3. Пароли и логины в Интернет
Пользователь
Везде один
пароль
Слабое место
сайт
Злоумышленник
1
Social
.com
Bank
.com
Network
.com
LOL
.com
Obscure
.com
1
2
4. Бизнес логины и пароли
Пользователь
1
3
5
Устройство
IDP
IDP
IDP
2
4
Сетевой
ресурс
Слабое место
пользователь
и устройство
Злоумышленник
5. :)
Анатомия атаки pass the hash
Чистый ПК Пользователь
получил
почту
Пользователя
заманили на
вредоносный
сайт
Устройство
заражено
14. Представляем
Microsoft
"Passport"
Заменить пароли приватными ключами
доступными только с помощью “user
gesture” (PIN, Windows Hello, удаленное
устройство, и.т.д.)
Цели:
Поддерживается два сценария локальный
Passport и Passport2Go (телефон, USB ключ,
и.т.д.)
Простота и удобство обращения должны
быть не хуже чем у паролей
15. Использование
Microsoft
"Passport"
Ключи
Публичный ключ привязан к
пользовательскому аккаунту
Подтверждаем с помощью OTP или
PhoneFactor
Для пользователя знакомый
интерфейс Windows Hello или PIN
Знакомая ИТ концепция
ассиметричной криптографии. Пара
ключей приватный – публичный.
16. Microsoft
"Passport"
Использование
Ключи генерируются и хранятся в идеале в
(TPM) чипе, или в ПО если нет другого
варианта
Ключи могут быть аттестованы и
привязаны к конкретному TPM
Поддержка с помощью JS/Webcrypto api
чтобы создавать и использовать пароли
для посетителей вебсайтов
Единый «жест» для доступа к множеству
изолированные ключей
17. Аутентификация для организаций и пользователей
IDP
Active Directory
Azure Active Directory
Microsoft Account
Другие IDP
1
User
2
Windows 10
3
Интранет
ресурс
4
4Интранет
ресурс
Новый
подход
Microsoft
Passport
21. PIN
Простой вариант
Не требует доп. оборудования
Знаком пользователю
Windows Hello
Улучшенная безопасность
Простота использования
Невозможно забыть и потерять
Доступ в систему и к ключам MS Passport
Sample design, UI not final