من در حال خواندن برخی از پست های مربوط به پشتیبانی FIDO (یا عدم آن) در مدیران رمز عبور هستم و می خواهم بررسی کنم که آیا درک درست من درست است.
درک من از FIDO (v1) این است که دستگاه حاوی یک راز است که هرگز از دستگاه خارج نخواهد شد، و همه یی که باید پشتیبانی کند، امضای دیجیتالی است که براساس keypairs حاصل از این راز است. به طور تقریبی، هنگام ورود به مثال.com، دستگاه یک پیکربندی خاص سایت را بر اساس برخی از KDF (مخفی، example.com) محاسبه می کند و سپس چالش سرور را با آن امضا می کند.
به عبارت دیگر، یک FIDO نشانه لازم نیست که به عنوان یک منبع محرمانه بودن محرمانه عمل کند، بدین معنی است که استفاده از آن با یک مدیر رمز عبور آفلاین / مستقل امکان پذیر نیست. پس از همه، شما می خواهید پایگاه داده رمز عبور را با یک کلید که در یا در کنار پایگاه داده ذخیره نمی شود رمزگذاری شده است، به همین دلیل است که شما یک رمز عبور اصلی است که از آن شما کلید را دریافت می کنید. یک دستگاه FIDO به شما اجازه می دهد که یک کلید داشته باشید، اما همانطور که (برای اهداف عملی) «دانش صفر» است که برای باز کردن یک پایگاه داده رمز شده استفاده نمی شود.
(در مقابل، yubikeys که حالت های دیگر و همچنین FIDO را ارائه می دهند به همراه مدیران رمز عبور، دقیقا به این دلیل است که می توانند کلیدی خود را نگه دارند و زمانی که شما نیاز به باز کردن مدیر رمز عبور دارید، آن را صادر کنید.)
بنابراین برای مثال pwsafe + yubikey وجود دارد، اما Pwsafe + generic FIDO به احتمال زیاد به زودی اتفاق نخواهد افتاد. (هنوز استاندارد FIDO2 را بررسی نکرده ام، شاید این حالت برای این باشد.)
اما بعد شما چیزهایی مانند مدیر رمز عبور را می خوانید، پشتیبانی FIDO را می دهد. چگونه می توان این کار را انجام داد – مخفی است که در سرورهای خود ذخیره می شود، زمانی که با FIDO با موفقیت تایید شد؟
(من می فهمم که آیا این به تبادل اطلاعات infosec یا crypto stack می رود، اما من شروع به ارسال آن اینجا کردم.)
