Комментарии 23
Советую почитать мою статью по FIDO2 https://habr.com/ru/post/354638/.
Биометрика нигде не передается, это правильно. Только подпись. Пароли только пример как мы делает аутентификацию сегодня.
никакой информации об отпечатках никуда не передается даже в виде хэша.
Я бы удивился, если бы гугл пытался привлечь людей сервисом, который собирает их данные с первого же дня. Тут все по учебнику. Данные надо начать аккумулировать только после набора достаточной аудитории.
У гугла нету доступа к отпечаткам. Они используют шведские FPC сенсоры, которые CC сертифицированы, так что никто не имеет доступа к отпечатка ним.
Более того, данные об отпечатках в общем случае не совместимы между устройствами (не думаю, что эффективно в качестве таких данных хранить картинку)
Я собственно ответственный за техническую сертификацию в FIDO Alliance. Для тех кому интересно вот моя статья по FIDO2 https://habr.com/ru/post/354638/. Если есть вопросы, спрашивайте*)
Что происходит с продуктом, у которого отозвали сертификат альянса? У меня был дешёвый USB FIDO ключ какого-то французского стартапа. В какой-то момент он просто перестал распознаваться гуглом. Я решил посмотреть на сайте производителя, может там ответ. Оказалось, что уж ни сайта ни упоминаний о нем нет. Будто и не существовало. Собственно вот… это совпадение, или можно как-то превратить токен в тыкву признав его невалидным?
У аутентификатора есть аттестационный сертификат который устанавливается производителем, фидо тут не при чем. Стандартно он на десять лет. Для сайтов которые используют аттестацию, этот аутентификатор врядли будет работать. Для большинства сайтов которые не используют аттестацию, проблем не должно быть.
А какой смысл от этого? Можно же фейковый ответ отправить со "специально подготовленного устройства". Сверять-то не с чем.
Аналогия: рабочая станция в домене AD или компьютер с Windows 8+ с инфраструктурой microsoft. То есть, фактически вы предлагаете самой жертве атаки подготовить инфраструктуру для этой атаки.
P.S. минусовал не я
Пользователи на Android теперь могут входить в сервисы Google по отпечатку пальца