Аппаратное обеспечение FIDO2 появилось на полках магазинов, но какие ограничения оно несет с собой?

Я читал все публикации Yubico и смотрел вебинары, но они по какой-то причине держат некоторую информацию недосказанной.

При использовании Yubikey 5 для Single Strong Factor они заявляют, что аутентификатор (я предполагаю, что они имеют в виду центральный процессор физического ключа) генерирует пару ключей для каждого сайта, на который вы регистрируетесь с помощью метода «резидентных ключей». Они признают, что существует ограничение на количество зачислений, поскольку каждая из них занимает слот на ключе, поэтому оно не безгранично, как U2F. Поэтому я задаюсь вопросом:

  1. Каков верхний предел слотов на новой 5-й серии? (В настоящее время я не знаю других поставщиков, предлагающих FIDO2)
  2. Можно ли вручную сбросить старые использованные слоты, чтобы освободить место?
  3. Может ли удаленный вредоносный сайт потенциально создать несколько ключевых событий регистрации, в результате чего ключ заполнит все свободные места?
  4. Когда я попадаю на страницу входа в службу, где у меня зарегистрировано несколько учетных записей, какая часть цепочки просит меня выбрать учетные данные, с которыми я хочу войти? Локальный клиент (обычно веб-браузер) или удаленный сервер?
  5. Может ли удаленный сервер обнаружить, что две учетные записи зарегистрированы с одним и тем же ключом? Разве это не проблема конфиденциальности, о которой должны знать пользователи?

Спасибо за любую информацию, которую вы знаете, будь то FIDO2 в целом или оборудование Yubico в частности.

(Пытался пометить этот FIDO2, но я не могу создать новый тег)


yubico fido credential-manager
person Ira    schedule 11.10.2018    source источник
comment
Нада? Никто не знает, а Юбико не рассказывает. По крайней мере, я получил значок Tumbleweed от StackOverflow. Спасибо, наверное :)   -  person Ira    schedule 27.10.2018

Ответы (2)


arrow_upward
2
arrow_downward

Я могу попытаться ответить на некоторые из ваших опасений:

  1. В основном есть два варианта аппаратного токена: для генерации и хранения новой пары ключей для каждой регистрации (называемых резидентными ключами) или для использования переноса ключей и «хранения» ключей на сервере проверяющей стороны в качестве credentialId ( https://www.w3.org/TR/webauthn/#sctn-credential-storage-modality < / а>). YubiKey 5 поддерживает оба варианта: когда проверяющая сторона просит использовать ваш ключ в качестве MFA / пароля ("requireResidentKey": false), новая пара ключей создается и сохраняется на устройстве; когда проверяющая сторона просит использовать ваш ключ только в качестве второго фактора, используется перенос ключей и внутренняя память не используется. YubiKey 5 может хранить только 25 пар ключей (https://support.yubico.com/support/solutions/articles/15000014219-yubikey-5-series-technical-manual#FIDO2r09kph).
  2. Вы можете выполнить только сброс своего токена до заводских (ничего). Это определяется CTAP2 (https://fidoalliance.org/specs/fido-v2.0-rd-20170927/fido-client-to-authenticator-protocol-v2.0-rd-20170927.html#authenticatorReset). Теоретически Yubico может предоставить специальный инструмент для управления учетными данными по одному, но я не знаю о таком инструменте.
  3. Нет, если вы не касаетесь кнопки каждый раз (обнаружение присутствия).
  4. Это зависит от доверяющей стороны. WebAuthn (FIDO2) допускает оба случая, а Yubikey 5 поддерживает их оба. Если веб-сайт использует токен только в качестве второго фактора (например, U2F), он запрашивает определенные учетные данные. Если ваш ключ используется как маркер без пароля, И проверяющая сторона не запрашивает определенные учетные данные, тогда платформа (или браузер) собирает все учетные данные, связанные с проверяющей стороной, и отображает диалоговое окно выбора.
  5. Да и нет. Проверяющая сторона может предоставить вашему токену список известных учетных данных (excludeList в CTAP2), а затем ваш токен должен отклонить регистрацию, если у него уже есть учетные данные из этого списка. Но это полезно только для предотвращения назначения одного и того же ключа одной и той же учетной записи.
person Dissimilis    schedule 18.11.2018
comment
когда проверяющая сторона просит использовать ваш ключ в качестве MFA / пароля (requireResidentKey: false), тогда новая пара ключей создается и сохраняется на устройстве. Я думаю, requireResidentKey: True, нет? - person BrnVrn; 25.04.2019

arrow_upward
1
arrow_downward

По вопросу 2. Я удалил регистрацию FIDO из серии yubikey 5 с помощью yubikey Manger CLI Tool ykman.exe

# PowerShell
Set-Location -Path "$env:ProgramFiles\Yubico\YubiKey Manager"
.\ykman.exe
person Julien Zweverink    schedule 20.07.2020