¿Cómo uso un teléfono inteligente como autenticador en la nueva especificación de autenticación web?

3

He estado aprendiendo sobre la nueva especificación de autenticación web . Estoy un poco confundido en cuanto a cómo funcionaría el siguiente caso de uso:

Un usuario desea iniciar sesión en una aplicación web de la empresa en su computadora portátil o de escritorio, utilizando su teléfono inteligente como autenticador (como se define en la especificación).

Para aclarar ... el usuario escribiría su nombre de usuario en la aplicación web que se ejecuta en el navegador en su computadora portátil. Luego, hacen clic en un botón que dice algo como "Iniciar sesión sin contraseña con el teléfono inteligente". Luego, harían clic en este botón en el momento en que se les solicitaría en su teléfono inteligente un escaneo de huellas dactilares. Tras un escaneo exitoso, se iniciarían sesión en el sitio. Este flujo se describe como un flujo de trabajo de ejemplo en la especificación aquí . Además, Google hizo una buena presentación en la que dio un ejemplo de algo similar, excepto que la aplicación web que estaban ejecutando ya se estaba ejecutando en el teléfono inteligente (no en una computadora de escritorio o portátil). Consulte aquí . Me interesa el caso de uso en el que un usuario ejecuta una aplicación web en su computadora portátil o de escritorio y desea utilizar su teléfono inteligente como autenticador.

Esto me lleva a las siguientes preguntas:

En un nivel alto, ¿cuál es el proceso para configurar un teléfono inteligente como autenticador? ¿Es posible hacer esto? ¿Es este un caso de uso que admite la autenticación web?

Lo que estoy buscando es un nivel muy alto de cómo debería configurar el navegador para que interactúe con su teléfono inteligente de la misma manera que lo haría al usar Yubikey u otro dispositivo similar. Todos los ejemplos que he visto utilizan Yubikeys u otros dispositivos USB como autenticador para este caso de uso particular, no un teléfono inteligente. Cualquier información sería útil.

    
pregunta Rob L 18.06.2018 - 11:59
fuente

3 respuestas

1

De acuerdo con la (no normativa) introducción :

  

Otros autenticadores PUEDEN operar de forma autónoma desde el dispositivo informático que ejecuta el agente de usuario, y se puede acceder a él a través de un transporte como el Bus serie universal (USB), Bluetooth Low Energy (BLE) o Near Field Communications (NFC).

Por lo tanto, el cliente (navegador) se comunica con el autenticador (teléfono inteligente) mediante USB, BLE o NFC usando Client to Authenticator Protocol (CTAP).

Todavía no conozco ninguna implementación de autenticador de teléfonos inteligentes, y ningún navegador actual admite la conexión a un autenticador a través de BLE o NFC. Esto indica que el soporte de Bluetooth estaba planeado para Chrome 68, pero no he visto ninguna mención más reciente de él.

    
respondido por el AndrolGenhald 18.07.2018 - 23:39
fuente
0

Necesitará tener alguna aplicación en el teléfono inteligente que guarde sus credenciales, no su contraseña.

Tan pronto como intente iniciar sesión, el servidor tendrá que enviar un mensaje al teléfono inteligente con un código de solicitud especial, y la aplicación mostrará un mensaje con el sitio, y probablemente con la marca de tiempo y los datos del navegador (tipo de navegador y OS, al menos). Cuando reconoce el intento de inicio de sesión, la aplicación envía las credenciales y el sitio le permite iniciar sesión.

¿Posible? Sí, no hay desafíos técnicos en esto. Google usa (si lo configura primero) algo así en 2FA: envía un mensaje a su teléfono cada vez que intenta iniciar sesión en un nuevo dispositivo. El problema es encontrar el Trusted Relaying Party que permanecerá en el medio entre su sitio y el teléfono inteligente de su cliente. A menos que haya solo unos pocos, nadie los usará, ya que cada usuario tendrá que instalar docenas de aplicaciones de autenticación para usar sus sitios. Todos los usuarios usarán la misma contraseña en todos los servicios o iniciarán sesión con Facebook ...

    
respondido por el ThoriumBR 18.06.2018 - 21:59
fuente
-1

Todos los casos que conozco y también uso, use fqdn para mfa / 2fa. Lo que significa que si intenta configurar dicho servicio en una computadora portátil, este dispositivo debe estar siempre accesible y frpm a Internet siempre en la misma fuente. Que esto no sea un problema. Como por ejemplo, algún servicio DynDNS instalado y actualizando la IP de esta Maschine.

    
respondido por el Pawel Kostelnik 18.06.2018 - 21:19
fuente

Lea otras preguntas en las etiquetas