我正在寻找使用 CTAP2 规范将智能手机设置为身份验证器的用例/场景。
我正在寻找用户设置浏览器以与他们的智能手机交互的用例,就像使用 Yubikey 或其他类似的安全密钥时一样。我已经阅读了与它相关的所有文档,但不幸的是,我总是得到一篇使用 Yubikeys / 其他 USB 设备作为身份验证器的文章。我期待一些手机作为漫游身份验证器的交互。
通过从概念上查看文档和 CTAP 规范,我知道这可以通过在电话和主机之间建立一些连接来完成:
建立连接后,移动验证器可以执行 CTAP2 协议,以便浏览器将其视为漫游验证器。我也期待看到使用一些支持 BLE 的设备的身份验证过程。我已经尝试在网站上使用 yubikey 安全密钥登录。但我想使用蓝牙启用 Thetis BLE 密钥或手机本身来实现相同的流程登录机制。
任何见解都会非常有帮助。我也期待着研究这个特定用例的人们进行相互讨论。
首先,您需要遵循此规范来开发您的漫游身份验证器。如果您现在开始开发,建议使用 FIDO2 标准。有 2 个模块可能需要您花时间研究和开发您的身份验证器:BLE、FIDO 加密逻辑。这是最难的工作,因为没有发布任何类型的开源供参考,您必须完全使用spec。
其次,您可以在开发时使用这些客户端之一来测试您的身份验证器:
注意:现在做 iOS 验证器不太方便。请检查此问题以了解原因
第三,您可以使用FIDO 一致性工具来验证您的身份验证器。
最后,如果需要,您可以去获得认证并在MDS上注册
我正在寻找同样的东西。对于截至 2020 年的未来读者,如果其他人正在寻找,以下资源会很有帮助。
您可以查看https://github.com/solokeys/solo,它提供了硬件和固件的开源实现。这是一个很好的起点。由于他们已经实现了 ctap,因此他们还隐藏了使用用于 linux 的 usb_gadget 的仿真。
您还可以查看https://github.com/github/SoftU2F,这是一个使用 mac 钥匙串的 MacOS 软件 u2f。