Пароли
MUST
DIE
Аккерманн Юрий
twitter/github/habrahabr: @herrjemand
Специалист по беспарольной аутентификации
Дисклеймер
Все ниже сказанное является личным мнением автора и ни в коем смысле не выражает позицию его работодателей
Немного истории...
до: 1980х
Чистая, парольная, аутентификация
В чём проблема?
Взлом базы данных ведет к компрометации пароля
1980е
Парольная аутентификация с хешированием и солью
1990е
Атака по середине
В чём проблема?
https://twitter.com/durumcrustulum/status/983613760995774464
2000e
Безопасное соединение с помощью TLS
БОТЫ
В чём проблема?
2010e
Двухфакторная аутентификация на одноразовых паролях
Три фактора аутентификации
То что я знаю
То что я имею
То что я наследую
Фишинг
В чём проблема?
2014й
Универсальная двух-факторная аутентификация
Как можно компрометировать пароль?
В чём проблема?
Пароли это как борщь
Куда ни ступи, он будет везде.
Поговорим о FIDO
Пользователь
Протокол
Транспорт
Пользователь
Протокол
Вызов-ответ
Защита от фишинга
Защита от атаки повтором
Регистрационно зависимые пары ключей
Аттестация
Без Табу: беспарольная аутентификация
Верификация
Аутентификация
Ваш паспорт?
О да! Оболонь светлое!
Аутентификация/Верификация
Парольная аутентификация
Беспарольная аутентификация
Тест на присутствие пользователя
Пользовательская верификация
Пользовательская верификация
FIDO2
- Веб ориентированный протокол
- Ключики безопасности
- Обратная совместимость с U2F
- Все ваши виндовсы и адроиды теперь FIDO2 аутентификаторы
- Легкий JS API. Большое комьюнити. Много опен соурса
- Поддерка AzureAD. Можно входить в ноуты по ключику.
- С 2020го можно использовать для гибридных решений. Давай до свидания PIV
Король умер, да зравствует король!
CTAP2
Браузерная
Поддержка FIDO2
UAF
- Ориентирован на мобильную среду
- Самый используемый протокол FIDO.
(est 800млн пользователей) - Поддержка криптографического подтверждения тразнзакций (показал, отпечаток, подписал)
- Гибкость решений для всевозможных сценариев
- iOS и Android
- Большой рынок коммерческих решений.
- Мало опенсоурса :(
Когда вы банк и PDS2 ваш враг
Подведем итоги
- FIDO единственно решение против фишинга
- Огромный рынок решений
- FIDO2 хорош для веба
- UAF хорош для мобильных решений
- Пароли мастдай но не так как вы думали
- Мы открыты для бизнеса :) yuriy@webauthn.works
Каковы риски с фидо?
Ресурсы
- Specs: https://w3c.github.io/webauthn/#CreateCred-DetermineRpId
- CTAP2: https://fidoalliance.org/specs/fido-v2.0-ps-20190130/fido-client-to-authenticator-protocol-v2.0-ps-20190130.html
- https://github.com/herrjemand/awesome-webauthn
- https://developer.mozilla.org/en-US/docs/Web/API/Web_Authentication_API
- https://fidoalliance.org/specs/fido-uaf-v1.1-ps-20170202/fido-uaf-protocol-v1.1-ps-20170202.html
Вопросы?