ارائه دهنده رمز عبور را با AAGUID تعیین کنید

ایجی کیتامورا

احزاب متکی (RP) می توانند با بررسی AAGUID اعتبار کلید عمومی مرتبط تعیین کنند که یک ارائه دهنده رمز عبور توسط کدام یک کلید عبور ایجاد شده است.

چالش های مدیریت رمز عبور

یکی از مزایای استفاده از کلیدهای عبور این است که می توانند به کاربران اجازه دهند چندین رمز عبور برای یک حساب واحد ایجاد کنند. با این انعطاف‌پذیری همراه با استحکام کلید عبور، حتی اگر کاربر با از دست دادن یکی از کلیدهای عبور خود، حساب کاربری خود را مسدود کند، همچنان می‌تواند با استفاده از کلیدهای عبور جایگزین به طرف متکی وارد شود.

چالش برای کاربرانی که چندین کلید عبور را در یک RP مدیریت می کنند، شناسایی کلید عبور مناسب در زمانی است که نیاز به ویرایش یا حذف یک رمز عبور خاص در میان دیگران دارند. یک مثال خوب زمانی است که کاربر می خواهد یک رمز عبور استفاده نشده را حذف کند. به RP ها توصیه می شود اطلاعات مربوط به کلید عبور مانند تاریخ ایجاد و آخرین تاریخ استفاده را در لیست رمز عبور ضمیمه کنند . این به کاربران کمک می کند تا یک رمز عبور خاص را پیدا کنند.

RP ها همچنین می توانند به کاربران اجازه دهند که کلید عبور را به محض ایجاد یا بعداً نام گذاری کنند، اما بسیاری از کاربران این کار را نمی کنند. در حالت ایده‌آل، کلیدهای عبور به‌طور خودکار سیگنال‌های ارسال شده از مشتری یا اطلاعات موجود در اعتبار کلید عمومی را منعکس می‌کنند.

مرورگرها یک رشته عامل کاربر را ارائه می دهند که افراد متکی هستند که می توانند برای نامگذاری کلیدهای عبور از آن استفاده کنند، اما پلتفرم هایی مانند Android، iOS یا مرورگرهای دسکتاپ با قابلیت های برنامه افزودنی اجازه ایجاد یک رمز عبور توسط مدیران رمز عبور شخص ثالث را می دهند و رشته عامل کاربر لزوماً نشان دهنده واقعی نیست. ارائه دهنده رمز عبور

با شناسه منحصربه‌فرد جهانی تأیید تأیید اعتبار (AAGUID)، که در اعتبار کلید عمومی بازگردانده شده در ثبت رمز عبور گنجانده شده است، RPها می‌توانند ارائه‌دهنده رمز عبور را تعیین کنند و از آن برای کاربران استفاده کنند تا به راحتی کلید عبور مناسب را پیدا کنند.

ارائه دهنده رمز عبور را با AAGUID تعیین کنید

AAGUID یک شماره منحصر به فرد است که مدل احراز هویت کننده (نه نمونه خاصی از احراز هویت) را مشخص می کند. AAGUID را می‌توان به‌عنوان بخشی از داده‌های احراز هویت یک کلید عمومی یافت.

طرح‌بندی شی تأییدیه که داده‌های احراز هویت شامل (شامل داده‌های اعتبار تأیید شده) و بیانیه تأیید را نشان می‌دهد.
AAGUID را می توان در داده های احراز هویت یافت.

RP ها می توانند از AAGUID برای شناسایی ارائه دهنده کلید عبور استفاده کنند. به عنوان مثال، اگر کاربری با استفاده از Google Password Manager یک کلید عبور در دستگاه Android ایجاد کند، RP یک AAGUID از "ea9b8d66-4d01-1d21-3ce4-b6b48cb575d4" دریافت می کند. RP می تواند رمز عبور را در لیست رمز عبور حاشیه نویسی کند تا نشان دهد که در Google Password Manager ایجاد شده است.

تنظیمات کلید عبور در صفحه تنظیمات امنیتی اطلاعات دقیقی را در مورد هر رمز عبور نشان می دهد.
یک مثال رابط کاربری مدیریت رمز عبور.

برای نگاشت یک AAGUID به یک ارائه‌دهنده رمز عبور، RPها می‌توانند از یک مخزن منبع جامعه از AAGUID استفاده کنند. با جستجوی AAGUID در لیست ، نام ارائه‌دهنده کلید عبور و نماد آن متن داده svg را می‌توان پیدا کرد.

بازیابی AAGUID قابلیتی است که اکثر کتابخانه های WebAuthn ارائه می دهند. مثال زیر کد ثبت سمت سرور را با استفاده از SimpleWebAuthn نشان می دهد:

// Import a list of AAGUIDs from a JSON file
import aaguids from './aaguids.json' with { type: 'json' };

...

 // Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
  response: credential,
  expectedChallenge,
  expectedOrigin,
  expectedRPID,
  requireUserVerification: false,
});

...

const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || 'Unknown';

نتیجه

AAGUID یک رشته منحصربه‌فرد است که ارائه‌دهنده رمز عبور ایجادکننده رمز عبور را شناسایی می‌کند. RP ها می توانند از AAGUID استفاده کنند تا مدیریت رمز عبور خود را برای کاربران آسان تر کنند. یک مخزن منبع جامعه از AAGUID ها می تواند برای نگاشت AAGUID ها به ارائه دهندگان کلید عبور استفاده شود.