FIDO의 작동 방식

FIDO 프로토콜은 표준 공개 키 암호화 방식을 사용하여 강력한 인증을 제공합니다. 온라인 서비스에 등록할 때 사용자의 클라이언트 장치는 새 키 쌍을 생성합니다. 개인 키는 클라이언트 장치에 보관되고 공개 키는 온라인 서비스에 등록됩니다. 클라이언트 장치가 챌린지에 서명하여 개인 키를 보유하고 있음을 온라인 서비스에 증명하면 인증이 완료됩니다. 클라이언트 장치에 보관된 개인 키는 사용자가 장치에서 잠금을 해제하여 시작하여 사용할 수 있습니다. 잠금 해제는 지문 읽기, 비밀번호 입력, 마이크 발화, 2단계 인증 장치 삽입, 버튼 누름 등 사용자에게 사용하기 쉽고 안전한 동작을 채택할 수 있습니다.

-- FIDO Alliance

TouchID(Secure Enclave Processor)는 FIDO에 참가하지 않기 때문에 호환성이 없기 때문에 TouchID 있음(Touchbar 있음) Macbook에서도 FIDO U2F에는 대응할 수 없습니다.

SOFT U2F 사용

Github이 FIDO U2F 소프트웨어 토큰을 만들고 있습니다. OSX Keychain을 사용하여 디바이스를 에뮬레이트한 것이므로, mac 이외에서는 이용할 수 없습니다.
이렇게하면 FIDO U2F 장치가 없어도 FIDO U2F

설치

brew cask install softu2f

기본

기본적으로 FIDO 터미널을 사용하지 않고 필요에 따라 키가 생성되어 인증에 사용하는 흐름이됩니다.

TouchID 사용

SoftU2F는 TouchID(Secure Enclave Processor)의 지문 인증을 빌려주는 옵션을 제공합니다.
이렇게하면 FIDO 장치를 사용할 때와 동등한 상태로 만들 수 있습니다.
README에 나열되지 않은 것 같습니다. htps : // 기주 b. 코 m/기테 b/그 f 2F/푸 l/29

사용하기 전에 다음을 수행하십시오.

/Applications/SoftU2F.app/Contents/MacOS/SoftU2F --enable-sep

실제로 해보자

기본

yubico 테스트 페이지로 이동

허가를 요구되므로 허가합니다(첫회만)

인증할지 묻는 메시지가 표시되면 Approve를 선택합니다.

인증 가능

TouchID 사용

yubico 테스트 페이지로 이동

허가를 요구되므로 허가합니다(첫회만)

TouchID를 요구하므로 TouchID로 지문 인증

인증 가능

하드 토큰과 소프트 토큰을 사용해야합니까?

softU2F 사용시주의 사항

브라우저 확장으로 작동하기 때문에 브라우저에서 제대로 작동하지만 로컬 응용 프로그램에서 FIDO U2F 인증을 요청하면 제대로 작동하지 않을 수 있습니다.

하드 토큰

사용시 USB에 꽂아야 한다. 관리가 귀찮은 등의 문제가 있습니다만, 물리적으로도 인증에 사용하는 단말이 2요소로 나누어지므로, 보안이 중시되는 경우에서는 하드 토큰을 이용하는 것이 좋다고 생각합니다.

소프트 토큰

이용시 별도로 무언가를 해야 하는 것은 아니고, 1 디바이스만 관리하면 좋기 때문에, 편리성을 요구했을 경우는, 소프트 토큰을 사용하면 좋을까 생각합니다. 하지만 장치 도난 당시 탈취될 위험은 하드 토큰보다 올라간다고 생각합니다.