Я успешно использовал свой Yubikey, чтобы мои браузеры Chrome и Firefox использовали мою двухэтапную проверку для работы с моей учетной записью Google. К сожалению, у меня есть несколько оконных приложений, которые я не могу заставить работать с моим ключом. Я ввожу свое имя пользователя на экране 1, пароль на экране 2, а затем я получаю третий ключевой шаг:Экран подсказки U2F 3 Я никогда не смогу заставить это окно распознать мой ключ. Я даже не могу понять, какой браузер используется для этой аутентификации. Насколько я понимаю, Windows IE 11 не поддерживает FIDO / U2F, поэтому я попытался отключить Windows IE в надежде, что он переключит серверную часть на Edge, что может работать лучше. Это не так.

Что я могу сделать, чтобы эти приложения и другие приложения имели схожий интерфейс и предлагали узнать мой ключ? Если это невозможно, почему? Кроме того, если это невозможно, кроме двухэтапной проверки, какие альтернативы доступны?

Почтовое приложение Windows является примером такого приложения (оно выдает сообщение «Вы можете использовать свои ключи безопасности только с Google Chrome». Другим примером такого приложения является бесплатное резервное копирование Gmail UpSafe, которое приводит меня к изображению экрана подсказки U2F выше). ,

Одним из моих устройств является Feitian MultiPass FIDO. Другой - USB-ключ Yubico U2F FIDO.

1 ответ1

1

Встроенное почтовое приложение Windows не имеет необходимых обработчиков для аутентификации FIDO, так что в этом есть смысл. (Кроме того, постоянное почтовое приложение - это не то, что вы бы использовали с MFA, поскольку оно должно быть в состоянии запускаться, даже если вас и вашего токена нет рядом). Для этого я бы порекомендовал вам установить пароль приложения только для почтового приложения на доверенном устройстве.

Похоже, что UpSafe (который, к сожалению, имеет буквально ноль опубликованной документации на своем сайте) использует браузер для входа в систему, а затем работает в изолированном контексте. Это достойная идея, но неправильный способ обеспечения безопасности; в качестве внешней службы, выполняющей операции от вашего имени, они должны использовать токены OAUTH.

Идея с безопасностью и недоверенным сторонним провайдером заключается в том, что у них никогда не должно быть доступа к вашим паролям (что позволит им работать как вы, с полным контролем над учетной записью), и вместо этого им должно быть предоставлено разрешение. им для вас только для конкретных предметов, которые им нужны (читать почту / контакты / и т. д., но не изменять или создавать). Вот где приходит OAUTH .

Кажется, что UpSafe (я действительно хотел бы, чтобы они опубликовали документацию, чтобы я мог говорить об этом с большей точностью), еще не внедрил этот тип безопасности. Если вместо этого они запрашивают интерактивный вход в систему, это означает, что они сохраняют ваш пароль и используют ваши учетные данные для доступа к учетной записи (лично это знак "убежать"). Так как ваши сохраненные учетные данные не работают без ключа 2FA, они снова выдают запрос, как если бы вы изменили пароли для них. Полоскание. Повторение.

В обоих случаях ваша проблема связана не с аутентификацией Google или Yubikey, а с приложением, выполняющим вход в систему. И что ни один из этих вариантов использования на самом деле не работает с MFA (для правильной работы требуется постоянный доступ, отсутствующий у пользователя). В случае приложения Почта, установленного на вашем ноутбуке, это имеет смысл - способ, которым почтовое приложение работает, не способствует MFA и должен быть настроен с паролем приложения (это не сторонний поставщик, делающий доступ на от вашего имени, это все еще вы, но ему нужен доступ все время, даже без вашего ключа). В случае UpSafe кажется, что (чистое предположение без какой-либо документации) они хранят и повторно используют пароль (ворчание). Они являются сторонней третьей стороной и действительно должны использовать OAUTH, но если вы им доверяете и не против предоставить им полный доступ к вашей учетной записи, вы также можете использовать для них пароль приложения.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .