DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

ddos清洗_云服务器高防_无限

06-11 CC防护

ddos清洗_云服务器高防_无限

产品与工程2017年12月1日尼克·斯蒂尔Web身份验证:它是什么以及它对密码意味着什么自2016年年中以来,一批来自整个行业的安全专业人士和研究人员一直在研究一种新的方法来处理身份验证和在互联网上证明自己的身份,而无需密码的帮助。WebAuthn和UAF新的标准被称为Web身份验证(webauthentication,简称WebAuthn),是一个将直接构建到流行的Web浏览器中的凭证管理API。它允许用户使用身份验证器(如电话、硬件安全密钥或TPM(Trusted Platform Module)设备)注册和验证web应用程序。这意味着对于像电话或TPM这样的设备,用户可以向我们提供生物特征验证,我们可以使用WebAuthn代替传统密码。除了用户验证,我们还可以确认"用户存在"。因此,如果用户有一个像Yubikey这样的U2F令牌,我们也可以通过webauthnapi处理第二个身份验证因素。虽然WebAuthn是一个相当新的规范,但它在很大程度上是基于一个相对较旧的规范,至少在"互联网时代"。FIDO联盟从2014年开始制定一个类似的API标准,称为UAF,Universal Authentication Factor。UAF的规范在某些方面有不足之处:似乎从来没有真正推动将必要的功能添加到主要浏览器中,因此希望实现它的开发人员的任务是解决缺乏本机支持的问题。除此之外,对于如何实现使UAF在Android和iOS设备上正常工作的步骤几乎没有参考。在出版时,最实用的UAF参考资料是这个由eBay开源的实现。与它的前任不同,WebAuthn应该留在这里。尽管规范的细节很复杂,但WebAuthn在实践中实现起来相当容易。在撰写本文时,Chrome和Firefox都具有WebAuthn所需的数据类型,Firefox的夜间构建能够创建和请求凭据。稍后我们将讨论这个新标准对密码的未来意味着什么(抱歉,它们可能不会在明天消失),但首先,我们将更详细地介绍webauthnapi的核心组件。注册和认证虽然WebAuthn被起草为一个开放式的凭证创建和管理API,能够生成许多不同类型的凭证,但现在,它是用来处理对web应用程序的注册和身份验证的。通过webauthnapi创建的凭证依赖于强加密原则和非对称加密。因此,当我们谈论凭证注册和认证时,要知道我们使用的凭证实际上是公钥和私钥对。登记处在注册期间,用户使用验证器创建凭证,服务器ddos防御软件,然后向web应用程序的所有者(称为依赖方)证明用于创建凭证的凭据和验证器是可信的。证明这一点允许依赖方在有用户验证的情况下使用创建的凭证代替传统密码,在我们只能证明用户存在的情况下作为传统U2F的替代。对于WebAuthn在实践中如何工作,有很多不同的案例,但最常见的例子是:用户访问一个网站,比如cat-facts.com网站,然后去注册一个帐户。在按了一个按钮开始在网站上注册后,他们的手机会收到一个提示,下列无法防御ddos,说"注册猫-facts.com网站."一旦他们接受了请求,用户将被要求执行一个"授权手势",比如键入一个与他们创建的帐户相关联的PIN或生物识别操作。在提供了这个之后,笔记本电脑上的网站会显示一些内容,效果是"注册完成!"用户现在可以登录到cat-facts.com网站使用相同的电话和授权手势。身份验证身份验证,也称为断言,因为我们断言的是凭证的所有权,在我们向网站注册凭证之后发生。由于凭证只是一个密钥对,依赖方可以向用户发送一些数据,以通过用户的验证器验证其身份。如果他们是他们所说的,数据将返回由凭据私钥签名的。此操作部分地向依赖方验证用户。让我们考虑一个不同的场景,说明如何在用户注册站点后使用WebAuthn来处理身份验证example.com网站. 让我们假设他们也注册了第二个帐户,为了让事情更有趣,他们正在手机上浏览。用户导航到example.com网站并选择登录选项。他们会看到两个帐户的列表,选择一个登录,然后系统会提示他们输入与该帐户关联的PIN或生物特征。在这之后,example.com网站将选定的用户登录到帐户中。安全问题大多数安全问题都与开发人员对WebAuthn规范的实现有关。如果开发人员不考虑检查重放攻击或确保验证器没有以某种方式受到危害,那么攻击是可能的。大多数关于认证者和制造商的担忧可以通过开发人员的努力来减轻。密码的含义WebAuthn希望提供的重要功能是基于"用户是什么"的生物特征多因素身份验证。用户(在大多数情况下)拥有他们独有的声音、指纹或视网膜。如今,大多数用户还拥有一种生物识别设备,比如智能手机,它可以使用这些数据来创建和管理只有用户才能通过这些独特特征访问的凭证。由于您的手机在制作和存储密码方面比您强得多,我们可以使用WebAuthn规范替换标准网站密码。它的核心功能是考虑到这一点,但目前只支持双因素身份验证的物理方法("用户拥有的东西",ddos防御方法世界杯翻滚,如硬件安全令牌),因为没有手机目前支持WebAuthn。这并不是说WebAuthn不能用于用户知道的多因素身份验证方法。它也可以(一旦实现了规范)做到这一点!例如,用户输入PIN而不是生物特征来验证网站。这是用户知道的,但通过WebAuthn规范来处理。与WebAuthn的前身FIDO UAF不同,该规范允许更多的通用性。与fidouaf不同的是,有很多重量级公司支持它,包括谷歌、微软和Mozilla。这使我希望这个规范将开始被采用。这些公司积极参与WebAuthn开发的一个好迹象是,规范已经解释了它将如何与Android Key Store和Android SafetyNet集成,随着Google工程师对规范草案的贡献,他们可能很快会增加支持。但谷歌可能已经考虑过这个问题一段时间了。2017年初,Google开始制定一个关于credentialmanager API来处理凭证存储的规范。但是,ddos防御安全解决方案,在这个版本的凭证管理器中,它只讨论密码和联合凭证。Google实际上发布了关于在Chrome中使用这个凭证管理API的文档,并且相同的API正在被修改(在Chrome中)以包含对WebAuthn凭证的支持。所以现在不要开始删除密码,高防tcp防御cdn,因为WebAuthn还需要一些工作。虽然webauthnapi看起来应该会在未来几个月在Firefox和Chrome上使用,但我不认为它会很快取代密码。我真的希望开发者和公司开始实施它来替代他们网站中现有的双因素认证代码,因为当手机开始支持WebAuthn请求时,应该很快切换对用户验证的支持。示例和进一步阅读Duo-Labs团队编写了一些概念证明,既可以教会我们自己,也可以帮助他人了解WebAuthn在实践中应该如何工作。在从该标准的作者之一J.C.Jones那里得到一些非常有用的建议后,我用Go编写了一个简单的web应用程序,它演示了Webauthn注册和认证的基础知识。该代码可以试用,目前只能通过Firefox Nightly Build在网络认证.io如果您想在本地运行代码,那么源代码可以在GitHub上找到。我希望不久能有另一篇博客文章,对规范进行更技术性的研究,但同时,如果你感到兴奋,并准备深入研究WebAuthn,那么我鼓励人们查看W3C工作草案。如果您有任何问题,请通过Twitter或GitHub联系我。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com/ddos/60444.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8083285访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X