«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.

«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.

Видео https://www.youtube.com/watch?v=ytYTp4ImIDs

Встреча Московского отделения OWASP, 6.12.2019 (https://www.meetup.com/OWASP-Moscow/events/266925142/)

47a3212bc9721c62f1135ead56569f17?s=128

OWASP Moscow

December 06, 2019
Tweet

Transcript

  1. Будущее без паролей - про WebAuthN и не только •

    Sergey Belov • @mail Application Security
  2. Пароли выносят мозг

  3. • Юзеры хотят ставить слабые пароли • Можно заставлять вводить

    пароли лучше. Ругаются, вводят, а потом забывают • Можно мониторить сложность пароля - он летит в плейнтексте при логине и смене пароля • АБФ нельзя сделать идеальным Парольные политики
  4. Фишинг •Жив и будет жить, в т.ч. по альтернативным каналам

    •Алгоритмы защиты - требовать ввод дополнительных данных аккаунта (номер телефона, доп емейл и т.п.) все условные, поскольку HTTP лимитирован на признаки (UA / IP / некоторые JS свойства). •IMAP - зло
  5. Credential stuffing • Переиспользование паролей - это нормально • Пользователи

    не хотят усложнять себе жизнь • Взломан 1 ресурс — взломаны все остальные
  6. Credential stuffing NIST рекомендует проверять пароли пользователей на нахождение в

    известных утечках The 773 Million Record "Collection #1" Data Breach: • Записей для email'ов, которых у нас никогда не было - 303 245 277 • Заблокировали по своим доменам - 0,00001% • Остальные аккаунты - невалидны или уже заблокированы
  7. Credential stuffing Бесполезно? Нет • Cross-check — от одного сервиса

    к другому • Мыслить как пользователь — добавим в конец 1, 123, ! и т.п. • Социальная инженерия
  8. None
  9. Слабые пароли Найдите связь: • Шоу-бизнес • Май • В

    баре • Любовь • Дача
  10. Passwordless

  11. Passwordless •SMS / Call / IVR •Пуши •Session sharing •OTP

    with email / messengers •etc
  12. WebAuthN

  13. None
  14. WebAuthN • FIDO U2F was developed by Yubico and Google,

    and contributed to the FIDO Alliance after it was successfully deployed for Google employees. The protocol is designed to act as a second factor to strengthen existing username/password-based login flows • FIDO2 is the passwordless evolution of FIDO U2F. The overall objective for FIDO2 is to provide an extended set of functionality to cover additional use-cases, with the main driver being passwordless login flows
  15. WebAuthN • FIDO2 is an open authentication standard that consists

    of the W3C Web Authentication specification • WebAuthn API and the Client to Authentication Protocol (CTAP). CTAP is an application layer protocol used for communication between a client (browser) or a platform (operating system) and an external authenticator
  16. WebAuthN • Windows 10 October 2018 Update + только Edge!

    • Yubico или FEITIAN • Windows Hello webcam or fingerprint reader - Surface Pro 4, Surface Book, and most PCs with fingerprint readers already work with Windows Hello, and more devices that can recognize your face and fingerprint will be available in the future
  17. WebAuthN • Device - from $15! • Platform - TouchID/

    FaceID
  18. WebAuthN • Chrome 65 • FF 60 • Edge 18

    (latest)
  19. None
  20. None
  21. None
  22. None
  23. None
  24. WebAuthN

  25. WebAuthN • Поддержка OAuth в нативных приложениях - Google, Apple,

    Microsoft • Пароли приложений на 1ф :( • Атаки на поддержку
  26. WebAuthN • https://medium.com/@herrjemand/in troduction-to-webauthn-api-5fd1fb4 6c285 - Introduction to WebAuthn API

    • https://medium.com/@herrjemand/v erifying-fido2-responses-4691288c8 770 - WebAuthn/FIDO2: Verifying
  27. Будущее WebAuthN • Больше аутентификаторов - Android и iOS устройства

    • Носимая электроника • Продажи Fido2 ключей на вокзалах и в метро
  28. THANKS FOR ATTENTION