Cuộc thi tấn công bằng khoá truy cập ở Tokyo: Khoá truy cập trên các thiết bị IoT và nhiều tính năng khác

Milica Mihajlija

Vào tháng 6 năm 2024, Google đã hợp tác với FIDO Liên minh tổ chức sự kiện hackathon bằng khoá truy cập ở Tokyo. Chiến lược phát hành đĩa đơn mục tiêu của chúng tôi là mang đến cho người tham gia trải nghiệm thực tế về việc phát triển khoá truy cập và tạo mẫu khoá truy cập cho các sản phẩm thực tế, với Google và Liên minh FIDO sẵn sàng cung cấp hướng dẫn.

Cuộc thi hackathon có 9 đội đi sâu vào khoá truy cập và ban giám khảo đã chọn ra 4 đội tham gia những dự án sáng tạo và có tác động mạnh mẽ.

Người chiến thắng chung cuộc: Đội SFC-RG pkLock của Đại học Keio (Đại học Keio)

Nhóm pkLock.

Đội SFC-RG pkLock của Đại học Keio là đội duy nhất trong cuộc thi này thực hiện thử thách kết hợp các thiết bị IoT với khoá truy cập và thậm chí chúng mang đến một máy in 3D.

pkLock (phát âm là "pic-lock") của họ nhằm mục đích giải quyết vấn đề chung về chuyển giao chìa khoá rườm rà cho Airbnb và chỗ ở riêng tư khác bằng khoá truy cập xác thực nhiều thiết bị.

Thiết bị họ tạo ra bao gồm một thiết bị hiển thị mã QR được cài đặt trên ở ngoài cửa và một thiết bị mở khoá được lắp ở bên trong. Ngoài ra đến thiết bị, có một ứng dụng web mà người dùng sử dụng để đặt chỗ và đang mở khoá. Khách có thể mở khoá bằng cách đưa tay bên dưới mã QR thiết bị hiển thị mã ở trước cửa, đọc mã QR trên màn hình điện thoại di động của họ, cũng như xác thực bằng khoá truy cập (trên nhiều thiết bị xác thực).

Họ cũng đặc biệt chú ý đến việc thiết kế một thiết bị tinh vi lưu trữ muốn cài đặt ở nơi lưu trú của họ. Cách tiếp cận toàn diện của họ, cũng xem xét khả năng các thiết bị này được sử dụng rộng rãi, gây ấn tượng mạnh mẽ với ban giám khảo.

Cửa thu nhỏ với pkLock.

Trong phần trình bày, họ đã tạo ra rất nhiều sự hào hứng cho khán giả bằng cách thực sự đang mở được một cánh cửa thu nhỏ mà họ tạo ra trong thời gian diễn ra sự kiện hackathon. Để làm việc này trong đó thiết bị đã hiển thị mã QR chứa URL có mã thông báo hướng người dùng đến trang xác thực. Trong tương lai, họ dự định triển khai hệ thống vận tải kết hợp trên thiết bị để cho phép mở khoá trực tiếp. Họ đã thắng hackathon về những nỗ lực tiên phong của họ trong việc khám phá các khả năng của bằng khoá truy cập trên thiết bị IoT.

Giải thưởng FIDO 1: SKKN (Đại học Waseda)

Đội SKKN.

SKKN là một nhóm nghiên cứu thuộc Đại học Waseda, chuyên về nghiên cứu. Nhóm này đã đưa ra một trường hợp sử dụng khoá truy cập rất nâng cao, kết hợp bằng những công nghệ mới nổi–thông tin xác thực có thể xác minh (VC) và không có kiến thức xác thực. Vì bằng chứng xác thực có thể xác minh và bằng chứng không có kiến thức đều là tiêu điểm bản sắc tự chủdanh tính phi tập trung (SSI/DID), bài thuyết trình đã thu hút được sự chú ý lớn của cả ban giám khảo của chương trình hackathon và những người tham gia khác.

Thông tin xác thực có thể xác minh (VC) là các chứng chỉ kỹ thuật số chứng minh người dùng như tên, đơn vị liên kết và địa chỉ. Nếu Chủ sở hữu (ví) lưu trữ và quản lý các quỹ đầu tư mạo hiểm (VC) dễ bị tấn công, các quỹ đầu tư mạo hiểm có thể bị người khác đánh cắp và có thể mạo danh người dùng bằng cách đưa ra VC. Ngoài việc chỉ bật có thông tin đăng nhập FIDO để trình bày VC, họ đã phát triển một phương pháp chỉ cho phép các dịch vụ ví đáng tin cậy xử lý VC.

Cách triển khai của họ cho thấy một số lợi ích:

  • Bằng cách liên kết và cấp thông tin đăng nhập cho VC và FIDO, chỉ chủ sở hữu của FIDO có thể sử dụng VC.
  • Bạn chỉ có thể sử dụng những ví được Nhà phát hành và Người xác minh tin cậy.
  • Khi sử dụng khoá truy cập, bạn có thể sao lưu cũng như khôi phục ví VC và quỹ đầu tư mạo hiểm (VC), cũng như người dùng có thể khôi phục ngay cả khi họ mất thiết bị.

Phần thưởng FIDO 2: Mã TOKYU (Tokyu)

Nhóm ID TOKYU.

Nhóm HACKS URBAN, còn được gọi là nhóm ID TOKYU, thuộc Tokyu Corporation, đã được trao Giải thưởng FIDO vì việc sử dụng khoá truy cập tiên tiến cho TOKYU Mã nhận dạng. Tokyu Group là một tập đoàn lớn của Nhật Bản với hàng loạt các doanh nghiệp tập trung vào giao thông vận tải và phát triển đô thị.

Mã TOKYU được thiết kế để đơn giản hoá các hoạt động tương tác hằng ngày, chẳng hạn như đi tàu. Nhận thấy tầm quan trọng tối quan trọng của trải nghiệm người dùng, Kooapps triển khai đăng nhập bằng khoá truy cập vào tháng 2 năm 2024 để giải quyết các vấn đề tiềm ẩn như thiếu thông tin do sự chậm trễ trong việc xác thực hai yếu tố trong các dịch vụ bán vé kỹ thuật số do ứng dụng web cung cấp.

Họ đã tham gia sự kiện hackathon này để xác thực tầm nhìn của mình đối với ID TOKYU. Trường hợp lý tưởng là tất cả người dùng đăng ký và đăng nhập bằng khoá truy cập cùng với tính năng khôi phục tài khoản liền mạch. Để hiện thực hoá điều này, họ tập trung về 2 cách triển khai chính tại hackathon: bật đăng ký khoá truy cập trong quá trình đăng ký gói thành viên lần đầu và giới thiệu việc đăng nhập qua mạng xã hội cho khôi phục tài khoản. Duy nhất là sau khi khôi phục bằng cách đăng nhập qua mạng xã hội, người dùng chỉ được phép đăng ký khoá truy cập, nhấn mạnh cam kết của nhóm đối với thiết kế tập trung vào khoá truy cập. Họ cũng tích hợp FedCM để cải thiện trải nghiệm người dùng kinh nghiệm về quy trình liên kết tài khoản.

Lời nhắc đăng nhập bằng Google.

Phương pháp tiếp cận tập trung vào khoá truy cập của nhóm ID TOKYU đã thể hiện sự hiểu biết sâu sắc về nhu cầu của người dùng và yêu cầu về sản phẩm. Tại sự kiện hackathon, họ đã thành công triển khai giải pháp của mình và có một bài thuyết trình thú vị, kết quả này đã giành được cho họ Giải thưởng FIDO. Đáng chú ý là họ đã tích hợp tính năng Đăng nhập bằng Google mà không sử dụng GIS SDK chỉ với JavaScript vanilla bằng cách sử dụng FedCM!

Giải thưởng của Google: Nhóm Nulab (Nulab)

Nhóm Nulab.

Nulab là công ty phần mềm cung cấp các dịch vụ như dưới dạng Backlog, CacooNulab Đạt. Chúng có nhiều hệ số hai yếu tố các giải pháp xác thực (khoá bảo mật, SMS OTP, OTP qua email, TOTP) và WebAuthn trên các dịch vụ của họ. Nulab là người sử dụng WebAuthn từ sớm và họ hỗ trợ đầy đủ khoá truy cập kể từ tháng 10 năm 2023.

Họ đã triển khai 8 tính năng mới:

  • Thẻ khoá truy cập
  • Nội dung giới thiệu về khoá truy cập
  • Phần thưởng cho người sử dụng khoá truy cập
  • Hỗ trợ khôi phục tài khoản suôn sẻ
  • Đăng nhập bằng nút khoá truy cập
  • Xác minh hai yếu tố bắt buộc đối với những người sử dụng khoá truy cập
  • Quảng bá khoá truy cập và xoá mật khẩu khi rò rỉ thông tin đăng nhập
  • Quảng bá khoá truy cập khi đặt lại mật khẩu

Họ đã minh hoạ dịch vụ hỗ trợ để khôi phục tài khoản suôn sẻ tại sự kiện hackathon: Ý tưởng là nhắc người dùng thực hiện một hành động bổ sung khi họ thêm khoá truy cập. Nếu khoá truy cập đã thêm chỉ ràng buộc với thiết bị, hãy đề xuất người dùng thêm khoá truy cập khác khoá truy cập từ một trình quản lý mật khẩu khác. Nếu khoá truy cập đã thêm được đồng bộ hoá, khuyên người dùng xoá mật khẩu đó.

Họ cũng triển khai phần thưởng cho những người dùng sử dụng khoá truy cập bằng tài khoản người dùng biểu tượng nổi bật. Khi người dùng sử dụng khoá truy cập ràng buộc thiết bị, biểu tượng sẽ bắt đầu vòng tròn. Khi người dùng sử dụng khoá truy cập đã đồng bộ hoá, biểu tượng sẽ bắt đầu nhấp nháy. Vì đây là một công cụ dành cho doanh nghiệp, nên điều này sẽ thúc đẩy người dùng trở nên nổi bật trong công ty bằng cách sử dụng khoá truy cập.

Ban giám khảo ấn tượng với những ý tưởng sáng tạo để cải thiện khoá truy cập và đặc biệt là cách người dùng có thể khôi phục tài khoản của họ.

Dự án thú vị khác

Tất cả các nhóm tại sự kiện hackathon đều có những ý tưởng thú vị. Sau đây là thông tin sơ lược về các dự án của họ:

  • Mã nhận dạng Nikkei (Nikkei): Khoá truy cập được triển khai bên cạnh OpenID Connect, giúp giảm phiền hà cho người dùng.
  • Dentsu Soken (Dentsu Soken): Khoá truy cập kết hợp với tính năng Đăng nhập bằng Google để giúp người dùng làm quen với ứng dụng một cách liền mạch.
  • SST-Tech (Công nghệ bảo mật bầu trời): Khám phá quy trình mô phỏng khoá truy cập cho đánh giá bảo mật.
  • Ajitei Nekomaru (Đại học Keio): Ra mắt phương thức xác thực bằng khoá truy cập vào hệ thống quản lý học tập (LMS) nguồn mở.
  • MyLIXIL (LIXIL): Đã hoàn tất để triển khai khoá truy cập dưới dạng cho MyLIXIL.

Để biết thêm thông tin về từng dự án, hãy xem toàn bộ Báo cáo hackathon về khoá truy cập tại Tokyo.

Những điểm đáng nhớ và tương lai

Trong suốt sự kiện hackathon, người tham gia đã chia sẻ các câu hỏi và phản hồi hữu ích, làm nổi bật cả sự hào hứng dành cho khoá truy cập và những khía cạnh cần cải thiện. Sau đây là một số điểm chính cần ghi nhớ sau sự kiện hackathon:

  • Ngày càng có nhiều mối quan tâm đến việc kết hợp khoá truy cập với các công nghệ khác, chẳng hạn như bằng chứng có thể xác minh và chứng minh không có kiến thức.
  • Trải nghiệm người dùng vẫn là ưu tiên hàng đầu khi các nhóm đang tập trung vào việc tạo ra khoá truy cập thậm chí còn dễ sử dụng và áp dụng hơn.
  • Sự kiện hackathon nêu bật khả năng khoá truy cập mở rộng ra ngoài phạm vi đăng nhập truyền thống, vào các lĩnh vực như IoT và nhận dạng kỹ thuật số.

Sự kiện này đã thành công vang dội, khơi dậy những ý tưởng và hoạt động cộng tác mới. Như khoá truy cập được sử dụng rộng rãi hơn, những sự kiện như thế này là chìa khoá để thúc đẩy sự đổi mới và giải quyết thách thức.

Đây là thời điểm thú vị cho các khoá truy cập và sự kiện hackathon tại Tokyo là một minh chứng cho thấy các nhà phát triển đều háo hức bứt phá khỏi những điều có thể xảy ra.