Comments 10
о сути аутентификатором может быть и сам клиент (то же модернизированное хранилище паролей в браузере), ну или можно иметь несколько аппаратных аутентификаторов, праивльно? Или один девайс — одна регистрация? Или под одним аккаунтом нужно регистрировать все девайсы/браузеры?
В FIDO мы работаем с аутентификаторами. Аутентификатор может быть и встроенным в браузер. Клиент может иметь множество зарегистрированных аутентификаторов. Аутентификатор так же может использоваться для множества аккаунтов без потери приватности за счет генерации новой пары ключей для каждой регистрации.
А предусмотрен механизм синхронизации ключей между ними? Если последнее, то как подтвердить правомерность добавления девайса к аккаунту? только с помощью уже добавленного (например при первичной регистрации) девайса?
С точки зрения приватности, приватные ключи никогда не должны покидать устройство, так что механизма синхронизации не предусмотрено. Если смотреть на сценарии где первый аутентификатор это внешнее устройство, на пример ключ безопасности, то пользователь просто использует его для первичной аутентификации а затем добавит свой встроенный аутентификатор.
Если же на пример единственный аутентификатор пользователя это встроенный аутентификатор или мобильный телефон, то альтернативные методы верификации могут требоваться, как на пример пуш верификации или сканирование qr кода.
Мы все еще работаем над рекомендационным документом по аутентификационным сценариям.
У меня вопрос такого плана: FIDO2, по описанию, является протоколом однофакторным с аутификацией по владению. Аутификация по знанию как прикручивается — условный токен надо делать с PIN-кодом?
FIDO2 может работать либо в полностью беспарольно режиме либо в режиме второго фактора.
Если используется режим второго фактора, то идет классическая схема пересылки пароля с последующим вторым фактором.
В первофакторном или мультифакторном-беспарольном режиме, верификация либо производится на устройстве посредством пин кода или биометрики, либо через клиент(браузер на пример) посредством ввода пароля в клиент, который пересылает его на аутентификатор через пин-протокол. Аутентификация же в сервис проходит чисто без пароля.
То есть я правильно понял, что во втором случае фактор пароля реализуется на уровне самого токена? Благодарю!
И заодно ещё один вопрос: у дешёвых токенов U2F, как мне кажется, есть недостаток, что различным сервисам видна одна и та же Identity токена, а значит возможно отслеживание пользователя, пока он пользуется одним токеном во многих сервисах. Решается ли это в FIDO2, или этого недостатка и не было?
В FIDO мы реализуем приватность с помощью двух механизмов:
Регистрационно зависимые пары ключей — при каждой регистрации устройство генерирует новую, уникальную пару ключей. Таким образ даже зарегистрировав один и тот же аутентификатор на двух разных аккаунтах гугла, гугл никогда не сможет сказать что вы один и тот же человек
При регистрации, аутентификатор возвращает аттестационный сертификат партии. Данный сертификат устанавливается на более чем сто тысяч устройств. Так что приватность сохранена.
Все устройства FIDO одинаково реализуют протокол вне зависимости от цены устройства
Фидошники негодуют!
Прилепили зарезервированное слово к какой-то новой поделке..
Юрий Аккерманн: «Один из фундаментальных принципов FIDO Alliance — обеспечение приватности»