Хакатон Passkeys в Токио: Пароли на устройствах IoT и многое другое,Хакатон Passkeys в Токио: Пароли на устройствах IoT и многое другое

Милица Михайлия

В июне 2024 года Google объединилась с Альянсом FIDO для проведения хакатона по ключам доступа в Токио. Цель заключалась в том, чтобы дать участникам практический опыт разработки и прототипирования ключей доступа для реальных продуктов, а сотрудники Google и FIDO Alliance были готовы предоставить рекомендации.

В ходе хакатона 9 команд погрузились в поиск ключей, а судьи выбрали четыре наиболее инновационных и эффективных проекта.

Главный победитель: команда SFC-RG pkLock Университета Кейо (Университет Кейо)

Команда pkLock.

Команда SFC-RG pkLock Университета Кейо была единственной командой на этом соревновании, которая взяла на себя задачу объединить устройства IoT с ключами доступа, и они даже привезли с собой 3D-принтер.

Их pkLock (произносится как «pic-lock») направлен на решение распространенной проблемы громоздкой передачи ключей для Airbnb и других частных квартир с помощью аутентификации на нескольких устройствах с помощью пароля.

Созданное ими устройство состоит из устройства отображения QR-кода, установленного снаружи двери, и устройства отпирания, установленного внутри. Помимо устройства имеется веб-приложение, которое пользователи используют для бронирования и разблокировки. Гости могут разблокировать дверь, поднеся руку под устройство отображения QR-кода перед дверью, прочитав отображаемый QR-код с помощью своего мобильного телефона и выполнив аутентификацию с помощью пароля (аутентификация на нескольких устройствах).

Они также уделили особое внимание разработке сложного устройства, которое хозяева хотели бы установить в своих помещениях. Их комплексный подход, который также учитывает потенциальное широкое распространение этих устройств, нашел большой отклик у судей.

Миниатюрная дверь с pkLock.

Во время своей презентации они вызвали большой ажиотаж среди аудитории, фактически открыв миниатюрную дверь, которую они сделали во время хакатона. Для этой демонстрации устройство отображало QR-код, содержащий URL-адрес с одноразовым токеном, который направляет пользователей на страницу аутентификации. В будущем на устройстве планируют реализовать гибридные транспорты для возможности прямой разблокировки. Они выиграли хакатон за свои новаторские усилия в изучении возможностей использования ключей доступа на устройствах Интернета вещей.

Премия FIDO 1: SKKN (Университет Васэда)

Команда СККН.

SKKN — исследовательская группа из Университета Васэда, специализирующаяся на исследованиях конфиденциальности. Команда представила очень продвинутый вариант использования ключей доступа, объединив их с новыми технологиями — проверяемыми учетными данными (VC) и доказательством с нулевым разглашением. Поскольку поддающиеся проверке учетные данные и доказательства с нулевым разглашением находятся в центре внимания самосуверенной и децентрализованной идентификации (SSI/DID), их презентация привлекла большое внимание как судей хакатона, так и других участников.

Поддающиеся проверке учетные данные (VC) — это цифровые сертификаты, которые подтверждают такую ​​информацию о пользователе, как имя, принадлежность и адрес. Если держатель (кошелек), который хранит виртуальные валюты и управляет ими, уязвим, виртуальные валюты могут быть украдены другими, а другие могут выдать себя за пользователя, предъявив виртуальную валюту. В дополнение к тому, что только пользователь, имеющий учетные данные FIDO, может представлять виртуальную валюту, они разработали метод, который позволяет только доверенным службам кошельков обрабатывать виртуальные валюты.

Их внедрение показало ряд преимуществ:

  • Связывая и выдавая виртуальные виртуальные машины и учетные данные FIDO, только владелец FIDO может использовать виртуальные виртуальные машины.
  • Можно использовать только кошельки, которым доверяют эмитент и верификатор.
  • Используя ключи доступа, виртуальные машины и кошельки можно создавать резервные копии и восстанавливать, а пользователи могут восстанавливаться, даже если они потеряют свое устройство.

Премия FIDO 2: ID TOKYU (Токю)

Команда TOKYU ID.

Команда URBAN HACKS, также известная как команда TOKYU ID из корпорации Tokyu, была награждена премией FIDO за инновационное внедрение ключей для TOKYU ID. Tokyu Group — крупный японский конгломерат с широким спектром предприятий, сосредоточенных на транспорте и городском развитии.

TOKYU ID предназначен для оптимизации повседневных взаимодействий, таких как поездки на поезде. Признавая исключительную важность удобства взаимодействия с пользователем, в феврале 2024 года команда реализовала вход с помощью пароля для решения потенциальных проблем, таких как опоздание на поезд из-за задержек в двухфакторной аутентификации в службах продажи цифровых билетов, предоставляемых веб-приложением.

Они приняли участие в этом хакатоне, чтобы подтвердить свое видение TOKYU ID. Их идеальный сценарий предполагает, что все пользователи регистрируются и входят в систему с использованием паролей, а также плавное восстановление учетной записи. Чтобы реализовать это, на хакатоне они сосредоточились на двух ключевых реализациях: включении регистрации пароля во время первоначального процесса регистрации в качестве члена и внедрении входа через социальную сеть для восстановления учетной записи. Уникально то, что после восстановления через социальную сеть пользователям разрешается зарегистрировать только ключ доступа, что подчеркивает приверженность команды дизайну, ориентированному на ключи доступа. Они также интегрировали FedCM, чтобы улучшить взаимодействие с пользователем в процессах связывания учетных записей.

Приглашение для входа в Google.

Подход команды TOKYU ID, ориентированный на ключи доступа, продемонстрировал глубокое понимание потребностей пользователей и требований к продукту. На хакатоне они успешно реализовали свое решение и представили интересную презентацию, за которую получили премию FIDO. Примечательно, что они интегрировали вход в Google без использования GIS SDK, используя только стандартный JavaScript с помощью FedCM!

Премия Google: Команда Нулаб (Nulab)

Команда Нулаб.

Nulab — компания-разработчик программного обеспечения, предоставляющая такие услуги, как Backlog , Cacoo и Nulab Pass . У них есть несколько решений двухфакторной аутентификации (ключи безопасности, SMS OTP, OTP по электронной почте, TOTP) и WebAuthn во всех своих сервисах. Nulab одним из первых внедрил WebAuthn и полностью поддерживает ключи доступа с октября 2023 года .

Они реализовали восемь новых функций:

  • Карта доступа
  • Вводный контент с ключом доступа
  • Награды для пользователей, принявших ключ доступа
  • Помощь в плавном восстановлении аккаунта
  • Вход в систему с помощью кнопки доступа
  • Обязательная двухфакторная аутентификация для пользователей, использующих ключ доступа
  • Удаление пароля и повышение пароля в случае утечки учетных данных
  • Продвигайте ключи доступа после сброса пароля

На хакатоне они продемонстрировали помощь по плавному восстановлению учетной записи: идея заключалась в том, чтобы подтолкнуть пользователя к дополнительному действию при добавлении ключа доступа. Если добавленный ключ доступа привязан к устройству, порекомендуйте пользователю добавить еще один ключ доступа из другого менеджера паролей. Если добавленный ключ доступа синхронизирован, порекомендуйте пользователю удалить пароль.

Они также реализовали вознаграждения для пользователей, которые используют ключи доступа с подсветкой значка учетной записи пользователя. Когда пользователь принимает пароль, привязанный к устройству, значок начинает вращаться. Когда пользователь принимает синхронизированный ключ доступа, значок начинает мигать. Поскольку это корпоративный инструмент, он мотивирует пользователей выделяться внутри компании, используя ключи доступа.

Судьи были впечатлены их творческими идеями по улучшению реализации ключей доступа и, в частности, тому, как пользователи могут восстановить свою учетную запись.

Еще интересные проекты

У всех команд на хакатоне были интересные идеи, и вот краткий обзор их проектов:

  • Nikkei ID (Nikkei): добавлены ключи доступа поверх OpenID Connect, что снижает нагрузку на пользователя.
  • Денцу Сокен (Dentsu Soken): комбинированные ключи доступа и вход в Google для беспрепятственного входа пользователей.
  • SST-Tech (Secure Sky Technology): изучена эмуляция пароля для оценки безопасности.
  • Аджитей Нэкомару (Университет Кейо): Введена аутентификация по паролю в LMS с открытым исходным кодом.
  • MyLIXIL (LIXIL) : реализована реализация ключей доступа в качестве метода аутентификации для MyLIXIL.

Более подробную информацию о каждом проекте можно найти в полном отчете о хакатоне Tokyo passkeys .

Выводы и будущее

На протяжении всего хакатона участники делились ценными отзывами и вопросами, подчеркивая как энтузиазм по поводу ключей доступа, так и области, требующие улучшения. Вот некоторые из ключевых выводов хакатона:

  • Растет интерес к объединению ключей доступа с другими технологиями, такими как проверяемые учетные данные и доказательства с нулевым разглашением.
  • Пользовательский опыт остается главным приоритетом, и команды стараются сделать ключи доступа еще более простыми в использовании и внедрении.
  • Хакатон подчеркнул, что ключи доступа могут выйти за рамки традиционных входов в систему и попасть в такие области, как Интернет вещей и цифровая идентификация.

Мероприятие имело оглушительный успех, породив новые идеи и сотрудничество. Поскольку ключи доступа получают более широкое распространение, подобные мероприятия становятся ключом к стимулированию инноваций и решению проблем.

Это захватывающее время для ключей доступа, и хакатон в Токио является доказательством того, что разработчики стремятся раздвинуть границы возможного.

,

Милица Михайлия

В июне 2024 года Google объединилась с Альянсом FIDO для проведения хакатона по ключам доступа в Токио. Цель заключалась в том, чтобы дать участникам практический опыт разработки и прототипирования ключей доступа для реальных продуктов, а сотрудники Google и FIDO Alliance были готовы предоставить рекомендации.

В ходе хакатона 9 команд погрузились в поиск ключей, а судьи выбрали четыре наиболее инновационных и эффективных проекта.

Главный победитель: команда SFC-RG pkLock Университета Кейо (Университет Кейо)

Команда pkLock.

Команда SFC-RG pkLock Университета Кейо была единственной командой на этом соревновании, которая взяла на себя задачу объединить устройства IoT с ключами доступа, и они даже привезли с собой 3D-принтер.

Их pkLock (произносится как «pic-lock») направлен на решение распространенной проблемы громоздкой передачи ключей для Airbnb и других частных квартир с помощью аутентификации на нескольких устройствах с помощью пароля.

Созданное ими устройство состоит из устройства отображения QR-кода, установленного снаружи двери, и устройства отпирания, установленного внутри. Помимо устройства имеется веб-приложение, которое пользователи используют для бронирования и разблокировки. Гости могут разблокировать дверь, поднеся руку под устройство отображения QR-кода перед дверью, прочитав отображаемый QR-код с помощью своего мобильного телефона и выполнив аутентификацию с помощью пароля (аутентификация на нескольких устройствах).

Они также уделили особое внимание разработке сложного устройства, которое хозяева хотели бы установить в своих помещениях. Их комплексный подход, который также учитывает потенциальное широкое распространение этих устройств, нашел большой отклик у судей.

Миниатюрная дверь с pkLock.

Во время своей презентации они вызвали большой ажиотаж среди аудитории, фактически открыв миниатюрную дверь, которую они сделали во время хакатона. Для этой демонстрации устройство отображало QR-код, содержащий URL-адрес с одноразовым токеном, который направляет пользователей на страницу аутентификации. В будущем на устройстве планируют реализовать гибридные транспорты для возможности прямой разблокировки. Они выиграли хакатон за свои новаторские усилия в изучении возможностей использования ключей доступа на устройствах Интернета вещей.

Премия FIDO 1: SKKN (Университет Васэда)

Команда СККН.

SKKN — исследовательская группа из Университета Васэда, специализирующаяся на исследованиях конфиденциальности. Команда представила очень продвинутый вариант использования ключей доступа, объединив их с новыми технологиями — проверяемыми учетными данными (VC) и доказательством с нулевым разглашением. Поскольку поддающиеся проверке учетные данные и доказательства с нулевым разглашением находятся в центре внимания самосуверенной и децентрализованной идентификации (SSI/DID), их презентация привлекла большое внимание как судей хакатона, так и других участников.

Поддающиеся проверке учетные данные (VC) — это цифровые сертификаты, которые подтверждают такую ​​информацию о пользователе, как имя, принадлежность и адрес. Если держатель (кошелек), который хранит виртуальные валюты и управляет ими, уязвим, виртуальные валюты могут быть украдены другими, а другие могут выдать себя за пользователя, предъявив виртуальную валюту. В дополнение к тому, что только пользователь, имеющий учетные данные FIDO, может представлять виртуальную валюту, они разработали метод, который позволяет только доверенным службам кошельков обрабатывать виртуальные валюты.

Их внедрение показало ряд преимуществ:

  • Связывая и выдавая виртуальные виртуальные машины и учетные данные FIDO, только владелец FIDO может использовать виртуальные виртуальные машины.
  • Можно использовать только кошельки, которым доверяют эмитент и верификатор.
  • Используя ключи доступа, виртуальные машины и кошельки можно создавать резервные копии и восстанавливать, а пользователи могут восстанавливаться, даже если они потеряют свое устройство.

Премия FIDO 2: ID TOKYU (Токю)

Команда TOKYU ID.

Команда URBAN HACKS, также известная как команда TOKYU ID из корпорации Tokyu, была награждена премией FIDO за инновационное внедрение ключей для TOKYU ID. Tokyu Group — крупный японский конгломерат с широким спектром предприятий, сосредоточенных на транспорте и городском развитии.

TOKYU ID предназначен для оптимизации повседневных взаимодействий, таких как поездки на поезде. Признавая исключительную важность удобства взаимодействия с пользователем, в феврале 2024 года команда реализовала вход с помощью пароля для решения потенциальных проблем, таких как опоздание на поезд из-за задержек в двухфакторной аутентификации в службах продажи цифровых билетов, предоставляемых веб-приложением.

Они приняли участие в этом хакатоне, чтобы подтвердить свое видение TOKYU ID. Их идеальный сценарий предполагает, что все пользователи регистрируются и входят в систему с использованием паролей, а также плавное восстановление учетной записи. Чтобы реализовать это, на хакатоне они сосредоточились на двух ключевых реализациях: включении регистрации пароля во время первоначального процесса регистрации в качестве члена и внедрении входа через социальную сеть для восстановления учетной записи. Уникально то, что после восстановления через социальную сеть пользователям разрешается зарегистрировать только ключ доступа, что подчеркивает приверженность команды дизайну, ориентированному на ключи доступа. Они также интегрировали FedCM, чтобы улучшить взаимодействие с пользователем в процессах связывания учетных записей.

Приглашение для входа в Google.

Подход команды TOKYU ID, ориентированный на ключи доступа, продемонстрировал глубокое понимание потребностей пользователей и требований к продукту. На хакатоне они успешно реализовали свое решение и представили интересную презентацию, за которую получили премию FIDO. Примечательно, что они интегрировали вход в Google без использования GIS SDK, используя только стандартный JavaScript с помощью FedCM!

Премия Google: Команда Нулаб (Nulab)

Команда Нулаб.

Nulab — компания-разработчик программного обеспечения, предоставляющая такие услуги, как Backlog , Cacoo и Nulab Pass . У них есть несколько решений двухфакторной аутентификации (ключи безопасности, SMS OTP, OTP по электронной почте, TOTP) и WebAuthn во всех своих сервисах. Nulab одним из первых внедрил WebAuthn и полностью поддерживает ключи доступа с октября 2023 года .

Они реализовали восемь новых функций:

  • Карта доступа
  • Вводный контент с ключом доступа
  • Награды для пользователей, принявших ключ доступа
  • Помощь в плавном восстановлении аккаунта
  • Вход в систему с помощью кнопки доступа
  • Обязательная двухфакторная аутентификация для пользователей, использующих ключ доступа
  • Удаление пароля и повышение пароля в случае утечки учетных данных
  • Продвигайте ключи доступа после сброса пароля

На хакатоне они продемонстрировали помощь по плавному восстановлению учетной записи: идея заключалась в том, чтобы подтолкнуть пользователя к дополнительному действию при добавлении ключа доступа. Если добавленный ключ доступа привязан к устройству, порекомендуйте пользователю добавить еще один ключ доступа из другого менеджера паролей. Если добавленный ключ доступа синхронизирован, порекомендуйте пользователю удалить пароль.

Они также реализовали вознаграждения для пользователей, которые используют ключи доступа с подсветкой значка учетной записи пользователя. Когда пользователь принимает ключ доступа, привязанный к устройству, значок начинает вращаться. Когда пользователь принимает синхронизированный ключ доступа, значок начинает мигать. Поскольку это корпоративный инструмент, он мотивирует пользователей выделяться внутри компании, используя ключи доступа.

Судьи были впечатлены их творческими идеями по улучшению реализации ключей доступа и, в частности, тому, как пользователи могут восстановить свою учетную запись.

Ещё интересные проекты

У всех команд на хакатоне были интересные идеи, и вот краткий обзор их проектов:

  • Nikkei ID (Nikkei): добавлены ключи доступа поверх OpenID Connect, что снижает нагрузку на пользователя.
  • Денцу Сокен (Dentsu Soken): комбинированные ключи доступа и вход в Google для беспрепятственного входа пользователей.
  • SST-Tech (Secure Sky Technology): изучена эмуляция пароля для оценки безопасности.
  • Аджитей Нэкомару (Университет Кейо): Введена аутентификация по паролю в LMS с открытым исходным кодом.
  • MyLIXIL (LIXIL) : реализована реализация ключей доступа в качестве метода аутентификации для MyLIXIL.

Более подробную информацию о каждом проекте можно найти в полном отчете о хакатоне Tokyo passkeys .

Выводы и будущее

На протяжении всего хакатона участники делились ценными отзывами и вопросами, подчеркивая как энтузиазм по поводу ключей доступа, так и области, требующие улучшения. Вот некоторые из ключевых выводов хакатона:

  • Растет интерес к объединению ключей доступа с другими технологиями, такими как проверяемые учетные данные и доказательства с нулевым разглашением.
  • Пользовательский опыт остается главным приоритетом, и команды стараются сделать ключи доступа еще более простыми в использовании и внедрении.
  • Хакатон подчеркнул, что ключи доступа могут выйти за рамки традиционных входов в систему и попасть в такие области, как Интернет вещей и цифровая идентификация.

Мероприятие имело оглушительный успех, породив новые идеи и сотрудничество. Поскольку ключи доступа получают более широкое распространение, подобные мероприятия становятся ключом к стимулированию инноваций и решению проблем.

Это захватывающее время для ключей доступа, и хакатон в Токио является доказательством того, что разработчики стремятся раздвинуть границы возможного.