Аппаратное обеспечение FIDO2 появляется на полках, но какие ограничения оно несет с ним?

Я читаю каждую публикацию Юбико и смотрю вебинары, но по какой-то причине они не раскрывают некоторую информацию.

При использовании Yubikey 5 для Single Strong Factor, они утверждают, что аутентификатор (я думаю, они имеют в виду процессор физического ключа) генерирует пару ключей для каждого сайта, на который вы регистрируетесь, с помощью метода "резидентные ключи". Они признают, что число зарегистрированных пользователей ограничено, поскольку каждый из них занимает слот на ключе, поэтому он не безграничен, как U2F. Поэтому я удивляюсь:

  1. Каков верхний предел слотов на новых 5 сериях? (Я пока не знаю других поставщиков, предлагающих FIDO2)
  2. Можно ли вручную сбросить старые использованные слоты, чтобы освободить место?
  3. Может ли удаленный вредоносный сайт потенциально создать несколько событий регистрации ключей, в результате чего ключ заполняет все свободные слоты?
  4. Когда я попадаю на страницу входа в службу, на которой зарегистрировано более одной учетной записи, какая часть цепочки просит меня выбрать учетные данные, с которыми я хочу войти? Локальный клиент (обычно веб-браузер) или удаленный сервер?
  5. Может ли удаленный сервер обнаружить, что две учетные записи зарегистрированы с одним и тем же ключом? Разве это не проблема конфиденциальности, о которой должны знать пользователи?

Спасибо за любую информацию, которую вы знаете, будь то FIDO2 в целом или аппаратное обеспечение Yubico конкретно.

(Пытался пометить этот FIDO2, но я не могу создать новый тег)

Источник

1 ответ

Я могу попытаться ответить на некоторые ваши вопросы:

  1. По существу, есть два варианта аппаратного токена: генерировать и хранить новую пару ключей для каждой регистрации (так называемые резидентные ключи) или использовать ключи-обертки и ключи "хранить" на сервере проверяющей стороны в качестве credentialId ( https://www.w3.org/TR/webauthn/). YubiKey 5 поддерживает оба варианта: когда проверяющая сторона просит использовать ваш ключ в качестве MFA / passwordess ("requireResidentKey": false), затем новая пара ключей генерируется и сохраняется на устройстве; когда проверяющая сторона просит использовать ваш ключ только в качестве второго фактора, тогда используется перенос ключа и не используется внутренняя память. YubiKey 5 может хранить только 25 пар ключей ( https://support.yubico.com/support/solutions/articles/15000014219-yubikey-5-series-technical-manual).
  2. Вы можете сделать только заводской сброс вашего токена (все из ничего). Это определяется CTAP2 ( https://fidoalliance.org/specs/fido-v2.0-rd-20170927/fido-client-to-authenticator-protocol-v2.0-rd-20170927.html). Теоретически Yubico может предоставить пользовательский инструмент для управления учетными данными один за другим, но я не знаю о таком инструменте.
  3. Нет, если вы не касаетесь своей клавиши каждый раз (обнаружение присутствия).
  4. Это зависит от полагающейся стороны. WebAuthn (FIDO2) допускает оба случая, а Yubikey 5 поддерживает их оба. Если веб-сайт использует токен только в качестве второго фактора (например, U2F), он запрашивает конкретные учетные данные. Если ваш ключ используется в качестве маркера без пароля, а проверяющая сторона не запрашивает определенные учетные данные, то платформа (или браузер) собирает все учетные данные, связанные с проверяющей стороной, и отображает диалоговое окно выбора.
  5. И да и нет. Проверяющая сторона может предоставить список известных учетных данных (excludeList в CTAP2) вашему токену, а затем ваш токен должен отказать в регистрации, если у него уже есть учетные данные из этого списка. Но это полезно только для предотвращения присвоения одного и того же ключа одной учетной записи.
Источник

По вопросу 2. Я удалил регистрацию FIDO из серии yubikey 5 с помощью инструмента командной строки yubikey Manger "ykman.exe"

# PowerShell
Set-Location -Path "$env:ProgramFiles\Yubico\YubiKey Manager"
.\ykman.exe
Источник
Другие вопросы по тегам