Аппаратное обеспечение FIDO2 появляется на полках, но какие ограничения оно несет с ним?

Question

Я читаю каждую публикацию Yubico и смотрю вебинары, но по какой-то причине они скрывают некоторую информацию.

При использовании Yubikey 5 для Single Strong Factor они требуют аутентификатор (думаю, они имеют в видуЦП физического ключа) генерирует пару ключей для каждого сайта, на который вы регистрируетесь с помощью метода «резидентные ключи».Они признают, что количество зарегистрированных пользователей ограничено, поскольку каждый из них занимает слот на ключе, поэтому он не безграничен, как U2F.Поэтому мне интересно:

1. Каков верхний предел слотов в новых 5 сериях?(Я пока не знаю других поставщиков, предлагающих FIDO2) *
2. Можно ли вручную сбросить старые использованные слоты, чтобы освободить место?
3. Может ли удаленный злонамеренный сайт потенциально создать регистрацию с несколькими ключамисобытия, из-за которых ключ заполняет все свободные слоты?
4. Когда я попадаю на страницу входа в службу, на которой зарегистрировано более одной учетной записи, какая часть цепочки просит меня выбрать учетные данные Iхотите войти?Локальный клиент (обычно веб-браузер) или удаленный сервер?
5. Может ли удаленный сервер обнаружить, что две учетные записи зарегистрированы с одним и тем же ключом?Разве это не проблема конфиденциальности, о которой должны знать пользователи?

Спасибо за любую известную вам информацию, будь то FIDO2 в целом или аппаратное обеспечение Yubico, в частности.

(Пытался пометить этот FIDO2, ноЯ не могу создать новый тег)

Answer 1

Я могу попытаться ответить на некоторые ваши вопросы:

1. В основном, есть два варианта аппаратного токена: генерировать и хранить новую пару ключей для каждой регистрации (называемые резидентными ключами) или использовать ключ-wrapping и «хранить» ключи на сервере проверяющей стороны как credentialId (https://www.w3.org/TR/webauthn/#sctn-credential-storage-modality). YubiKey 5 поддерживает обе опции: когда проверяющая сторона просит использовать ваш ключ в качестве MFA / passwordess ("requireResidentKey": false), генерируется новая пара ключейи сохраняются на устройстве; когда проверяющая сторона просит использовать ваш ключ только в качестве второго фактора, используется перенос ключей и не используется внутренняя память. YubiKey 5 может хранить только 25 пар ключей (https://support.yubico.com/support/solutions/articles/15000014219-yubikey-5-series-technical-manual#FIDO2r09kph).
2. Вы можете выполнить только заводские настройки вашего токена (все из ничего). Это определяется CTAP2 (https://fidoalliance.org/specs/fido-v2.0-rd-20170927/fido-client-to-authenticator-protocol-v2.0-rd-20170927.html#authenticatorReset).) Теоретически Yubico может предоставить пользовательский инструмент для управления учетными данными один за другим, но яне знает о таком инструменте.
3. Нет, если вы не касаетесь своей клавиши каждый раз (обнаружение присутствия).
4. Это зависит от проверяющей стороны. WebAuthn (FIDO2) позволяет обеимES и Yubikey 5 поддерживают их обоих.Если веб-сайт использует токен только в качестве второго фактора (например, U2F), он запрашивает конкретные учетные данные.Если ваш ключ используется в качестве маркера без пароля, а проверяющая сторона не запрашивает определенные учетные данные, то платформа (или браузер) собирает все учетные данные, связанные с проверяющей стороной, и отображает диалоговое окно выбора.
5. Да и нет.Проверяющая сторона может предоставить список известных учетных данных (excludeList в CTAP2) вашему токену, а затем ваш токен должен отказать в регистрации, если у него уже есть учетные данные из этого списка.Но это полезно только для предотвращения присвоения одного и того же ключа одной учетной записи.