nosystem0 Aug 26 at 14:03

Криптография, лежащая в основе passkeys

Medium

10 min

2.7K

Information Security * Cryptography *

Translation

Comments 7

dartraiden Aug 26 at 15:45

Если ваш браузер скомпрометирован вредоносным ПО или расширением, он может показывать вам «attacker.com», тогда как фактически отправит вашему аутентификатору запрос на подпись для «google.com».

Так и с обычным паролем это прокатывает. Тут пасскей ничем не хуже. Показываем пользователю, что это habr.com, а на самом деле это attacker.com.

К сожалению, к пасскеям пока какое-то больше негативное отношение, видимо, потому что пока люди толком не разобрались, что это, как их хранить и бэкапить. Я с удовольствием буду их использовать, как только поддержку добавят в KeePass.

wwq_deezer Aug 27 at 14:32

как только поддержку добавят в KeePass

В смысле? В KeePassXC и плагином в браузере вовсю используется.

dartraiden Aug 28 at 21:22

Это разные программы.

Переходить с KeePass на KeePassXC я не хочу, потому что в последнем абсолютно по-линуксовому (то есть, через одно место) сделана работа с SSH.

Во-первых, нигде в программе вам не скажут, что KeePassXC сам не выступает SSH-агентом (в отличие от плагина KeeAgent в KeePass), а работает с агентом OpenSSH. И по умолчанию этот агент в виде службы Windows выключен. Всё, что даст вам программа - какую-то непонятную ошибку. Почему нельзя человечьим языком об этом сказать пользователю, не заставляя его шерстить справку - загадка.

Во-вторых, я хотел было настроить KeePassXC так же, как и оригинальный KeePass - чтобы кликом по записи запускался ssh.exe и аргументом ему передавался хост. Но это сломано. Судя по тому, что сломано уже 6 с лишним лет - я угадал и разработчики действительно ориентированы на Linux. Ну, флаг им в руки, а я не готов ради пасскеев плясать по этим граблям.

nickolas059 Aug 26 at 16:18

А можно с помощью этого создавать passkey, который потом отозвать ? Например зарегистрироваться в утубе в гостинице и потом, если забыл выйти, из дома отозвать?

nosystem0 Aug 27 at 10:05

Нет, отозвать passkey нельзя. При утере ключа доступа восстановить учётную запись невозможно.

inkelyad Aug 27 at 10:16

Заходишь в сервис, находишь в Security список привязанных Passkeys и выкидываешь скомпрометированный из этого списка. Все. Больше по этому Passkey сервис не пустит.

GidraVydra Aug 27 at 18:16

WebAuthn решает проблему фишинга с помощью привязки к origin. Спецификация требует, чтобы браузеры передавали аутентификатору origin запроса (т. е. домен веб-сайта). В свою очередь, аутентификатор использует пасскеи только тогда, когда веб-сайт, делающий запрос, совпадает с веб-сайтом, создавшим пасскей.

А чем эта логика принципиально отличается от системы TLS сертификатов?