FIDO: qual è il vantaggio del parametro challenge?

Il modello challenge-response è progettato principalmente per prevenire gli attacchi replay , in cui un utente malintenzionato annusa un pacchetto di autenticazione e poi lo riproduce all'interno della propria sessione per ottenere l'accesso non autorizzato.

Come hai notato, un token random controllato dal server (chiamato "server nonce" nella maggior parte dei protocolli) che deve essere firmato per l'autenticazione rende quasi infinitamente improbabile che un utente malintenzionato sia in grado di riprodurre un pacchetto di autenticazione per ottenere l'accesso.

Tuttavia, un ulteriore vantaggio è che lo schema forma una sorta di prova della password con zero conoscenze , in cui la conoscenza di un segreto può essere dimostrata al server, senza mai trasferire il vero segreto sulla rete. Ciò significa che un intercettatore di rete deve interrompere lo schema di risposta alla sfida (ad es. Tramite attacco bruteforce) per scoprire il segreto.

Thomas Pornin ha fornito un eccellente riassunto di entrambi i server nonce e client nonces in un'altra domanda , che lo riassume molto più chiaramente di quanto potessi sperare.

FIDO è una tecnologia zoppa e inutilmente complessa che è stata creata solo perché un gruppo di società ha bisogno di qualcosa con cui fare soldi. Dovresti invece investigare su SQRL, che non è destinato a creare profitti per le aziende.

SQRL rende l'autenticazione semplice e sicura. Farà sì che le password vadano via ma nessuna società o governo la controlleranno. FIDO potrebbe comunque essere usato in teoria per bloccarti dal tuo computer ...

Se ti preoccupi della privacy, della sicurezza e della proprietà di ciò che acquisti, utilizza SQRL.