Comments 20
У меня тут недавно после обновления телефон выразил желание стать FIDO ключом.
Было бы здорово, если бы вы осветили эту функцию тоже. Любопытно же.
Это по сути то же самое, просто реализованное в ОС в телефоне. С точки зрения сайта это один и тот же тип устройств, и взаимодействия ничем не отличаются.
С фичей можно поиграться, например, здесь - https://webauthn.io/.
У меня Windows на каждом устройстве (ноутбуки и ПК) стала своего рода FIDO-ключом. Авторизуюсь в GitHub, на сайтах MS и, прости Г-споди, Mail.ru через отпечаток пальца по технологии Windows Hello (купил на AliExpress грамм 400 сенсоров, ссылка затерялась, они тогда наразвес продавались).
Дошло даже до казуса года два назад:
Появилось окошко с подтверждением биометрии на ПК, мол, прислоните пальчик
Я чисто на рефлексах приложил палец, не зная, откуда оно появилось и чтО будет после этого
В итоге только через десять минут понял, что веб-приложение Azure зашло в мой аккаунт Microsoft и с Paypal автоматом списало последние 53₽ в свою пользу. Вкладок браузера было открыто немеряно, проверять все было лень.Киберпунк, который мы заслужили
Ключи для U2F выпускает несколько компаний, в том числе:
Yubico: Security Key, Security Key NFC, Security Key C NFC, YubiKey 5C, 5C NFC, 5Ci, 5 NFC)
Google: линейка ключей Titan (USB-A/NFC, USB-C/NFC);
Thetis (FIDO U2F и BLE U2F)
SoloKeys (Solo USB-C, Solo USB-A, Solo Tap USB-C, Solo Tap USB-A)
Аналогичную функцию содержит всем известный Flipper Zero, о котором много писали на Хабре. Проверено - работает)
а на чём проверено? у меня давно чешутся руки прикрутить U2F к grub чтобы он разблокировал LUKS раздел, но всё время что-то мешает..
Аналогичную функцию содержит всем известный Flipper Zero, о котором много писали на Хабре.
Только вот она там совершенно не секьюрная.
В каком плане?
Можно любым флиппером пройти проверку или с вот этого конкретного флиппера можно наделать клонов при физдоступе?
Если второе — а это точно не фича флиппера?
Возможность бекапа ключа пользователем.
Отсутствие необходимости покупать 100500 флипперов.
Отсутствие необходимости разработчикам флиппера делать защищенный от атак с физическим доступом девайс.
У меня вот флиппера нет но YubiKey'ев 3 штуки разных и на каждый сайт где они используются — надо либо привязывать все 3 потому что резерв ж либо привязывать какой то резервный способ (а смысл тогда).
Я вот наверно флипперов парочку куплю если найду раз там есть такая возможность. Да, придется думать где и как бекап хранить.
С моей точки зрения в ТАКОЙ реализации — это как раз удобная фича, только надо пользователей прямо предупреждать что оно так вот работает, чтобы пользователи понимали особенность использования.
У гугла вот в их BT/NFC реализации FIDO2 насколько понимаю все равно к Google Account на телефоне.
неплохо бы увидеть полный процесс установки/настройки от и до.
Хотелось бы узнать, есть ли чисто программные решения для домашнего пользования? Поделки от криптопро не предлагать)) Поделки только под "венду"-тоже.
Yubikey одно время продавались в России вполне официально, и до сих пор можно найти. Правда, ценник и раньше (до санкций) был неадекватный, если сравнивать с оригинальной долларовой ценой, а нынче так тем более.
Рутокен U2F еще был, самый дешевый вариант по цене. Зачем то сняли с производства.
Как работает аппаратный ключ безопасности — и почему не сделать программируемый ключ с улучшенной защитой?