«Будущее без паролей: про FIDO2/WebAuthN и не только», Сергей Белов, Mail.Ru Group.

Transcript

1. Будущее без паролей - про WebAuthN и не только •

   Sergey Belov • @mail Application Security

2. Пароли выносят мозг

3. • Юзеры хотят ставить слабые пароли • Можно заставлять вводить

   пароли лучше. Ругаются, вводят, а потом забывают • Можно мониторить сложность пароля - он летит в плейнтексте при логине и смене пароля • АБФ нельзя сделать идеальным Парольные политики

4. Фишинг •Жив и будет жить, в т.ч. по альтернативным каналам

   •Алгоритмы защиты - требовать ввод дополнительных данных аккаунта (номер телефона, доп емейл и т.п.) все условные, поскольку HTTP лимитирован на признаки (UA / IP / некоторые JS свойства). •IMAP - зло

5. Credential stuffing • Переиспользование паролей - это нормально • Пользователи

   не хотят усложнять себе жизнь • Взломан 1 ресурс — взломаны все остальные

6. Credential stuffing NIST рекомендует проверять пароли пользователей на нахождение в

   известных утечках The 773 Million Record "Collection #1" Data Breach: • Записей для email'ов, которых у нас никогда не было - 303 245 277 • Заблокировали по своим доменам - 0,00001% • Остальные аккаунты - невалидны или уже заблокированы

7. Credential stuffing Бесполезно? Нет • Cross-check — от одного сервиса

   к другому • Мыслить как пользователь — добавим в конец 1, 123, ! и т.п. • Социальная инженерия
8. None

9. Слабые пароли Найдите связь: • Шоу-бизнес • Май • В

   баре • Любовь • Дача

10. Passwordless

11. Passwordless •SMS / Call / IVR •Пуши •Session sharing •OTP

    with email / messengers •etc

12. WebAuthN

13. None

14. WebAuthN • FIDO U2F was developed by Yubico and Google,

    and contributed to the FIDO Alliance after it was successfully deployed for Google employees. The protocol is designed to act as a second factor to strengthen existing username/password-based login flows • FIDO2 is the passwordless evolution of FIDO U2F. The overall objective for FIDO2 is to provide an extended set of functionality to cover additional use-cases, with the main driver being passwordless login flows

15. WebAuthN • FIDO2 is an open authentication standard that consists

    of the W3C Web Authentication specification • WebAuthn API and the Client to Authentication Protocol (CTAP). CTAP is an application layer protocol used for communication between a client (browser) or a platform (operating system) and an external authenticator

16. WebAuthN • Windows 10 October 2018 Update + только Edge!

    • Yubico или FEITIAN • Windows Hello webcam or fingerprint reader - Surface Pro 4, Surface Book, and most PCs with fingerprint readers already work with Windows Hello, and more devices that can recognize your face and fingerprint will be available in the future

17. WebAuthN • Device - from $15! • Platform - TouchID/

    FaceID

18. WebAuthN • Chrome 65 • FF 60 • Edge 18

    (latest)
19. None
20. None
21. None
22. None
23. None

24. WebAuthN

25. WebAuthN • Поддержка OAuth в нативных приложениях - Google, Apple,

    Microsoft • Пароли приложений на 1ф :( • Атаки на поддержку

26. WebAuthN • https://medium.com/@herrjemand/in troduction-to-webauthn-api-5fd1fb4 6c285 - Introduction to WebAuthn API

    • https://medium.com/@herrjemand/v erifying-fido2-responses-4691288c8 770 - WebAuthn/FIDO2: Verifying

27. Будущее WebAuthN • Больше аутентификаторов - Android и iOS устройства

    • Носимая электроника • Продажи Fido2 ключей на вокзалах и в метро

28. THANKS FOR ATTENTION