האקאתון מפתחות גישה בטוקיו: מפתחות גישה במכשירי IoT ועוד

תאריך פרסום: 9 בספטמבר 2024

ביוני 2024, Google חברה ל-FIDO Alliance כדי לארח אירוע hackathon של מפתחות גישה בטוקיו. המטרה הייתה לתת למשתתפים ניסיון מעשי בפיתוח מפתחות גישה וביצירת אב טיפוס של מפתחות גישה למוצרים בעולם האמיתי, עם הצוות של Google ושל FIDO Alliance שיעזור להם.

9 צוותים השתתפו בהאקתון ועברו תהליך למידה מעמיק בנושא מפתחות גישה. השופטים בחרו את ארבעת הפרויקטים החדשניים והמשמעותיים ביותר.

צוות pkLock.

צוות SFC-RG pkLock של אוניברסיטת Keio היה הצוות היחיד בתחרות שהתמודד עם האתגר של שילוב מכשירי IoT עם מפתחות גישה, והם אפילו הביאו מדפסת תלת-ממד.

המטרה של pkLock (מבוטא "pic-lock") היא לפתור את הבעיה הנפוצה של העברת מפתחות מסורבלת ב-Airbnb ובמקומות אירוח פרטיים אחרים, באמצעות אימות מפתחות במכשירים שונים.

המכשיר שיצרו מורכב ממכשיר תצוגה של קוד QR שמתקינים מחוץ לדלת וממכשיר לביטול הנעילה שמתקינים בפנים. בנוסף למכשיר, יש אפליקציית אינטרנט שבה המשתמשים משתמשים כדי להזמין ולפתוח את המנעול. האורחים יכולים לפתוח את הדלת על ידי החזקת היד מתחת למכשיר להצגת קוד ה-QR שמול הדלת, קריאת קוד ה-QR המוצג באמצעות הטלפון הנייד וביצוע אימות של מפתח הגישה (אימות במכשירים שונים).

הם גם הקדישו תשומת לב מיוחדת לעיצוב מכשיר מתוחכם שמארחים ירצו להתקין במקום האירוח שלהם. הגישה המקיפה שלהם, שגם מביאה בחשבון את האפשרות לשימוש נרחב במכשירים האלה, עוררה עניין רב בקרב השופטים.

דלת מיניאטורית עם pkLock.

במהלך המצגת שלהם, הם עוררו התלהבות רבה בקרב הקהל כשביטלו את הנעילה של דלת בגודל מיני שהם יצרו במהלך ה-hackathon. במהלך ההדגמה הזו, במכשיר הוצג קוד QR שמכיל כתובת URL עם אסימון חד-פעמי שמפנה את המשתמשים לדף אימות. בעתיד הם מתכננים להטמיע במכשיר העברות היברידיות כדי לאפשר ביטול נעילה ישיר. הם זכו בתחרות ה-hackathon על המאמצים החלוציים שלהם בחקר האפשרויות לשימוש במפתחות גישה במכשירי IoT.

פרס FIDO 1: SKKN (אוניברסיטת Waseda)

צוות SKKN.

SKKN היא קבוצת מחקר מאוניברסיטת Waseda, שמתמחה במחקרים בנושא פרטיות. הצוות הציג תרחיש שימוש מתקדם מאוד של מפתחות גישה, בשילוב עם טכנולוגיות מתפתחות – פרטי כניסה מאומתים (VC) והוכחה ללא ידיעה (zero-knowledge proof). מכיוון שפרטי הכניסה המאומתים והוכחת אפס-ידע נמצאים בחזית של זהות עצמאית וזהות מבוזרת (SSI/DID), ההצגה שלהם משכה תשומת לב רבה גם מהשופטים של ה-hackathon וגם מהמשתתפים האחרים.

פרטי כניסה מאומתים (VC) הם אישורים דיגיטליים שמעידים על פרטי המשתמש, כמו שם, שיוך וכתובת. אם הארנק (המכשיר) שבו מאוחסנים ומנוהלים האסימונים הפיזיים חשוף לפריצה, אסימונים פיזיים יכולים להיגנב על ידי גורמים זרים, וגורמים זרים יכולים להתחזות למשתמש על ידי הצגת האסימון הפיזי. בנוסף לאפשרות להציג את האימות המאומת רק למשתמש שיש לו את פרטי הכניסה ל-FIDO, הם פיתחו שיטה שמאפשרת רק לשירותי ארנקים מהימנים לטפל באימותים המאומתים.

היישום שלהם הראה כמה יתרונות:

  • קישור והנפקה של אישורי VC ופרטי כניסה ל-FIDO מאפשרים רק לבעלים של FIDO להשתמש באישורים האלה.
  • אפשר להשתמש רק בארנקים שהנפיק והמאמת סומכים עליהם.
  • באמצעות מפתחות גישה, אפשר לגבות ולשחזר ארנקים ו-VCs, והמשתמשים יכולים לשחזר אותם גם אם הם מאבדים את המכשיר.

פרס FIDO 2: TOKYU ID‏ (Tokyu)

צוות TOKYU ID.

צוות URBAN HACKS, שנקרא גם צוות TOKYU ID מחברת Tokyu Corporation, זכה בפרס FIDO על השימוש החדשני במפתח גישה ב-TOKYU ID. קבוצת Tokyu היא קונגלומרט יפני גדול עם מגוון רחב של עסקים שמתמקדים בתחבורה ובפיתוח עירוני.

TOKYU ID נועד לייעל אינטראקציות יומיומיות, כמו נסיעה ברכבת. מתוך הכרה בחשיבות הקריטית של חוויית המשתמש, הצוות הטמיע כניסה באמצעות מפתח גישה בפברואר 2024 כדי לטפל בבעיות פוטנציאליות, כמו החמצת רכבת בגלל עיכובים באימות דו-שלבי בשירותי מכירת כרטיסים דיגיטליים שמספקת אפליקציית אינטרנט.

הם השתתפו בהאקתון הזה כדי לאמת את החזון שלהם לגבי TOKYU ID. התרחיש האידיאלי שלהם הוא שכל המשתמשים יירשמו ויתחברו באמצעות מפתחות גישה, בשילוב עם שחזור חשבון חלק. כדי לעשות זאת, הם התמקדו בשתי הטמעות מרכזיות במהלך ה-hackathon: הפעלת רישום של מפתח גישה במהלך תהליך ההרשמה הראשוני למינוי, והוספת כניסה באמצעות חשבון ברשתות חברתיות לשחזור חשבון. באופן ייחודי, אחרי שחזור באמצעות התחברות באמצעות חשבון ברשת חברתית, המשתמשים יכולים לרשום רק מפתח גישה, מה שממחיש את המחויבות של הצוות לתכנון שמתמקד במפתחות גישה. הם גם שילבו את FedCM כדי לשפר את חוויית המשתמש בתהליכי קישור החשבונות.

הודעת אימות מ-Google.

הגישה של צוות TOKYU ID שמתמקדת במפתחות גישה הוכיחה הבנה עמוקה של צורכי המשתמשים ודרישות המוצר. ב-hackathon הם הטמיעו את הפתרון שלהם והציגו מצגת מעניינת, שזכתה בפרס FIDO. ראוי לציין שהם שילבו את Google Sign-In בלי להשתמש ב-GIS SDK, אלא רק ב-JavaScript רגיל באמצעות FedCM.

פרס Google: צוות Nulab‏ (Nulab)

צוות Nulab.

Nulab היא חברת תוכנה שמספקת שירותים כמו Backlog, ‏ Cacoo ו-Nulab Pass. בשירותים שלהם יש כמה פתרונות לאימות דו-שלבי (מפתחות אבטחה, סיסמה חד-פעמית (OTP) ב-SMS, סיסמה חד-פעמית (OTP) באימייל, TOTP) ו-WebAuthn. Nulab הייתה אחת מהחברות הראשונות שהשתמשו ב-WebAuthn, והיא תומכת במפתחות גישה באופן מלא מאז אוקטובר 2023.

הם הטמיעו שמונה תכונות חדשות:

  • כרטיס מפתחות גישה
  • תוכן מבוא למפתח גישה
  • פרסים למשתמשי מפתח הגישה
  • עזרה בשחזור החשבון בצורה חלקה
  • לחצן לכניסה באמצעות מפתח גישה
  • אימות דו-שלבי חובה למשתמשי מפתחות גישה
  • הסרת סיסמאות וקידום מפתחות גישה במקרה של דליפות של פרטי כניסה
  • קידום מפתחות גישה לאחר איפוס סיסמה

ב-hackathon הם הדגימו תמיכה בשחזור חשבון בצורה חלקה: הרעיון היה להציע למשתמש לבצע פעולה נוספת כשהוא מוסיף מפתח גישה. אם מפתח הגישה שנוסף מוגבל למכשיר, מומלץ להמליץ למשתמש להוסיף מפתח גישה אחר ממנהל סיסמאות אחר. אם מפתח הגישה שנוסף מסונכרן, מומלץ להמליץ למשתמש להסיר את הסיסמה.

הם גם הטמיעו תגמולים למשתמשים שמשתמשים במפתחות גישה, עם הדגשה של סמל חשבון המשתמש. כשהמשתמש מאמץ מפתח גישה שמקושר למכשיר, הסמל מתחיל להסתובב. כשהמשתמש מאמץ מפתח גישה מסונכרן, הסמל מתחיל להבהב. מכיוון שזהו כלי ארגוני, הוא מניע את המשתמשים להשתמש במפתחות גישה כדי להתבלט בחברה.

השופטים התרשמו מהרעיונות היצירתיים שלהם לשיפור ההטמעה של מפתח הגישה, ובמיוחד מהדרך שבה המשתמשים יכולים לשחזר את החשבון שלהם.

פרויקטים מעניינים יותר

לכל הצוותים בהאקתון היו רעיונות מעניינים, ואלה כמה מהפרויקטים שלהם:

  • Nikkei ID‏ (Nikkei): הטמעת מפתחות גישה מעל OpenID Connect, כדי לצמצם את החיכוך של המשתמשים.
  • Dentsu Soken (Dentsu Soken): שילבו מפתחות גישה עם כניסה באמצעות חשבון Google כדי להקל על הצטרפות משתמשים.
  • SST-Tech‏ (Secure Sky Technology): נבדקה הדמיה של מפתחות גישה לצורך הערכות אבטחה.
  • Ajitei Nekomaru (Keio University): הוסיף אימות באמצעות מפתח גישה למערכת LMS בקוד פתוח.
  • MyLIXIL‏ (LIXIL): הושלם תהליך ההטמעה של מפתחות גישה כשיטת אימות ב-MyLIXIL.

פרטים נוספים על כל פרויקט זמינים בדוח המלא של ה-hackathon של מפתחות הגישה בטוקיו.

לקחים לעתיד

במהלך ה-hackathon, המשתתפים שיתפו משוב ושאלות חשובות, והדגישו את ההתלהבות ממפתחות הגישה ואת נקודות השיפור. ריכזנו כאן כמה מהמסקנות העיקריות מההאקתון:

  • יש עניין הולך וגדל בשילוב של מפתחות גישה עם טכנולוגיות אחרות, כמו פרטי כניסה מאומתים ואימותים ללא ידע (zero-knowledge).
  • חוויית המשתמש היא עדיין בעדיפות עליונה, והצוותים מתמקדים בשיפור השימוש במפתחות הגישה וההטמעה שלהם.
  • במהלך ה-hackathon הוצג הפוטנציאל של מפתחות הגישה להרחיב את השימוש מעבר לכניסות מסורתיות, לתחומים כמו IoT וזהות דיגיטלית.

האירוע היה הצלחה גדולה, והניב רעיונות חדשים ושיתופי פעולה חדשים. ככל שמפתחות הגישה נעשים נפוצים יותר, אירועים כאלה הם המפתח לחדשנות ולפתרון האתגרים.

זוהי תקופה מרגשת למפתחות גישה, וההאקתון בטוקיו הוא הוכחה לכך שמפתחים רוצים להרחיב את גבולות האפשר.