مقابلة مع مهندس معتمد من FIDO Alliance حول المصادقة بدون كلمة مرور
طلب منا مستخدمونا تنفيذ المصادقة ذات العاملين من خلال تطبيق Google. ومؤخراً ،
منحناهم هذه الفرصة. في نفس الوقت تقريبًا ، نشر اتحاد FIDO Alliance معايير للمصادقة بدون كلمة مرور على المواقع ، وفي تطبيقات الهاتف المحمول وخدمات الويب - WebAuthn و CTAP.
أصبحنا مهتمين بهذا الموضوع
وأعدنا مادة عن حبري تحدثنا فيها عن الأساليب التي تكمن وراء البروتوكولات الجديدة.
بعد ذلك ، لتوضيح بعض النقاط فيما يتعلق بتعقيدات المعيار ، تحدثنا مع يوري أكيرمان (
هيرجيماند ) ، كبير مهندسي الشهادات في FIDO Alliance. أجاب على العديد من أسئلتنا حول المصادقة السابقة والحالية والمستقبلية لـ FIDO. نقدم لكم نص المقابلة.
/ Flickr / zhrefch / PDيرجى إخبارنا عن خلفيتك وخبرتك في مجال تكنولوجيا المعلومات ككل. كيف بدأت عملك في الصناعة؟
أقوم بالبرمجة منذ أن كان عمري خمسة عشر عامًا. بعد المدرسة ، ذهبت إلى الجامعة ، حيث درست علوم الكمبيوتر والرياضيات. في السنة الثانية أصبحت مهتماً بالتشفير ، وقضايا أمن المعلومات و "تعثرت" على FIDO. لقد أحببت حقًا بروتوكولاتها ، وفي النهاية كتبت مكتبة U2F لـ Python Flask وقدمت عرضًا تقديميًا.
لقد تم تقدير عملي من قبل FIDO. علاوة على ذلك ، كانوا يبحثون فقط عن مهندس شهادة. في النهاية ، أصبحت مسؤولاً عن الشهادات التقنية.
منذ متى وأنت تتعامل مع الموضوعات المتعلقة بالمصادقة مع FIDO؟ ما المهام التي قمت بحلها في عملية تطوير معيار جديد؟
لقد عملت مع بروتوكولات FIDO لمدة ثلاث سنوات - اثنان منها في تحالف FIDO. دوري الرئيسي هو الشهادات التقنية والأدوات الآلية لاختبار تنفيذ المواصفات. تتضمن مسؤولياتي تطوير الأدوات نفسها ودعمها ، بالإضافة إلى كتابة خطط الاختبار - قوائم اختبار لفحص الخوادم والعملاء والمصدقين. أعتقد أن كتابة خطة اختبار هي العملية الأكثر استهلاكا للوقت ، لأنها تتطلب فهم جميع تعقيدات البروتوكولات والمعايير المستخدمة فيها.
كما أنصح مجموعات العمل بشأن التحسينات المحتملة على المواصفات ، وتقديم العروض التقديمية وكتابة المقالات من وقت لآخر.
كيف ولدت فكرة إنشاء معيار جديد للمصادقة؟ لماذا قررت أن العالم والمجتمع بحاجة إلى حل جديد في هذا المجال؟ ما هي عيوب التنسيقات الموجودة التي يهدف WebAuthn إلى إغلاقها؟
تأسست FIDO Alliance في عام 2013 من قبل Agnitio و Infineon Technologies و Lenovo و Nok Nok Labs و PayPal و Validity ، التي طورت UAF. بعد ذلك بقليل انضمت إليهم Google و Yubico و NXP - عملت هذه على سلف U2F واعتقدت أنه سيكون من المربح أن توحد قواها ، حيث تزامنت أفكارهم مع أفكار التحالف. لقد سعوا إلى حماية مستخدمي الإنترنت من التصيد الاحتيالي ، وحل مشكلات قابلية استخدام كلمات المرور ، وكذلك تطوير إمكانية الوصول إلى تقنيات المقاييس الحيوية وأمنها.
هل أجريت أي دراسات أولية إما عززت نية إنشاء معيار ، أو حفزت على إنشائه؟ إذا كان الأمر كذلك ، ما نوع البيانات التي قمت بتحليلها؟
يعمل أعضاء التحالف مثل Google و Microsoft و Samsung و Yubico وغيرهم بنشاط على إنشاء المعايير والترويج لها. إنهم يستكشفون الأسواق ، محاولين فهم كيف يمكن لـ "FIDO" أن تتناسب مع الأنظمة البيئية المختلفة.
أجرت Google ، على سبيل المثال ،
دراسة حول ترحيل العامل الثاني من كلمات المرور لمرة واحدة إلى U2F.
كيف ولدت بروتوكول CTAP؟ كيف يرتبط مع WebAuthn؟
يتكون FIDO من ثلاثة أجزاء: الخادم والعميل (المستعرض) والمصدق. يرسل الخادم مكالمة إلى العميل ، ويقوم العميل بتمرير المكالمة إلى المصدق ، الذي يقوم بتوقيعها وإعادتها إلى العميل ، وقد تم إرسالها بالفعل إلى الخادم.
لكي يستخدم الخادم مصادقة FIDO ، يمتلك العملاء واجهة برمجة تطبيقات WebAuthn JS. يتواصل العميل مع المصادقين باستخدام بروتوكول المستوى المنخفض CTAP2 (بروتوكول العميل إلى المصادقة 2). يصف CTAP2 هياكل استعلام CBOR وعمليات النقل ، مثل USB و NFC و BLE للتواصل مع المصدق. الجمع بين هذين المعيارين يسمى FIDO2.
أحد أهداف إنشاء التنسيق هو الحماية من التصيد الاحتيالي. ما هي بعض المزايا مقارنة بالحلول الأخرى؟
إذا تحدثنا عن الحلول الحالية ، فإن الشيء الوحيد الذي يمكن مقارنة FIDO به هو شهادات العميل أو TLS CCA (مصادقة شهادة العميل). FIDO و CCA هي بروتوكولات استجابة مكالمات آمنة ضد التصيد الاحتيالي على المفاتيح العامة. ولكن لديهم اختلافات كبيرة.
CCA ليست محمية من هجوم إعادة التشغيل. إنهم يعيدون استخدام شهادة واحدة على مواقع متعددة ، مما قد يؤدي إلى جعل المستخدم مميزًا. في FIDO ، ننشئ زوج مفاتيح فريدًا جديدًا لكل تسجيل من أجل الحفاظ على الخصوصية.
لدى CCA أيضًا مشكلة في تخزين المفاتيح ، نظرًا لأنه في معظم الحالات إما يتم تشفير المفتاح الخاص في PKCS12 ، أو ببساطة يكمن في المفتاح. وبالتالي ، حتى التطبيق غير المميز يمكنه سرقته دون مشاكل. في FIDO ، يتم الاحتفاظ بجميع المفاتيح آمنة ، على سبيل المثال ، في تخزين SecureEnclave أحادي الاتجاه. من الصعب جدًا استعادة المفاتيح من هذا النوع من التخزين.
تواجه CCA صعوبات في التنفيذ السليم من جانب الخادم ، حيث أن دعم CCA الكامل يترك الكثير مما هو مرغوب فيه. وبسبب تعقيدات العمل مع TLS ، يرتكب المطورون الكثير من الأخطاء. يحتاج FIDO فقط إلى دعم التشفير الأساسي نفسه. يمكن تنفيذ CCA من خلال HTTP ، والذي لا يمكن القيام به في WebAuthn. لدى CCA أيضًا مشكلات في سهولة الحمل وسهولة الاستخدام.
لا أعتقد أن التحالف اخترع أي شيء جديد. قمنا ببساطة بتطوير بروتوكول جيد يتضمن آليات الأمان الموجودة.
/ Flickr / markus spiske / PDهل لن يكشف استخدام المعيار عن نواقل هجوم إضافية تتعلق بحقيقة أنه سيكون من الضروري تخزين كمية كبيرة من المعلومات البيومترية؟
الخصوصية هي أحد مبادئنا الأساسية. يتم تخزين المعلومات البيومترية على رقائق آمنة ولا تتركها أبدًا. تعمل شركاتنا مع القراء المعتمدين من قبل FIDO أو FIPS.
كما أننا لا نستخدم معلومات المقاييس الحيوية لأي شيء بخلاف تأكيد وجود المستخدم. ولدينا برنامج شهادة البيومترية لاختبار المصدقين.
قلت ذات مرة أن المصادقة عن طريق رمز SMS هو خيار 2FA سيئ. كيف يمكنك التعليق على ذلك؟
رموز SMS أو SMS OTP هي المصادقة ذات العاملين مع كلمات مرور لمرة واحدة يتم تسليمها عبر SMS. لذلك ، اتضح أن هذا الحل عرضة للتصيد. إذا وقع المستخدم في عملية تصيد احتيالي وأعطى اسم المستخدم وكلمة المرور ، فما الذي يمنعه من إرسال رمز SMS إلى مجرمي الإنترنت؟
يجب ألا ننسى مشاكل استخدام الرسائل القصيرة كوسيلة نقل. قبل ثلاث سنوات ، تم اختراق 400 ألف حساب في بنك ألماني بسبب الضعف في بروتوكول SS7 ، والذي يستخدم لتوجيه معلومات الاتصالات بين مشغلي الاتصالات المختلفة. تمكن المهاجمون الذين حصلوا على وصول غير مصرح به إلى شبكة SS7 ، التي لا يوجد فيها توثيق ، من تسجيل أعداد الضحايا أنفسهم والحصول على رموزهم.
أيضا ، يمكن لأي شخص اليوم شراء محطة GSM أساسية مقابل 500-600 دولار واعتراض الرسائل القصيرة باستخدامها باستخدام هجوم MITM. وأخيرًا ، هناك مخاطر مرتبطة بالهندسة الاجتماعية. أعتقد أن الكثيرين
على دراية بالقصة عندما سرق المهاجمون مبلغًا كبيرًا من المال من الحسابات المصرفية من خلال إصدار نسخة طبق الأصل من بطاقة SIM للضحية. يحدث هذا في روسيا وبلدان أخرى مع انتظام يحسد عليه.
ماذا لو كنت بحاجة إلى إدخال الخدمة على عدة أجهزة أو عدة أشخاص يستخدمون نفس الخدمة في وقت واحد؟ هل يدعم المعيار وضع التشغيل هذا؟
على عكس كلمة المرور ، يمكن أن يكون هناك العديد من المصادقين. يمكن للمستخدم تسجيل هاتفه وحاسوبه المحمول ورمزه المميز واستخدام أي منها للمصادقة. أيضا ، يمكن "ربط" رمز مميز لعدة حسابات دون فقدان الخصوصية.
ولكن ماذا لو ضاع الرمز المميز؟ هل سيكون من الممكن إعادة الوصول إلى الخدمات؟
يجب اعتبار مصادقة FIDO بمثابة مفاتيح منزلية. إذا فقدت مفاتيحك ، يمكنك دائمًا الحصول على قطع الغيار من زوجتك أو أطفالك أو أمك أو جدتك أو ، في أسوأ الأحوال ، الحصول عليها من تحت سجادة الباب. لذلك ، نوصي بأن يكون لديك دائمًا معرف احتياطي وتخزينه ، على سبيل المثال ، في خزنة.
إذا تحدثنا عن استعادة الوصول إلى الخدمات ، فهذه مشكلة صعبة حقًا. الاسترداد ليس جزءًا من المعيار ، لأن الموارد المختلفة تعيد الوصول إلى الحسابات بطرق مختلفة. الأساليب الكلاسيكية هي رموز لمرة واحدة غير محمية ضد التصيّد الاحتيالي. يتيح لك Facebook استعادة الوصول من خلال الأصدقاء.
الحل الأكثر وعدًا حتى الآن هو
التفويض المفوض - وهو بروتوكول استرداد يعتمد على تخزين الأسرار المشفرة في الخدمات الأخرى. بالمناسبة ، كتبه أحد مبدعي U2F Bratt Hill (Bratt Hill). إن الانتعاش مشكلة صعبة ومثيرة للاهتمام إلى حد ما ، ولا يزال يتعين إيجاد حل لها.
يجب حماية المفتاح الخاص في المصدق من النسخ. في أي شكل وأين يتم تخزين المعرفات؟ كيف يتم تبادلها؟
عند كل تسجيل ، ينشئ المصادق زوج مفاتيح فريدًا جديدًا ويعينه معرفًا عشوائيًا يسمى معرف الاعتماد أو معرف التعريف. يتم تخزين المفاتيح الخاصة في مساحة تخزين آمنة ، مثل SecureEnclave أو TPM أو TEE.
لا يترك المفتاح الخاص المصدق مطلقًا ، لأن هذا غير مطلوب. إذا كان المستخدم يريد إضافة أداة مصادقة أخرى ، فإنه ببساطة يقوم بتسجيلها ، وإنشاء زوج مفاتيح ومعرف جديد ، ونقل المفتاح العام باستخدام المعرف إلى الموقع. أثناء المصادقة ، يترجم الموقع المعرّف إلى المصدق ، ويجد المصدق زوج المفاتيح معه ويوقع المكالمة.
كيف سيتعلق المعيار الجديد بمتطلبات قوانين حماية البيانات (مثل اللائحة العامة لحماية البيانات)؟
تتوافق مبادئنا تمامًا مع اللائحة العامة لحماية البيانات. حتى في الوضع ذي العاملين ، نجعل مصادقة التصيد الاحتيالي آمنة. إذا تحدثنا عن المصادقة بدون كلمة مرور ، فلن يتم نقل أي كلمات مرور هنا على الإطلاق. بالإضافة إلى ذلك ، على عكس شهادات العميل ، لا يمكن استخدام بروتوكولنا كملفات تعريف ارتباط فائقة. لذلك ، تعمل العديد من الشركات بالفعل على تنفيذ بروتوكولاتنا.
ومن الذي ينفذ المعيار بالفعل؟
Google و Facebook و Dropbox و Salesforce و Bank of America و NTT Docomo ... لدينا مئات الشركات ونصف مليار مستخدم يوميًا. نحن ننمو كل يوم. ولكن مع ذلك ، سيستغرق التبديل إلى المصادقة الكاملة بدون كلمة مرور بعض الوقت.
ما مدى سرعة المعيار الذي يسمح بالانتقال من طريقة مصادقة أخرى؟
يعد التبديل من حلول المصادقة ثنائية العوامل الموجودة (على سبيل المثال ، من OTP) إلى FIDO أمر بسيط للغاية. تحتاج فقط إلى ربط المكتبة وتنفيذ بعض التغييرات على جانب العميل. في FIDO2 ، يكون خيار المصادقة بدون كلمة مرور مجرد علامة إضافية أثناء التسجيل. سيستغرق نقل النظام البيئي بالكامل إلى المصادقة الكاملة بدون كلمة مرور بعض الوقت. نتوقع أنه خلال 10 سنوات سيكمل هذا الانتقال 80٪ من جميع الخدمات.
ما هي خطط FIDO لتطوير المعيار؟ ما هي التحسينات المخطط إجراؤها في المستقبل القريب؟ وعلى المدى الطويل؟
حتى الآن ، ركزنا على تعزيز المعايير. هناك الملايين من المواقع في العالم - وهذا يعني أن لدينا مليون شيء نقوم به. على المدى الطويل ، نخطط للعمل على تطبيق معايير إنترنت الأشياء لزيادة أمان أدوات إنترنت الأشياء. وتشمل الخطط أيضًا العمل على أنظمة توثيق الدولة ، والمعرفات الإلكترونية ، وجوازات السفر ، وأنظمة التعريف اللامركزية.
كيف تخطط لمواصلة العمل على WebAuthn؟ كيف يمكن لمجتمع تكنولوجيا المعلومات مساعدتك؟
أنا ، كما كان من قبل ، أواصل عملي كسفير في مجتمع المطورين: أنشر المقالات ، وأعمل على المصدر المفتوح ، وأقدم العروض التقديمية ، وأجري التدريبات. بالنسبة إلى مساعدة المجتمع ، لا يسعني إلا أن أقول: "نحن بحاجة إلى المزيد من الذهب المفتوح المصدر".
أعد PS PS Yuri Akkermann أيضًا مقالًا عن Habré ، وصف فيه الآليات الأمنية الرئيسية لـ FIDO2 وراجع JS API للعمل معه.