Noutati in Standardele fara parola, editia 2021!

Buna tuturor si bun venit la capitolul 14 din 2020! A trecut putin timp de cand am vorbit despre standardele pentru parolele fara parola, asa ca suntem incantati sa va povestim despre unele imbunatatiri si caracteristici noi din FIDO2 pe care le veti vedea in salbaticie in urmatoarele cateva luni!

Starea specificatiilor

Specificatia de nivel 2 API de autentificare web (WebAuthn) este in prezent o recomandare a candidatilor la W3C. „Nivelul 2” inseamna, in esenta, versiunea majora numarul 2.

Versiunea 2.1 a specificatiei Client to Authenticator Protocol (CTAP) este o versiune preliminara la FIDO Alliance. Aceasta inseamna ca specificatia se afla intr-o perioada de revizuire publica inainte de publicarea finala.

Aceste noi versiuni schita sunt pe cale sa devina urmatorul val de functionalitati FIDO (incepand cu scrierea acestui blog, acceptam nivelul 1 al WebAuthn si CTAP versiunea 2.0). Credem ca s-ar putea sa doriti sa auziti despre ceea ce credem ca este deosebit de distractiv despre WebAuthn L2 si CTAP 2.1.

Atestarea intreprinderii (EA)

Enterprise Attestation este o noua caracteristica care face parte din WebAuthn L2 si CTAP 2.1 care permite legarea unui autentificator la un cont utilizand un identificator persistent, similar cu un card inteligent de astazi.

Standardele de confidentialitate FIDO impun ca „un dispozitiv FIDO sa nu aiba un identificator global pe un anumit site web” si „un dispozitiv FIDO nu trebuie sa aiba un identificator global vizibil pe site-uri web”. EA este conceput pentru a fi utilizat exclusiv in medii de tip intreprindere in care exista o relatie de incredere intre dispozitive si / sau browsere si partea care se bazeaza prin management si / sau politica. Daca EA este solicitata de un Relying Partying (RP) si sistemul de operare / browserul functioneaza in afara unui context de intreprindere (profilul personal al browserului, dispozitivul neadministrat etc.), se asteapta ca browserul sa solicite utilizatorului consimtamantul si sa ofere un avertisment clar potentialul de urmarire prin identificatorul persistent fiind partajat.

Autentificatorii pot fi configurati pentru a sprijini atestarea de intreprindere facilitata de furnizor si / sau gestionata de platforma. EA facilitata de furnizor implica un furnizor de autentificator care codifica hard o lista de ID-uri Relying Party (RP ID) in firmware-ul autentificatorului ca parte a productiei. Aceasta lista este imuabila (aka non-actualizabila). O atestare de intreprindere este furnizata numai catre RP-urile din lista respectiva. EA gestionata de platforma implica o lista de ID-uri RP livrata prin politica de intreprindere (de exemplu: politica browserului gestionat, gestionarea aplicatiilor mobile (MAM), gestionarea dispozitivelor mobile (MDM)) si este pusa in aplicare de catre platforma.

Referinta spec.:

CTAP 2.1 – Sectiunea 7.1: Atestarea intreprinderii

WebAuthn L2 – Sectiunea 5.4.7: Preferinta transportului atestarii

Gestionare acreditare autentificare si inscriere bio

Gestionarea acreditarii face parte din CTAP 2.1 si permite gestionarea acreditarilor descoperibile (aka chei rezidente) pe un autentificator. Gestionarea poate avea loc printr-un browser, un panou de setari ale sistemului de operare, o aplicatie sau un instrument CLI.

Iata un exemplu despre modul in care capacitatea de gestionare a acreditarii este coapta in Chrome 88 pe macOS (chrome: // settings / securityKeys). Aici imi pot gestiona codul PIN, pot vizualiza acreditarile care pot fi descoperite, adauga si elimina amprente (presupunand ca autentificatorul are un cititor de amprente!) Si imi pot reseta autentificatorul din fabrica.

Dand clic pe „Date de conectare”, se afiseaza acreditarile care pot fi descoperite pe autentificator si imi permite sa le elimin. Aceasta cheie de securitate are un cont Azure AD si o identitate pentru utilizare cu SSH.

Inscrierea Bio permite browserului, clientului sau sistemului de operare sa ajute la configurarea datelor biometrice pe autentificatorii care ii accepta. Aceasta cheie de securitate are un deget inscris. Pot elimina degetul existent sau pot adauga mai multe.

Iata un exemplu de gestionare a acreditarii autentificatorului printr-un instrument CLI, ykman de la Yubico.

Referinte specificatii:

            CTAP 2.1 – Sectiunea 5.8: Managementul acreditarii

            CTAP 2.1 – Sectiunea 5.7: Inscrierea la bio

Setati lungimea minima a PIN-ului si fortati modificarea codului PIN

CTAP 2.1 permite unei intreprinderi sa solicite o lungime PIN minima pe autentificator. Daca PIN-ul existent nu indeplineste cerintele, poate fi initiata o modificare a fluxului PIN.

Un autentificator poate fi, de asemenea, configurat cu un cod PIN de utilizare unica, care trebuie schimbat la prima utilizare. Acesta este un strat suplimentar de protectie atunci cand un autentificator este pre-furnizat de un administrator si apoi trebuie trimis unui utilizator final. PIN-ul temporar poate fi comunicat utilizatorului final in afara benzii. Vedem ca acest lucru este utilizat impreuna cu Enterprise Attestation pentru a crea o relatie puternica intre un autentificator si un utilizator.

Referinta spec.:

CTAP 2.1 – Sectiunea 7.4: Setati lungimea minima a codului PIN

Solicitati intotdeauna verificarea utilizatorului (AlwaysUV)

AlwaysUV face parte din CTAP 2.1 si permite utilizatorului sa-si configureze autentificatorul pentru a solicita intotdeauna verificarea utilizatorului (PIN, biometric, etc), chiar si atunci cand Partidul de incredere nu o solicita. Acest lucru adauga un strat suplimentar de protectie, asigurandu-va ca toate acreditarile de pe autentificator necesita aceeasi metoda de verificare.

Referinta spec.:

CTAP 2.1 – Sectiunea 7.2: Solicitati intotdeauna verificarea utilizatorului

Virtual Authenticator DevTool

Aceasta nu este legata de actualizari ale niciunei specificatii, dar ne place si am vrut sa le impartasim! Chrome si Edge (versiunea 87+) includ acum un autentificator virtual ca parte a DevTools. A inceput ca o extensie Chromium inca din 2019 si este acum nativa! Oh, iar codul este pe Github!

Este un instrument excelent pentru testare, depanare si invatare! Incercati-l cu unul dintre minunatele site-uri de testare WebAuthn: Microsoft WebAuthn Sample App, WebAuthn.io, Yubico WebAuthn Demo.

Pentru a accesa instrumentul, deschideti Instrumentele pentru dezvoltatori (F12 sau Optiune + Comanda + I), faceti clic pe pictograma Meniu din dreapta sus (…) apoi Mai multe instrumente si WebAuthn.

Activarea mediului de autentificare virtuala va va permite sa creati un nou autentificator alegand un protocol (CTAP2 sau U2F), transport (USB, Bluetooth, NFC sau intern), cheie rezidenta (descoperibila) si asistenta pentru verificarea utilizatorului.

Pe masura ce sunt create noi acreditari, le veti vedea listate, iar numarul semnelor va creste pe masura ce este utilizata acreditarea.

Vrei sa afli mai multe? Iata un blog uimitor de Nina Satragno de la echipa Chrome de la Google care a creat acest uimitor DevTool!

Cum am construit fila Chrome DevTools WebAuthn

Invelire

Aceasta completeaza caracteristicile majore pe care credem ca vor avea cel mai mare impact. Iata cateva alte imbunatatiri si caracteristici care sunt importante de mentionat!

• utilizare iFrame incrucisata
• Formatul anonim de atestare a platformei Apple
• Extensie mare de stocare blob pentru a sprijini stocarea unei mici bucati de date criptate cu acreditari pentru a sprijini cazuri de utilizare precum certificatele SSH

Daca doriti sa aflati mai multe despre oricare dintre aceste imbunatatiri / caracteristici (sau orice altceva legat de identitate, sa fim sinceri), lasati-ne o nota in comentarii.

Multumesc pentru lectura!

Tim Cappalli | Identitate Microsoft | @timcappalli