Используем USB-токены для аутентификации в браузере

Алексей Авдеев, Mish.Design

👨‍💻 О себе

👨 Алексей Авдеев (https://twitter.com/avdeev_alexey)
👔 CTO, руковожу разработкой
🏙️ Из Нижнего Новгорода, работаю в Москве
🌐 Mish.Design
👴 Программирую с 2002 года

Пароли уязвимы

1960

Простой пароль — слабая защита

Сложный пароль — сложно запомнить

Много паролей

Парольные фразы

Менеджеры
паролей

Менеджеры паролей

Все пароли в одном месте
Простой мастер-пароль
Потеря мастер-пароля
Взлом устройства
Утечки

Пароли мертвы
(с) Билл Гейтс, 2004

Многофакторная
аутентификация
(MFA)

Факторы аутентификации

Фактор знания
Фактор владения
Фактор свойства
Фактор местоположения

Одноразовый
пароль
(OTP)

SMS

Не приходят

SMS

Не приходят
Стоят денег
Можно подглядеть
Можно подменить/перевыпустить SIM-карту
Можно перехватить (SS7 Attack)

Push Notifications

Не приходят
Стоят денег (меньше)
Можно подглядеть
~~Можно подменить/перевыпустить SIM-карту~~
~~Можно перехватить~~

Authenticator app

Секреты хранятся программно
Энергозависимы
Уязвимы для фишинга

Биометрия

Дорого
Не точно
Нельзя поменять
Отслеживание и данные
Уязвимы для фишинга

Токен
(кроссплатформенный аутентификатор)

Стандарты и сертификаты

FIPS 140
ГОСТ Р 34.10-2012
ГОСТ Р 34.11-2012
Сертификат ФСБ
Сертификат ФСТЭК

Токены без подключения (OTP)

Беспроводные
токены

Токены с подключением

Платформенный аутентификатор

Криптопроцессор

Сканер

Модель зрелости надежности аутентификации

Правила компьютерной безопасности

не используйте компьютер
не включайте компьютер
не владейте компьютером

Fast IDentity Online
(FIDO)

Universal Authentication Framework
(UAF, 2014)

Universal 2nd Factor
(U2F)

Client to Authenticator Protocol
(CTAP)

FIDO 1.0 (2015)

FIDO 2.0 (2017)

Web Authentication
API
(WebAuthn)

Доступные методы

			navigator.credentials.create()
			navigator.credentials.get()

Демо

Что дальше

Заботьтесь о пользователях

👏 Спасибо!

👨 Алексей Авдеев
🌐 github.com/avdeev
🌐 twitter.com/avdeev_alexey
🌐 alexey-avdeev.com/usb-tokens
🌐 Mish.Design

Используем USB-токены для аутентификации в браузере

👨‍💻 О себе

Пароли уязвимы

1960

Простой пароль — слабая защита

Сложный пароль — сложно запомнить

Много паролей

Парольные фразы

Менеджерыпаролей

Менеджеры паролей

Пароли мертвы(с) Билл Гейтс, 2004

Многофакторнаяаутентификация(MFA)

Факторы аутентификации

Одноразовыйпароль(OTP)

SMS

SMS

SMS

Push Notifications

Push Notifications

Authenticator app

Authenticator app

Биометрия

Биометрия

Токен(кроссплатформенный аутентификатор)

Стандарты и сертификаты

Токены без подключения (OTP)

Беспроводныетокены

Токены с подключением

Платформенный аутентификатор

Криптопроцессор

Сканер

Модель зрелости надежности аутентификации

Правила компьютерной безопасности

Fast IDentity Online(FIDO)

Universal Authentication Framework(UAF, 2014)

Universal 2nd Factor(U2F)

Client to Authenticator Protocol(CTAP)

FIDO 1.0 (2015)

FIDO 2.0 (2017)

Web AuthenticationAPI(WebAuthn)

Доступные методы

Демо

Что дальше

Заботьтесь о пользователях

👏 Спасибо!

Менеджеры
паролей

Пароли мертвы
(с) Билл Гейтс, 2004

Многофакторная
аутентификация
(MFA)

Одноразовый
пароль
(OTP)

Токен
(кроссплатформенный аутентификатор)

Беспроводные
токены

Fast IDentity Online
(FIDO)

Universal Authentication Framework
(UAF, 2014)

Universal 2nd Factor
(U2F)

Client to Authenticator Protocol
(CTAP)

Web Authentication
API
(WebAuthn)