CertiVox ha progettato un sistema con l'obiettivo di "eliminare le password".
Essenzialmente il sistema autentica gli utenti con due fattori di autenticazione: un PIN di 4 cifre e un token memorizzati nella memoria HTML5 del browser. C'è anche la possibilità di autenticare con un telefono cellulare immettendo un codice di accesso unico che viene visualizzato sullo schermo del computer sul sito Web con cui si sta tentando di autenticarsi. Credo che ciò richieda anche la presenza del token di archiviazione HTML5. Suppongo che una sorta di chiamata interdominio consentirà al JavaScript di ottenere ciò di cui ha bisogno per convalidare il token memorizzato nell'origine del server di autenticazione in entrambi i casi.
Non esiste un database delle password in quanto il sistema utilizza la crittografia e la prova della conoscenza zero per poter autenticare l'utente con il servizio al quale si sta effettuando l'accesso. I tasti sono suddivisi tra il loro server principale e il tuo server hostato (nel caso di SSO M-PIN).
CertiVox è la stessa società che gestiva PrivateSky, che era rimosso alla fine del 2013 . C'è una domanda relativa a PrivateSky qui ( Come può PrivateSky non vedere il tuo dati? ) e sembra avere somiglianze nel modo in cui funziona con M-PIN. Vedi Brian dalla risposta di CertiVox qui .
Alla prima impressione mi ricorda ciò che SQRL cerca di ottenere. I post correlati a SQRL sono qui:
- Potrebbe SQRL essere davvero sicuro come dicono ?
- Come avviene l'attacco MITM (Man in the middle) rispetto a SQRL
Una pagina che copre M-PIN in profondità è qui .
I miei pensieri sono:
- Lo scenario MITM non è possibile come con SQRL perché il MITM non avrà il token nel browser.
- Poiché il token è memorizzato nel browser, diventa l'obiettivo principale per qualsiasi utente malintenzionato.
- La voce PIN nel browser è suscettibile alla navigazione a spalla, anche se inutile senza il token del browser.
- Un attacco di phishing potrebbe recuperare il PIN, ancora inutile senza il token del browser.
Le mie supposizioni sopra sono corrette? Ci sono altri punti deboli o vantaggi rispetto all'utilizzo di qualcosa come LastPass Enterprise (ad esempio utilizzando password generate al 100% con entropia a 128 bit e login Yubikey 2FA per LastPass)?