FIDO2 это смарт-карта заменительно!

Аккерманн Юрий

Специалист в сфере информацинной безопасности и аутентификации

twitter/medium: @webauthnworks

CEO WebAuthn Work LTD, Новая Зеландия

Менеджер технической сертификации FIDO Alliance

yuriy@webauthn.works

twitter/habr: @herrjemand

Дисклеймер

Все ниже сказанное является личным мнением автора и ни в коем смысле не выражает позицию его работодателей

Содержание:

  • Кто такой он FIDO2?

  • Как работают смарт-карты

  • Пошагово избавляемся от карт

    • Меняем устройства

    • Выбираем архитектуру

    • Windows Hello for Business

    • Ентрепрайз аттестация

FIDO2 последний герой!

  • Последний стандарт FIDO
  • Включаем в себя две спецификации:
    • СTAP2 - низкоуровневый протокол для общения с аутентификаторами
    • WebAuthn - JS API для управления аутентификаторами
  • Так же включает в себя пару важных фичь
    • Беспарольная аутентификация
    • Локальная аутентификация
    • Внешний пин
    • Аутентификация я один клик без имени пользователя
    • И в будущем - ентерпрайз аттестация

Как работают смарт карты?

Избавляемся от смарткарт пошагово

Начинаем со смарт карт

Заканчиваем FIDO2

1. Заменяем смарт карты на мульти-протокольные ключи

  • Поддерживают стандарты PKCS и PIV
  • Поддерживают FIDO2 с требуемым функционалом

2. Решаем какую архитектуру мы хотим

Гибридная
Azure AD Облако + локальный AD

Офисный
локальный AD + FIDO2 с ADFS

  • Легкость интеграции
  • Облачная админ панель
  • Продвинутая поддержка
  • Windows Hello for Business с FIDO2
  • Стоит денег $$$
  • Независимость
  • Гибкость решений
  • Стоит времения на разработку и интеграцию

3. Гибритная интеграция

В итоге:

  • Оффлайн аутентификация
  • Один ключ для веба и компьютера
  • Логин на сайты через Windows Hello
  • Настраиваем ADFS + Azure AD
  • Настраиваем Windows Hello for Business
  • Включаем Group Policies и Device writeback
  • Разрешаем биометрику в AD
  • Включаем FIDO2 в Azure authentication policies
  • Начинаем перерегистрировать пользователей на FIDO2
  • Уменьшаем количество PIV/PKCS в системе

4. Локальная интеграция

В итоге:

  • Логин на сайты через Windows Hello и ключ
  • Нету возможности локального логина с ключом(пока что)
  • Настраиваем ADFS + личный фидо сервер
  • Настраиваем Windows Hello for Business
  • Включаем Group Policies
  • Разрешаем биометрику в AD
  • Начинаем перерегистрировать пользователей на FIDO2
  • Уменьшаем количество PIV/PKCS в системе

5. Будущее

В версии FIDO2.1 есть возможность ентерпрайз аттестации

  • Возможность устанавливать свои специальные сертификаты
  • Отлично когда обязан использовать PKCS/PIV
  • Лучше контроль над инвентарем
  • Приватность сохранена за счет строгих политик(аттестация только доступна для ентрепрайз решений и специальных браузерных политик для очень строго ограниченого количевства сайтов установленого политикой

Примеры

Ссылки

  • https://docs.microsoft.com/en-us/windows/security/identity-protection/hello-for-business/hello-overview
  • https://w3c.github.io/webauthn/#dom-attestationconveyancepreference-enterprise
  • https://docs.microsoft.com/en-us/azure/active-directory/authentication/concept-authentication-passwordless
  • https://www.youtube.com/watch?v=R4JtziRu764

FIDO2 как смарт-карто заменитель

By Webauthn Works

FIDO2 как смарт-карто заменитель

  • 95
Loading comments...

More from Webauthn Works