Аккерманн Юрий

Дисклеймер

Все ниже сказанное является личным мнением автора и ни в коем смысле не выражает позицию его работодателей

Содержание:

• Почему пароли это плохо

• Почему МФА провалился

• FIDO и почему это будущее сегодня

• Микро демо

Жизнь паролей в 2020г

Решение?

Мульти!

Факторная!

Аутентификация!

Что такое МФА?

Виды МФА решений

Три основных вида

ВСЕ РЕШЕНО! МОЖЕМ РАСХОДИТЬСЯ!

Тук!

Тук!

Кто там?

Что не так с МФА сегодня?

• Фишинг!
• UX
• Приватность
• Безопасность
• Покрытие
• Бан от NIST

• Фишинг!
• UX
• Общий ключ
• Синхрон. время или счетчик
• Высокая стоимость поддержки

• СТОИМОСТЬ
• Фишинг!
• UX
• Высокая стоимость поддержки
• Хрупкость
• Централизирова-
  ность

Кто они такие Одно-Разовые Пароли на самом деле?

Почему ОРП сегодня бесполезны?

• Боты, масс-фишинг и малварь исчезают

•  
  • Имейл провайдеры хорошо фильтруют масс фишиг, и не плохо отрезают малварь
  • Ботов ловят
  • Малварь это дорого и сложно

• Взамен

•  
  • Целенаправленный фишинг
  • Хорошо организованные хакеры
  • Пользователь сам установит
    малварь

МФА как горящие путевки

РЕШЕНИЕ?

Кратко о FIDO Alliance

• Учережден в 2013году
• Имеет почти 400 членов
• Большие игроки: Google, Microsoft, Visa, Paypal, IBM
• ISO и IETF стандарты
• Ежедневно использую больше млрд людей

Три стандарта

Пользовательский опыт

На уровне кода и железа

Протокол

Протокол: вызов - ответ

Протокол: фишинг

Протокол: повторение

Протокол: приватность

Протокол: аттестация

Методы верификации

Аутентификация и верификация

Решения

Ключи безопасности

Приложения

Платформенные аутентификаторы

Поддержка: браузеры

Поддержка: платформы

Поддержка: сайты и облака

Демо: UAF

Демо: U2F/FIDO2 ключ

Демо: Платформа

Итоги

• Пароли это плохо
• ОРП это практически бессмысленные вложения
• Фишинг становится сложнее детектировать
• Атаки становятся более профессиональными
• FIDO это будущее сегодня
• Есть доступные API, развитая экосистема
• Есть существующие решения
• Есть специалисты

Мы открыты

• Шестилетний опыт работы с FIDO
• Более четырехсот сертификаций
• Сотни проконсультированых компаний
• Прямой опыт разработки решеный на UAF, U2F, FIDO2, Webauthn серверов, клиентов и аутентификаторов
• Опыт работы в Fintech, и интеграции в банковскую среду решений FIDO и PDS2
• Концентрируюсь на бизнес потребностях и еффективности решений. Чушь типа ИИ ФИШИНГ защита не несу.
• За вопросы денег не беру

Ресурсы

• https://habr.com/ru/users/herrjemand/posts/
• https://medium.com/webauthnworks
• https://github.com/herrjemand/awesome-webauthn
• https://github.com/fido-alliance/how-to-fido/blob/master/HowToFIDO.md
• https://developers.yubico.com/WebAuthn/
• https://slides.com/herrjemand
• https://slides.com/webauthnworks

Спасибо за просмотр!