  • Мы открыты для бизнеса :) yuriy@webauthn.works

Каковы риски с фидо?

Ресурсы

Вопросы?

Пароли Must Die - Ноябрь 2019

By Ackermann Yuriy

Пароли Must Die - Ноябрь 2019

  • 1,743