Come si utilizza uno smartphone come autenticatore nella nuova specifica di Autenticazione Web?

3

Ho appreso della nuova specifica di autenticazione Web . Sono un po 'confuso su come funzionerebbe il seguente caso d'uso:

Un utente desidera accedere a un'applicazione Web aziendale sul proprio laptop o desktop, utilizzando il proprio smartphone come autenticatore (come definito nella specifica).

Per chiarire ... l'utente dovrebbe digitare il proprio nome utente nell'applicazione Web in esecuzione nel browser sul proprio laptop. Quindi fanno clic su un pulsante che dice qualcosa come "Login senza password con Smartphone". Avrebbero quindi fatto clic su questo pulsante e a quel punto verrebbero visualizzati sullo smartphone per una scansione delle impronte digitali. Al termine di una scansione, verrebbero registrati nel sito. Questo flusso è descritto come un flusso di lavoro di esempio nella specifica qui . Inoltre, Google ha fatto una bella presentazione in cui hanno fornito un esempio di qualcosa di simile, tranne per il fatto che l'applicazione Web che stavano eseguendo era già in esecuzione sullo smart phone (non un desktop o un laptop). Vedi qui . Sono interessato al caso d'uso in cui un utente sta eseguendo un'applicazione web sul proprio laptop o desktop e desidera utilizzare il proprio smartphone come autenticatore.

Questo mi porta alle seguenti domande:

A un livello elevato, qual è il processo per configurare uno smartphone come autenticatore? È possibile farlo? Si tratta di un caso d'uso supportato dall'autenticazione Web?

Quello che sto cercando è un livello molto alto di come in qualche modo si dovrebbe configurare il browser per interagire con il proprio smartphone nello stesso modo in cui lo userebbe quando si usa Yubikey o un altro dispositivo simile. Tutti gli esempi che ho visto utilizzano Yubikeys o altri dispositivi USB come autenticatore per questo particolare caso d'uso, non uno smart phone. Qualsiasi informazione sarebbe utile.

    
posta Rob L 18.06.2018 - 11:59
fonte

3 risposte

1

In base alla introduzione (non normativa):

Other authenticators MAY operate autonomously from the computing device running the user agent, and be accessed over a transport such as Universal Serial Bus (USB), Bluetooth Low Energy (BLE) or Near Field Communications (NFC).

Quindi il client (browser) comunica con l'autenticatore (smartphone) utilizzando USB, BLE o NFC utilizzando Client to Authenticator Protocol (CTAP).

Al momento non sono a conoscenza di alcuna implementazione dell'autenticatore dello smartphone e nessun browser corrente supporta la connessione a un autenticatore su BLE o NFC. Questo indica che il supporto Bluetooth è stato pianificato per Chrome 68, ma I non ho visto alcuna menzione più recente.

    
risposta data 18.07.2018 - 23:39
fonte
0

Dovrai avere alcune app sullo smartphone che manterranno le tue credenziali, non la tua password.

Non appena si tenta di accedere, il back-end del sito dovrà inviare un messaggio allo smartphone con un codice di richiesta speciale e l'applicazione visualizzerà un messaggio con il sito e probabilmente data e ora e dati del browser (tipo di browser e OS, almeno). Quando confermi il tentativo di accesso, l'app restituisce le credenziali e il sito ti consente di accedere.

Possibile? Sì, nessuna sfida tecnica su questo. Google utilizza (se lo imposti per primo) qualcosa del genere su 2FA: spinge un messaggio sul tuo telefono ogni volta che tenti di accedere su un nuovo dispositivo. Il problema è trovare la Trusted Relaying Party che rimarrà nel mezzo tra il tuo sito e lo smartphone del tuo cliente. A meno che ce ne siano solo pochi, nessuno lo utilizzerà, poiché ogni utente dovrà installare decine di app di autenticazione per utilizzare i propri siti. Tutti gli utenti useranno la stessa password per ogni servizio, oppure effettueranno il login con Facebook ...

    
risposta data 18.06.2018 - 21:59
fonte
-1

Tutti i casi che conosco e anch'io uso, uso un fqdn per mfa / 2fa. Il che significa che se si tenta di configurare tale servizio su un Notebook, questo dispositivo deve essere sempre raggiungibile e sempre su Internet sempre sullo stesso file. Di questo non sarà un problema. Ad esempio, alcuni servizi DynDNS installati e aggiornano l'IP di questa Maschine.

    
risposta data 18.06.2018 - 21:19
fonte

Leggi altre domande sui tag