Используем USB-токены для аутентификации в браузере

Алексей Авдеев, Mish.Design

👨‍💻 О себе

👨 Алексей Авдеев (https://twitter.com/avdeev_alexey)
👔 CTO, руковожу разработкой
🏙️ Из Нижнего Новгорода, работаю в Москве
🌐 Mish.Design
👴 Программирую с 2002 года

Пароли уязвимы

1960

Простой пароль — слабая защита

Сложный пароль — сложно запомнить

Много паролей

Парольные фразы

Пароли мертвы
(с) Билл Гейтс, 2004

Многофакторная
аутентификация
(MFA)

Факторы аутентификации

Фактор знания
Фактор владения
Фактор свойства
Фактор местоположения

Одноразовый пароль

SMS

Не приходят

SMS

Не приходят
Стоят денег
Можно подглядеть
Можно подменить/перевыпустить SIM-карту
Можно перехватить

Push Notifications

Не приходят
Стоят денег (меньше)
Можно подглядеть
~~Можно подменить/перевыпустить SIM-карту~~
~~Можно перехватить~~

Authenticator app

Секреты хранятся программно
Уязвимы для фишинга

Токен

Стандарты и сертификаты

FIPS 140
ГОСТ Р 34.10-2012
ГОСТ Р 34.11-2012
Сертификат ФСБ
Сертификат ФСТЭК

Токены без подключения

Беспроводные
токены

Токены с подключением

Встроенная криптография

Модель зрелости надежности аутентификации

Правила компьютерной безопасности

не используйте компьютер
не включайте компьютер
не владейте компьютером

Fast IDentity Online
(FIDO)

Universal Authentication Framework
(UAF, 2014)

Universal 2nd Factor
(U2F)

Client to Authenticator Protocol
(CTAP)

FIDO 1.0 (2015)

FIDO 2.0 (2017)

Web Authentication
API
(WebAuthn)

Доступные методы

			navigator.credentials.create()
			navigator.credentials.get()

Демо

Что дальше

Заботьтесь о пользователях

👏 Спасибо!

👨 Алексей Авдеев
🌐 github.com/avdeev
🌐 twitter.com/avdeev_alexey
🌐 alexey-avdeev.com/usb-tokens
🌐 Mish.Design

Используем USB-токены для аутентификации в браузере

👨‍💻 О себе

Пароли уязвимы

1960

Простой пароль — слабая защита

Сложный пароль — сложно запомнить

Много паролей

Парольные фразы

Пароли мертвы(с) Билл Гейтс, 2004

Многофакторнаяаутентификация(MFA)

Факторы аутентификации

Одноразовый пароль

SMS

SMS

SMS

Push Notifications

Push Notifications

Authenticator app

Authenticator app

Токен

Стандарты и сертификаты

Токены без подключения

Беспроводныетокены

Токены с подключением

Встроенная криптография

Модель зрелости надежности аутентификации

Правила компьютерной безопасности

Fast IDentity Online(FIDO)

Universal Authentication Framework(UAF, 2014)

Universal 2nd Factor(U2F)

Client to Authenticator Protocol(CTAP)

FIDO 1.0 (2015)

FIDO 2.0 (2017)

Web AuthenticationAPI(WebAuthn)

Доступные методы

Демо

Что дальше

Заботьтесь о пользователях

👏 Спасибо!

Пароли мертвы
(с) Билл Гейтс, 2004

Многофакторная
аутентификация
(MFA)

Беспроводные
токены

Fast IDentity Online
(FIDO)

Universal Authentication Framework
(UAF, 2014)

Universal 2nd Factor
(U2F)

Client to Authenticator Protocol
(CTAP)

Web Authentication
API
(WebAuthn)