u2f authentication Universal Second Factor Jan-Erik Rediger 20. Mai 2015



Ähnliche Dokumente
Mobile Anwendungen Google Cloud Messaging

Kombinierte Attacke auf Mobile Geräte

Mozilla Persona. Hauptseminar Web Engineering. Vortrag. an identity system for the web Nico Enderlein

Version Deutsch In diesem HOWTO wird beschrieben wie Sie Ihren Gästen die Anmeldung über eine SMS ermöglichen.

Fotostammtisch-Schaumburg

IEEE 802.1x Authentifizierung. IEEE 802.1x Authentifizierung IACBOX.COM. Version Deutsch

Radius Server. Bericht im Studiengang Computerengineering an der HS-Furtwangen. Student: Alphonse Nana Hoessi Martikelnr.:227106

Wie Sie sich einen eigenen Blog einrichten können

Konzept zur Push Notification/GCM für das LP System (vormals BDS System)

we run IT! ArGO Mail Inhaltsverzeichnis Services zurzeit in ArGO Mail aktiv: Mail

Registrierung im Portal (Personenförderung)

Anleitung über den Umgang mit Schildern

Anleitung Grundsetup C3 Mail & SMS Gateway V

Was man mit dem Computer alles machen kann

Kampf dem Passwort! Die Authentifizierung der Zukunft. Linux höchstpersönlich.

17 Ein Beispiel aus der realen Welt: Google Wallet

E-Government Sondertransporte (SOTRA) Registrierung von Benutzerkennung

Anleitung zur Anmeldung mittels VPN

Ein Plädoyer für mehr Sicherheit

Reporting Services und SharePoint 2010 Teil 1

DAVID: und David vom Deutschlandlabor. Wir beantworten Fragen zu Deutschland und den Deutschen.

Konfiguration von Igel ThinClients fu r den Zugriff via Netscaler Gateway auf eine Storefront/ XenDesktop 7 Umgebung

Android Remote Desktop & WEB

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

FB Lead App - Benutzerhandbuch

Erste Vorlesung Kryptographie

Das Leitbild vom Verein WIR

Einbindung des Web Map Service für Gemeinden Anleitung

Administrator Handbuch

G DATA INTERNET SECURITY FÜR ANDROID

1. Weniger Steuern zahlen

2 Die Terminaldienste Prüfungsanforderungen von Microsoft: Lernziele:

Um DynDNS zu konfigurieren, muss ausschließlich folgendes Menü konfiguriert werden:

Gmail in Thunderbird mit IMAP einrichten

Erste Schritte mit Sharepoint 2013

Solarstrom selbst erzeugen und speichern so geht s!

Wie funktioniert das WWW? Sicher im WWW

COMPUTER MULTIMEDIA SERVICE

Two-factor authentication / one-time passwords

Seite 1 von 14. Cookie-Einstellungen verschiedener Browser

Anleitung Microsoft Select-Plus Registrierung

Monatstreff für Menschen ab 50 Temporäre Dateien / Browserverlauf löschen / Cookies

Anlegen eines DLRG Accounts

Regeln für das Qualitäts-Siegel

Woher kommt die Idee Internet?

Erste Schritte mit TeamSpeak 3

Die Bürgermeister App. Mein Bürgermeister hört mich per App.

vorab noch ein paar allgemeine informationen zur d verschlüsselung:

secuentry/anleitung Android KeyApp

Einfügen von Bildern innerhalb eines Beitrages

iphone 4 - Einrichtung des VPN Clients (Cisco VPN Client) / Verbinden des iphones mit einem Exchange

IBM Software Demos Tivoli Provisioning Manager for OS Deployment

Ihr habt Probleme auf die Closed Public Beta zuzugreifen? Dieses Dokument hilft Euch Antworten auf häufig gestellte Fragen zu erhalten.

Universal Dashboard auf ewon Alarmübersicht auf ewon eigener HTML Seite.

-Verschlüsselung mit S/MIME

Der Nachhilfe Campus. Warum Nachhilfe?

Anleitung zur Installation von VSP-Client- Zertifikaten in Browsern

Webseiten und Web-Apps grafisch gestalten mit HTML5 Canvas ohne Flash und sonstige Tools

Website freiburg-bahai.de

eshop BY MEFA ANWENDERINFORMATIONEN

Facebook und soziale Medien. eine kritische Betrachtung

Beispielkonfiguration eines IPSec VPN Servers mit dem NCP Client

O RGAKO M : Was ist Twitter?

ERSTE SCHRITTE.

Aktivierungsanleitung

Anleitung: WLAN-Zugang unter Windows 8 - eduroam. Schritt 1

PayPal PLUS für Shopware

Programmiertechnik II

Folgen Sie bitte genau den hier gezeigten Schritten und achten Sie auf die korrekte Eingabe der Daten.

Anleitung für Vermieter

TELIS FINANZ Login App

Identity Theft Der richtige Schutz vor Identitätsdiebstahl

Inhaltsverzeichnis SEITE 1. Der User Guide in drei Schritten 2. Erste Schritte 2. Wieviel habe ich gearbeitet verdient? 5

SSH Authentifizierung über Public Key

Bitte beachten Sie. Nur für Kabelmodem! - 1 -

Migrationspfad zu BES 10 (1)

Anleitung für den Zugriff auf Mitgliederdateien der AG-KiM

Einrichtung des Cisco VPN Clients (IPSEC) in Windows7

Wie das genau funktioniert wird Euch in diesem Dokument Schritt für Schritt erklärt. Bitte lest Euch alles genau durch und geht entsprechend vor!

Aktivieren von Onlinediensten im Volume Licensing Service Center

FritzCall.CoCPit Schnelleinrichtung

Zum Gebrauch mit QR Code-Scanner/Lesegeräten

INDEX. Öffentliche Ordner erstellen Seite 2. Offline verfügbar einrichten Seite 3. Berechtigungen setzen Seite 7. Öffentliche Ordner Offline

MSXFORUM - Exchange Server 2003 > SMTP Konfiguration von Exchange 2003

Internet online Update (Mozilla Firefox)

Office 365 ProPlus für Studierende

VPN IPSec Tunnel zwischen zwei DI-804HV / DI-824VUP+

FTP Tutorial. Das File Transfer Protocol dient dem Webmaster dazu eigene Dateien wie z.b. die geschriebene Webseite auf den Webserver zu laden.

MSXFORUM - Exchange Server 2003 > Konfiguration NNTP unter Exchange 2003

Übung - Arbeiten mit Android

Meldung Lokale Anwendung inkompatibel oder Microsoft Silverlight ist nicht aktuell bei Anmeldung an lokal gespeicherter RWE SmartHome Anwendung

icloud nicht neu, aber doch irgendwie anders

Guide DynDNS und Portforwarding

Geschrieben von: Stefan Sonntag, den 26. Juni 2011 um 09:45 Uhr - Aktualisiert Sonntag, den 26. Juni 2011 um 10:12 Uhr

Zwei-Faktor-Authentisierung. Alles unter Kontrolle mit Open Source

Comtarsia SignOn Familie

Informatik für Ökonomen II HS 09

Transkript:

u2f authentication Universal Second Factor Jan-Erik Rediger 20. Mai 2015 0

who am i? Hi, ich bin Jan-Erik! Informatik-Student, RWTH Redis Contributor, Maintainer einiger Projekte rundherum damals: Webdev, heute: Backend- & Netzwerk-Typ 1

Sichere Webapps - kann doch nicht so schwer sein, oder? 2

authentifizierung Klassisch: Username + Passwort Username ist öffentlich Passwörter sind schwach oder werden gestohlen 3

zwei-faktor-authentifizierung (2fa) Second Factor: zweite Komponente, meist physisch in Besitz (Time-based) One Time Password Vielfach unterstützt: Google, GitHub, https://twofactorauth.org/ 4

Wer nutzt kein 2FA auf GitHub? 5

2fa SMS kann dauern, Delay, benötigt Netzverbindung Notification im Lockscreen? Google Authenticator App hat selbst keinen Lock Updates machen regelmäßig Probleme kein MITM-Schutz woher weiß man, dass Abfrage valide ist? 6

Universal 2nd Factor 7

universal 2nd factor FIDO Alliance Google, Samsung, Microsoft, PayPal, yubico, Key / Token in physikalischem Besitz Kostenfaktor MITM / Phishing nicht möglich Public/Private Keys pro Service im Browser via JavaScript-API Chrome Extension, bald nativ 8

universal 2nd factor - devices 17 65 6 9

wirklich besser? Crypto-Stuff macht der Key Key überprüft Endpunkt Phishing nur noch mit Malware möglich Kein Strom, keine Batterien, kein Netz Passt an den Schlüsselbund einfaches Protokoll 10

U2F Protokoll 11

u2f protokoll Phase 1: Registrierung 1. 32 byte (pseudo-random) Challenge vom Server 12

u2f protokoll Phase 1: Registrierung 1. 32 byte (pseudo-random) Challenge vom Server 2. Challenge, version identifier und appid werden zum User gesendet 12

u2f protokoll Phase 1: Registrierung 1. 32 byte (pseudo-random) Challenge vom Server 2. Challenge, version identifier und appid werden zum User gesendet 3. Browser fragt um Erlaubnis 12

u2f protokoll Phase 1: Registrierung 1. 32 byte (pseudo-random) Challenge vom Server 2. Challenge, version identifier und appid werden zum User gesendet 3. Browser fragt um Erlaubnis 4. Key generiert Public Key, key handle und Signatur (Signatur über appid, challenge, public key und key handle) 12

u2f protokoll Phase 1: Registrierung 1. 32 byte (pseudo-random) Challenge vom Server 2. Challenge, version identifier und appid werden zum User gesendet 3. Browser fragt um Erlaubnis 4. Key generiert Public Key, key handle und Signatur (Signatur über appid, challenge, public key und key handle) 5. Browser schickt Key-generierten Daten zurück 12

u2f protokoll Phase 1: Registrierung 1. 32 byte (pseudo-random) Challenge vom Server 2. Challenge, version identifier und appid werden zum User gesendet 3. Browser fragt um Erlaubnis 4. Key generiert Public Key, key handle und Signatur (Signatur über appid, challenge, public key und key handle) 5. Browser schickt Key-generierten Daten zurück 6. Server verifiziert und speichert key handle, public key und counter 12

u2f protokoll Phase 2: Authentifizierung 1. Server sendet 32 byte Challenge für alle key handles eines Users und appid 13

u2f protokoll Phase 2: Authentifizierung 1. Server sendet 32 byte Challenge für alle key handles eines Users und appid 2. Key wird durch Userinteraktion aktiviert 13

u2f protokoll Phase 2: Authentifizierung 1. Server sendet 32 byte Challenge für alle key handles eines Users und appid 2. Key wird durch Userinteraktion aktiviert 3. Browser schickt es zum Key, inklusive origin 13

u2f protokoll Phase 2: Authentifizierung 1. Server sendet 32 byte Challenge für alle key handles eines Users und appid 2. Key wird durch Userinteraktion aktiviert 3. Browser schickt es zum Key, inklusive origin 4. Key erstellt Signatur über appid, counter, challenge und origin 13

u2f protokoll Phase 2: Authentifizierung 1. Server sendet 32 byte Challenge für alle key handles eines Users und appid 2. Key wird durch Userinteraktion aktiviert 3. Browser schickt es zum Key, inklusive origin 4. Key erstellt Signatur über appid, counter, challenge und origin 5. Signatur und counter werden zurück gesendet 13

u2f protokoll Phase 2: Authentifizierung 1. Server sendet 32 byte Challenge für alle key handles eines Users und appid 2. Key wird durch Userinteraktion aktiviert 3. Browser schickt es zum Key, inklusive origin 4. Key erstellt Signatur über appid, counter, challenge und origin 5. Signatur und counter werden zurück gesendet 6. Server verifiziert Signatur mit gespeichertem public key und counter 13

implementierung https://u2f.herokuapp.com/ (Demo Time!) 14

implementierung 15

wie schaut s aus? Chrome: supported in Chrome 38+ (via Extension) Firefox: Ticket offen, noch keine Implementierung (s.fnordig.de/u2f-firefox) Others: nope :( 16

und nun? Besorgt euch einen U2F Key (die sind günstig ;)) Sichert eure eigenen Apps ab Nutzt 2FA! ruby-u2f bräuchte mal einen Audit 17

sources s.fnordig.de/u2f-post - I explained the full implementation s.fnordig.de/u2f-code - The code itself s.fnordig.de/u2f-app - The demo app s.fnordig.de/u2f-spec - short overview of the U2F protocol git.io/u2f - ruby-u2f 18

19

Questions? 20

the end Get the slides here: http://slidr.io/badboy/u2f-authentication Reach me on Twitter: @badboy_ Jan-Erik Rediger - 20. Mai 2015 - cologne.rb 21

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback