Utilizzo di Fido U2F o simile come metodo di autenticazione principale?

3

Mi sono interrogato su questo per un po ', ma non sono riuscito a trovare molto sul web, quindi spero che qualcuno possa indicarmi la direzione giusta per una migliore comprensione di questo argomento.

Sarebbe utile / sicuro utilizzare qualcosa come un dispositivo Fido U2F come metodo di autenticazione principale (principalmente pensando alle app Web qui, ma probabilmente non solo)?

Ho usato i certificati SSL sul lato client per questo, ma naturalmente ciò richiede la configurazione del client; So che lo stesso dovrebbe essere possibile usando una smartcard standard, ma ovviamente molti dispositivi al giorno d'oggi non dispongono di un lettore di smart card. I tasti Fido sembrano il perfetto fattore di forma per portare in giro una coppia di chiavi privata senza bisogno di un lettore; per i dispositivi mobili potresti usare solo NFC (come yubikey più recente) o un adattatore "on the go" integrato.

Ora capisco il problema del furto della chiave, ma immagino che possa essere risolto / attenuato usando un PIN per sbloccare la chiave, come con la maggior parte delle smartcard. Come ulteriore misura di sicurezza, i siti Web potrebbero chiedere una password come "2 ° fattore". Ciò significherebbe, naturalmente, dover ricordare una password, ma solo per quei sistemi veramente criptici si vuole assolutamente essere ben protetti.

Nella mia speranza, qualcosa del genere potrebbe aiutare a migliorare notevolmente sia dal punto di vista della sicurezza che a ridurre l'attrito di accesso (per gli utenti) e la complessità (anche per gli implementatori).

Ora, c'è qualche problema importante / blocco stradale in questo modo? Sembra quasi che i browser siano già in grado di utilizzare una smartcard per l'autenticazione, l'unica cosa che manca sarebbe sviluppare un dispositivo reale (supponendo che non sia possibile aggiungere un PIN ai dispositivi Fido).

    
posta redShadow 01.02.2017 - 14:43
fonte

1 risposta

1

In effetti! Io uso / costruisco / distribuisco sia le soluzioni PKI standard per smart card (certificato client SSL, applet, plugin per browser, middleware ...) sia le soluzioni PKI semplificate FIDO U2F e FIDO U2F funziona benissimo anche come metodo di autenticazione primario.

Può essere utilizzato come autenticazione primaria tramite una pagina di url di accesso condivisa con nome utente e FIDO U2F o tramite un URL di accesso unico per utente (per identificare il nome utente senza nemmeno chiedere) con FIDO U2F. Un altro caso d'uso non standard, ma soluzione semplice se si ha a che fare con pochissimi utenti: si può anche saltare la "richiesta di una parte username" (il server deve solo inviare tutti gli handle di chiavi conosciuti al dispositivo per trovare il giusto uno).

Informazioni sull'aggiunta della protezione PIN, stiamo iniziando a vedere prodotti con protezione delle entrate PIN locale come l'unica chiave ( link )

Puoi persino sviluppare la tua soluzione FIDO U2F compatibile con API con funzionalità avanzate per aggiungere protezione PIN, identità condivisa, crittografia semplificata ... Sono uno dei pochi "cani pazzi" che lavorano su tali soluzioni.

Nota / promemoria: FIDO U2F funziona su Chrome su Windows, Linux, OSX, Android. Il supporto integrato di Firefox dovrebbe essere disponibile tra qualche settimana. Esistono già chiavi di sicurezza USB FIDO U2F, schede / chiavi NFC e presto ci saranno dispositivi Bluetooth Low Energy (BLE).

    
risposta data 21.02.2017 - 11:30
fonte

Leggi altre domande sui tag