FIDO: ¿cuál es el beneficio del parámetro de desafío?

El modelo de desafío-respuesta está diseñado principalmente para ayudar a prevenir los ataques de repetición , en los que un atacante busca un paquete de autenticación. y luego lo reproduce dentro de su propia sesión para obtener acceso no autorizado.

Como notó, un token aleatorio controlado por el servidor (llamado "nonce del servidor" en la mayoría de los protocolos) que debe estar firmado para autenticarlo hace que sea casi infinitamente improbable que un atacante pueda reproducir un paquete de autenticación para obtener acceso.

Sin embargo, un beneficio adicional es que el esquema forma una especie de prueba de contraseña de conocimiento cero , en la que el conocimiento de un secreto puede probarse en el servidor, sin necesidad de transferir el secreto real a través de la red. Esto significa que un intruso de la red debe romper el esquema de desafío-respuesta (por ejemplo, mediante un ataque de fuerza bruta) para descubrir el secreto.

Thomas Pornin proporcionó un excelente resumen de los nonces del servidor y del cliente en otra pregunta , que lo resume mucho más claramente de lo que podría esperar.

FIDO es una tecnología escasa e innecesariamente compleja que solo se creó porque varias empresas necesitan algo para ganar dinero. Debería investigar SQRL en su lugar, que no pretende generar ganancias para las corporaciones.

SQRL hace que la autenticación sea fácil y segura. Hará que las contraseñas desaparezcan, pero ninguna corporación o gobierno las controlará. Sin embargo, FIDO podría utilizarse en teoría para bloquearlo de su propia computadora ...

Si le preocupa la privacidad, la seguridad y la verdadera propiedad de lo que compra, use SQRL.