Стандарт Web Authentication API: беспарольная аутентификация в вебе

[shifttstas]

Сканер лица — это очень дорого, что бы он работал хоть как-то безопасно — нужна схема как в Microsoft Kinect / iPhone X т.е с проекцией множества точек, а не только обычная камера. Таким образом дешёвая техника сразу не подойдет. А дорогая техника сейчас и так имеет биометрические датчики — сканеры отпечатков пальцев есть в каждом телефоне, я догадываюсь, что используя данный стандарт можно использовать эти датчики.

[smad2005]

Самый дешёвый аналог yubikey видел за 7 баксов, но в отзывах писали, что он хлипкий. Я тоже купил пару ключей, но зря. Так как есть альтернативные способы восстановления (у гугла: смс, otp, доверенное устройство, и спец коды). Во всех сервисах нельзя просто юзать юбикей, обязательно нужно подключить смс или otp. На данный момент не вижу причин покупать второй ключ (как резерв)

[alfa]

Это не так, в случае Google, Вы можете воспользоваться Advanced Protection landing.google.com/advancedprotection привязать два ключа и отменить все остальные методы восстановления пароля и альтернативного входа.

[smad2005]

У меня и так привязано 2 ключа, Когда перешел по ссылке. Он пишет, что привязано 0.
Когда попробывал добавить, то пишет: «Ваш браузер не поддерживает эту функцию. Попробуйте ещё раз в Chrome.» Зачем оно мне надо, если оно работает только в хроме (я пользуюсь только лисой)

[smad2005]

Все таки решил попробывать в хроме, действительно дало удалить номер телефона. Из минусов, все таки хотелось оставить google authenticator. + через OTG только с 3 попытки дало войти на телефоне

[zim32]

В чем революция? Что мешало повсеместно использовать для всех пользователей Гугл Аутентикатор?

[nmk2002]

Принципиально отличие очень большое. В случае с Google Authenticator на сервере хранится так называемый seed, на основании которого происходит генерация одноразового кода. А значит, что теоретически все учетные записи пользователей могут быть централизованно скомпрометированы. В случае с U2F вы используете асимметричную криптографию — на сервер отдается ваш открытый ключ и потом вы просто подписываете запросы аутентификации своим закрытым ключом. Любая компрометация сервера не приведет к утечке вашего закрытого ключа. Таким образом удается избежать такой неприятности как массовая утечка.
Еще токен Google Authenticator может быть скопирован, а криптографические чипы скопировать гораздо сложнее (обычно считается, что закрытый ключ неизвлекаем).

[zim32]

Ничего не хнанится там. Он работает без интернета вообще

[zim32]

Тут я не прав. Хранится. Ну по поводу ключец я ещё три года назад делел аутентификацию натоснове сертификата в браузере. Опять в чем тут революция?

[nmk2002]

Обычная аутентификация по сертификатам не стала популярной из-за ее неудобств и обычно она основана на том, что каждый сервис выпускает свой сертификат. За каждым сертификатом надо следить, перевыпускать, отзывать. А тут у вас будет одна пара ключей, которую примут все сервисы, поддерживающие стандарт, и привяжут к вашей учетной записи.
Революция в том, что теперь использовать асимметричную криптографию для аутентификации станет намного проще обеим сторонам: пользователям и сервисам.

[zim32]

Звучит красиво. Боюсь только что основная цель собрать как можно больше биометрических данных и усиление контроля над обществом.

[nmk2002]

При чем тут сбор биометрических данных? Биометрия вообще не входит в стандарт, а скорее частный пример реализации. Даже если вы решили использовать отпечаток для подтверждения аутентификации, обычно он проверяется локально на устройстве и никто его не «собирает». Централизованные системы биометрической аутентификации — почти всегда не очень хорошая идея.

[zim32]

Но по факиу будут телефоны м отпечптком и сканером глаза и ноутбуки с теми же датчиками. И что выберет рчдовой пользователь? Какой-то там токен на флешке или биометрию?

[nmk2002]

Повторю только то, что уже написал: биометрия в подобных решениях проверяется локально на аутентификаторе, а не собирается централизованно. Поэтому нелогично говорить про сбор биометрических данных как цель описанных стандартов аутентификации.

[zim32]

Не знаю как вы но я не верю ни производителям электроники ни крупным айти компаниям. Надеяются что биометрия не утечет довольно наивно.

[serf]

Чтобы сгенерировать OTP токен интернет не нужен, вот можно здесь порыться для примера github.com/hectorm/otpauth

[nmk2002]

Почему вы мне это написали?

[serf]

В случае с Google Authenticator на сервере хранится так называемый seed, на основании которого происходит генерация одноразового кода.

[nmk2002]

Понял, что вы имеете в виду. Спасибо. Дело в том, что одно и то же значение секрета (seed) хранится и в генераторе и на сервере. При аутентификации сервер просто генерирует OTP аналогично тому, как это происходит в генераторе OTP. И сравнивает с полученным. Интернет тут не требуется. Но я про это и не пишу. А пишу про то, что есть центральная база с общими секретами. В случае с асимметричной криптографией такой базы нет.

[serf]

Я тоже не совсем верно понял сообщение. Да, очевидно на сервере сервиса на который происходит аутентификация тоже хранится сид чтобы таким же образом как на стороне клиента сгенерировать токен и потом сравнить с полученным от клиента.

[smad2005]

В windows 10 ещё не работает (нельзя добавить в windows hello новый yubico security key)

[nmk2002]

те же токены YubiKey поддерживают аппаратные пинкоды, которые неизвестны серверу, в отличие от обычных смарт-карт

Не могли бы вы пояснить? Разве PIN коды от смарт-карт надо хранить на сервере?

[bodqhrohro]

Теперь очередь Google, Mozilla и Microsoft

А что, Apple уже списали со счетов? Webkit, допустим, не поспевает за лидерами браузерного рынка, но не то чтобы сильно…

[serf]

Никто не пробовал открытую альтернативу YubiKey (на амазоан по 8$ продается)? Вот обсуждают обновление контроллера для поддержки FIDO2 github.com/conorpp/u2f-zero/issues/76