Was ist das CTAP-Protokoll und wozu dient es?

1. Januar 2020 Matt Mills Tipps und Tricks 0

CTAPDie überwiegende Mehrheit der Benutzer entscheidet sich für Online-Einkäufe, da sie ein bestimmtes Produkt bequem und schnell erwerben können, ohne das Produkt im Geschäft suchen, bezahlen und mit nach Hause nehmen zu müssen. Aufgrund des zunehmenden Online-Shoppings ist Sicherheit ein grundlegendes Thema. Heute werden wir erklären, was das CTAP-Protokoll ist und wofür es gedacht ist.

Seit dem letzten Jahrzehnt jede Website, auf die wir zugreifen, um einen Kauf zu tätigen, wenn wir auf ein soziales Netzwerk, ein Forum usw. zugreifen. Sie fordert uns immer auf, uns mit einem Benutzernamen oder anzumelden E-Mail, zusammen mit dem entsprechenden Passwort, mit dem wir das Konto registriert haben. Das Hauptproblem bei der Verwendung dieser Anmeldemethode, dh um uns auf der Website zu identifizieren, besteht darin, dass es sehr einfach sein kann, die Daten zu stehlen oder unser Anmeldekennwort zu ermitteln. Normalerweise geschieht dies normalerweise, wenn nicht verwendet wird starke Passwörter , wie sie schwieriger zu merken sein können.

Aufgrund all dieser Sicherheitsprobleme hat die FIDO Alliance zusammen mit dem World Wide Web Consortium, besser bekannt als W3C, ein viel sichereres und komfortableres System für die Anmeldung bei Websites entwickelt. Diese Entwicklung wurde mit der Schaffung von FIDO2 und WebAuthn abgeschlossen, über die wir bereits in Networks Zone gesprochen haben. Ein weiterer gleichwertiger oder wichtigerer Mechanismus, den die meisten Benutzer nicht kennen, ist CTAP ( Client zu Authenticator Protokoll ).

Was ist CTAP?

Das erste, was wir wissen müssen, ist, dass FIDO2 und WebAuthn Systeme sind, die das Kennwortsystem ersetzen sollen, das heute alle Benutzer verwenden. Mit FIDO2 und WebAuthn können Sie sich mit biometrischen Daten anmelden, ein einfaches Beispiel für Laptops, Handys und andere Geräte, die beispielsweise einen Fingerabdruckleser enthalten.

Dank des Fingerabdrucks können wir unser Passwort zum selben Fingerabdruck machen. Es ist sehr wichtig, dass Sie es nicht mit den Systemen verwechseln, die sich derzeit auf verschiedenen Geräten befinden, damit Sie, wenn Sie die Anmeldung benötigen, das Kennwort gespeichert haben (Kennwort-Manager). Dieses System ist nicht das FIDO2 oder das WebAuthn, da wir nur auf eine auf unserem Gerät gespeicherte Datenbank zugreifen, um automatisch das Passwort für diese Website einzugeben.

Eine weitere Option, die es auch gibt und die zunehmend in Unternehmen verwendet wird, ist ein Gerät, das als USB-Stick an unseren Computer angeschlossen wird und intern eine Hardware zur Authentifizierung und sicheren Anmeldung enthält.

In Anbetracht dieses vorherigen Punktes möchten wir erklären, wie das CTAP funktioniert. Das CTAP in diesem vorherigen Fall wäre das Protokoll, das für die Steuerung der Kommunikation zwischen dem USB-Schlüssel und dem Authentifizierungstoken zuständig ist. Das heißt, CTAP ist das Protokoll, das für die sichere Kommunikation zwischen den beiden Parteien verantwortlich ist, sodass sie zuerst kommunizieren, sich dann authentifizieren und sich schließlich anmelden können.

CTAP-Versionen

Sobald wir gesehen haben, was CTAP ist und wie es funktioniert, ist es wichtig zu wissen, dass es derzeit zwei völlig verschiedene Versionen von CTAP gibt, die wir unten sehen werden:

  • U2F (Universal 2 nd Faktor) : Die erste Version, die von CTAP erstellt wurde, ist auch genau die erste Version, die vom Protokoll erstellt wurde und besser bekannt ist als U2F, was „Universal 2 nd Faktor". Diese Version bezieht sich auf die Authentifizierung zweier Faktoren, oder wie Sie sicherlich wissen, vieler zweistufiger Authentifizierungen, die in den letzten Jahren in Mode gekommen sind.
  • CTAP2 : Die zweite Version, die von CTAP erstellt wurde, ist CTAP2. CTAP2 wird zusammen mit WebAuthn verwendet und ermöglicht die Arbeit mit FIDO2. Das heißt, während WebAuth die Verbindung zwischen dem Gerät des Benutzers und der Website verwaltet, ist das CTAP2-Protokoll für die Verbindung zwischen dem Gerät des Benutzers und der Website unter Verwendung des Authentifikators verantwortlich. Das heißt, WebAuthn kümmert sich um die Verbindung und CTAP2 der Authentifiziererverbindung.

Wie das CTAP-Protokoll funktioniert

Zunächst müssen wir uns darüber im Klaren sein, dass CTAP und WebAuthn zusammenarbeiten müssen, um FIDO2 zu ermöglichen.

Wir alle wissen, dass, um sich bei einer Website, einer Online-Bewerbung usw. anmelden zu können, ein Authentifizierungssystem implementiert sein muss, um sich bei FIDO2 anmelden zu können. Dies erfolgt über ein externes Gerät, z. B. Wir haben oben einen USB-Stick kommentiert, der eigentlich ein Token wäre, der Benutzer, dem das Gerät gehört und der sich somit auf der Website, in der Anwendung usw. identifizieren kann. Dank des Tokens müssen wir kein Passwort verwenden, das sehr schwierig wäre leicht zu stehlen oder herauszufinden.

Authentifizierungsverbindungsmethoden

Derzeit gibt es verschiedene Methoden, um unser Authentifizierungsgerät an unsere Geräte anzuschließen. Obwohl es heutzutage am gebräuchlichsten ist, ein Gerät zu verwenden, das an den USB-Anschluss angeschlossen wird, können wir das Gerät, das uns unser sicheres Login-Token geben würde, auch über NFC- oder Bluetooth-Verbindung verbinden, da es ursprünglich entwickelt wurde.

Was ist notwendig, damit unser sicheres Anmeldegerät funktioniert?

Damit wir ein Gerät zur Authentifizierung verwenden können, benötigen wir mindestens einen Webbrowser, der mit den neuen Standards CTAP, WebAuthn und FIDO2 kompatibel ist. Derzeit, wenn wir den aktualisierten Browser haben, beide Google Chrome und Mozilla Firefox sind in den neuesten Versionen mit FIDO2 kompatibel.

Andere Arten von Authentifikatoren:

Wie bereits erwähnt, können Smartphones mit Fingerabdruck, Iriserkennung und sogar Gesichtserkennung bei verschiedenen Diensten authentifiziert werden. Diese Authentifizierungsmethoden benötigen keine externen Komponenten, da sie in die Hardware integriert sind. Daher ist kein separates Kommunikationsprotokoll für die Geräte erforderlich, d. H. Für die CTAP.

Wie funktioniert die CTAP-Kommunikation?

Die CTAP-Kommunikation funktioniert wie folgt:

  • Vorname : Der Webbrowser stellt eine Verbindung zu unserem Authentifizierungsgerät her und fordert Informationen an.
  • Zweite : Sobald Sie mit dem Gerät kommuniziert haben, erhalten Sie Informationen über die Authentifizierungsmethode, die Sie dem Browser anbieten können.
  • Dritte : Gemäß den Informationen, die der Browser erhält, wird eine Bestellung an den Authentifikator gesendet, bei der es sich um eine Anmeldung oder einen Fehler handeln kann.

Sobald wir sehen, wie die CTAP-Kommunikation funktioniert, können wir besser verstehen, wie die von Herstellern verwendeten Systeme wie z Apple Arbeit. Wenn die Authentifizierungshardware in die physische Hardware des Geräts integriert ist, verlassen die Anmeldedaten wie unser Fingerabdruck oder unser Gesicht niemals das Gerät, dh der Webbrowser sendet nur dann eine Bestätigung über WebAuthn, wenn die Anmeldung gültig ist, aber niemals prüft, ob der Fingerabdruck oder das Bild unseres Gesichts authentisch ist, da das Gerät sich darum kümmert, indem es alles in dieselbe Hardware integriert.

Wir können sagen, dass es dank CTAP, WebAuthn und FIDO2 endlich möglich ist, Man-in-the-Middle-Angriffe zu eliminieren, um Passwörter und Phishing zu stehlen, da Benutzer kein Passwort für die Anmeldung angeben müssen.