DroidKaigi 2019: Deep Dive to fido.fido2 Packages
https://www.youtube.com/watch?v=_LlfoIwp4zk
Motivation
fido for Android -> 前回の droidkaigi () v1.1
outdated
2018 march: webauthn
2018 may: gms.fido.fido2
2019 january: ff, gc stable?
Goal
Understand:
general idea of FIDO
FIDO v2 in Android
Overview
FIDO
Fast IDentity Online
Alliance, Authentication protocol
password やめたい
もはや安全ではない
どこから漏れる?
phishing
interception
Credential re-used
2FA も完全ではない
FIDO2
AuthN の責務を分解
Origin と credentials を紐つけ
2FAがどうの...?
Model Overview
Registration -> Attestation
challenge がサーバから送られてくる
クライアントで authenticator 使って credential info をつくる
assertion keys (pub/priv key pair)
priv をクライアントの secure store に保存、サーバに pub を保存 (verify, identify が行われる)
Authentication -> Assertion
FIDO2 on Android
fido.common
fido.fido2
fido.fido2.common
attestation in android
考慮しておくこと
CSとかサーバサイドとかとのコミュニケーション
ユーザがデバイス無くした時にどうするかとか
credential info をどうリセットするかとか