twitter/github/habrahabr: @herrjemand
Все ниже сказанное является личным мнением автора и ни в коем смысле не выражает позицию его работодателей
Чистая, парольная, аутентификация
В чём проблема?
Взлом базы данных ведет к компрометации пароля
Парольная аутентификация с хешированием и солью
Атака по середине
В чём проблема?
https://twitter.com/durumcrustulum/status/983613760995774464
Безопасное соединение с помощью TLS
БОТЫ
В чём проблема?
Двухфакторная аутентификация на одноразовых паролях
То что я знаю
То что я имею
То что я наследую
Фишинг
В чём проблема?
Универсальная двух-факторная аутентификация
Как можно компрометировать пароль?
В чём проблема?
Пароли это как борщь
Куда ни ступи, он будет везде.
Поговорим о FIDO
Пользователь
Протокол
Транспорт
Пользователь
Протокол
Вызов-ответ
Защита от фишинга
Защита от атаки повтором
Регистрационно зависимые пары ключей
Аттестация
Без Табу: беспарольная аутентификация
Верификация
Аутентификация
Ваш паспорт?
О да! Оболонь светлое!
Аутентификация/Верификация
Парольная аутентификация
Беспарольная аутентификация
Тест на присутствие пользователя
Пользовательская верификация
Пользовательская верификация
FIDO2
Король умер, да зравствует король!
CTAP2
Браузерная
Поддержка FIDO2
UAF
Когда вы банк и PDS2 ваш враг
Подведем итоги
Каковы риски с фидо?
Ресурсы
Вопросы?