Разрушаем завесу тьмы над FIDO
или как убить пароли в вебе

qwerty123

1q2w3e4r

12111996kolya

Аккерманн Юрий

Специалист в сфере информацинной безопасности и аутентификации

twitter/medium: @webauthnworks

CEO WebAuthn Work LTD, Новая Зеландия

yuriy@webauthn.works

twitter/habr: @herrjemand

Дисклеймер

Все ниже сказанное является личным мнением автора и ни в коем смысле не выражает позицию его работодателей

Содержание:

  • Почему пароли это плохо

  • Почему МФА провалился

  • FIDO и почему это будущее сегодня

  • Микро демо

Жизнь паролей в 2020г

Легки пароли

Переиспользуем

Фишинг или
haveibeenpwned

14031993valya!

111111

password

любовь

Решение?

Мульти!

Факторная!

Аутентификация!

Что такое МФА?

То что ты
знаешь

То что ты
имеешь

То что ты наследуешь

Виды МФА решений

Три основных вида

СМС

Приложения аутентификаторы

Физические токены, брелки и смарткарты

ВСЕ РЕШЕНО! МОЖЕМ РАСХОДИТЬСЯ!

Тук!

Тук!

Кто там?

Что не так с МФА сегодня?

СМС

Приложения аутентификаторы

Физические токены, брелки и смарткарты

  • Фишинг!
  • UX
  • Приватность
  • Безопасность
  • Покрытие
  • Бан от NIST
  • Фишинг!
  • UX
  • Общий ключ
  • Синхрон. время или счетчик
  • Высокая стоимость поддержки
  • СТОИМОСТЬ
  • Фишинг!
  • UX
  • Высокая стоимость поддержки
  • Хрупкость
  • Централизирова-
    ность

Кто они такие Одно-Разовые Пароли на самом деле?

Защита от ботов!

TaNyALuBoFf

Бот

Сайт

Слитый пароль

ОРП

Почему ОРП сегодня бесполезны?

  • Боты, масс-фишинг и малварь исчезают
  •  
    • Имейл провайдеры хорошо фильтруют масс фишиг, и не плохо отрезают малварь
    • Ботов ловят
    • Малварь это дорого и сложно
  • Взамен
  •  
    • Целенаправленный фишинг
    • Хорошо организованные хакеры
    • Пользователь сам установит
      малварь

БЕЗОПАСНОСТЬ
И
АКРЕДИТАЦИЯ

Бессмысленные вложения

Ложно чувство безопасности

Дополнительные затраты на поддержку

Ужасный пользовательский опыт

МФА как горящие путевки

РЕШЕНИЕ?

Протоколы FIDO!

Нам нужны:

Безопасные

Простые для использования

Открытые

Стандарты

Кратко о FIDO Alliance

  • Учережден в 2013году
  • Имеет почти 400 членов
  • Большие игроки: Google, Microsoft, Visa, Paypal, IBM
  • ISO и IETF стандарты
  • Ежедневно использую больше млрд людей

Три стандарта

UAF

U2F

FIDO2

Мобильные

Браузерные

UAF

  • Фишинг безопасный
  • Беспарольный
  • Верификация транзакции
  • С версии 1.2 совместим с FIDO2

FIDO2

  • Фишинг безопасный
  • Беспарольный
  • Платформенный аутентификатор
  • Обратно совместим с U2F

U2F

  • Фишинг безопасный
  • Только 2й фактор
  • Только железо

Пользовательский опыт

На уровне кода и железа

Протокол

Протокол: вызов - ответ

Протокол: фишинг

Протокол: повторение

Протокол: приватность

Протокол: аттестация

Методы верификации

Аутентификация и верификация

Верификация — процедура проверки истинности знаний

Аутентификация — это процесс проверки подлинности чего-либо

Masha23121984

Парольная аутентификация

пароль

Аутентификация == верификация

Пароль
Биометрика

Подтверждение

FIDO Аутентификация

Решения

Ключи безопасности

Приложения

Платформенные аутентификаторы

Поддержка: браузеры

Поддержка: платформы

Поддержка: сайты и облака

Демо: UAF

Демо: U2F/FIDO2 ключ

Демо: Платформа

Итоги

  • Пароли это плохо
  • ОРП это практически бессмысленные вложения
  • Фишинг становится сложнее детектировать
  • Атаки становятся более профессиональными
  • FIDO это будущее сегодня
  • Есть доступные API, развитая экосистема
  • Есть существующие решения
  • Есть специалисты

Мы открыты

Сайт еще пилим...

  • Шестилетний опыт работы с FIDO
  • Более четырехсот сертификаций
  • Сотни проконсультированых компаний
  • Прямой опыт разработки решеный на UAF, U2F, FIDO2, Webauthn серверов, клиентов и аутентификаторов
  • Опыт работы в Fintech, и интеграции в банковскую среду решений FIDO и PDS2
  • Концентрируюсь на бизнес потребностях и еффективности решений. Чушь типа ИИ ФИШИНГ защита не несу.
  • За вопросы денег не беру

yuriy@webauthn.works
webauthn.works
@webauthnworks
@herrjemand

Ресурсы

  • https://habr.com/ru/users/herrjemand/posts/
  • https://medium.com/webauthnworks
  • https://github.com/herrjemand/awesome-webauthn
  • https://github.com/fido-alliance/how-to-fido/blob/master/HowToFIDO.md
  • https://developers.yubico.com/WebAuthn/
  • https://slides.com/herrjemand
  • https://slides.com/webauthnworks

Спасибо за просмотр!

Разрушаем завесу тьмы над FIDO

By Webauthn Works

Разрушаем завесу тьмы над FIDO

  • 720