هکاتون Passkeys در توکیو: Passkeys در دستگاه های IoT و موارد دیگر، Passkeys Hackathon در توکیو: Passkeys در دستگاه های IoT و موارد دیگر

Milica Mihajlija

در ژوئن 2024، گوگل با اتحاد FIDO برای میزبانی هکاتون رمز عبور در توکیو همکاری کرد. هدف این بود که به شرکت‌کنندگان تجربه عملی در زمینه توسعه کلیدهای عبور و نمونه‌سازی کلیدهای عبور برای محصولات دنیای واقعی، با کارکنان Google و FIDO Alliance برای ارائه راهنمایی ارائه شود.

در این هکاتون 9 تیم به کلیدهای عبور فرو رفتند و داوران چهار پروژه خلاقانه و تاثیرگذار را انتخاب کردند.

برنده بزرگ: تیم SFC-RG pkLock دانشگاه Keio (دانشگاه Keio)

تیم SFC-RG pkLock دانشگاه Keio تنها تیمی بود که در این مسابقه چالش ترکیب دستگاه‌های IoT با کلیدهای عبور را بر عهده گرفت و حتی یک چاپگر سه بعدی نیز آورد.

هدف pkLock آنها (تلفظ "pic-lock") حل مشکل رایج تحویل کلید برای Airbnb و سایر اقامتگاه های خصوصی با استفاده از احراز هویت متقابل با کلید عبور است.

دستگاهی که آنها ایجاد کردند شامل یک دستگاه نمایشگر کد QR است که در قسمت بیرونی در و یک دستگاه بازکننده قفل نصب شده در داخل نصب شده است. علاوه بر دستگاه، یک برنامه وب وجود دارد که کاربران برای رزرو و باز کردن قفل از آن استفاده می کنند. مهمانان می توانند با گرفتن دست خود در زیر دستگاه نمایشگر کد QR در جلوی در، خواندن کد QR نمایش داده شده با تلفن همراه خود و انجام احراز هویت با کلید عبور (احراز هویت متقابل) قفل در را باز کنند.

آنها همچنین توجه ویژه ای به طراحی دستگاه پیچیده ای داشتند که میزبانان بخواهند در محل اقامت خود نصب کنند. رویکرد جامع آنها، که پذیرش گسترده بالقوه این دستگاه ها را نیز در نظر می گیرد، به شدت مورد توجه قضات قرار گرفت.

در طول ارائه خود، آنها با باز کردن قفل در مینیاتوری که در طول هکاتون ساخته بودند، هیجان زیادی را در میان مخاطبان ایجاد کردند. برای این نمایش، دستگاه یک کد QR حاوی یک URL با یک توکن یک بار مصرف نمایش داد که کاربران را به یک صفحه احراز هویت هدایت می‌کند. در آینده، آنها قصد دارند حمل و نقل هیبریدی را روی دستگاه اجرا کنند تا قفل مستقیم را فعال کند. آنها به دلیل تلاش های پیشگامانه خود در کشف امکانات استفاده از کلیدهای عبور در دستگاه های اینترنت اشیا برنده هکاتون شدند.

جایزه FIDO 1: SKKN (دانشگاه Waseda)

SKKN یک گروه تحقیقاتی از دانشگاه Waseda است که در مطالعات حفظ حریم خصوصی متخصص است. این تیم مورد استفاده بسیار پیشرفته‌ای از کلیدهای عبور ارائه کرده است که آنها را با فناوری‌های نوظهور ترکیب می‌کند - اعتبار قابل تأیید (VC) و اثبات دانش صفر. از آنجایی که مدارک قابل تأیید و مدرک دانش صفر در کانون توجه هویت خودمختار و هویت غیرمتمرکز (SSI/DID) قرار دارند، ارائه آنها توجه زیادی را هم از سوی داوران هکاتون و هم سایر شرکت کنندگان به خود جلب کرده است.

اعتبارنامه‌های قابل تأیید (VC) گواهی‌های دیجیتالی هستند که اطلاعات کاربر مانند نام، وابستگی و آدرس را ثابت می‌کنند. اگر Holder (کیف پول) که VC ها را ذخیره و مدیریت می کند آسیب پذیر باشد، VC ها می توانند توسط دیگران دزدیده شوند و دیگران می توانند با ارائه VC هویت کاربر را جعل کنند. آنها علاوه بر اینکه فقط به کاربرانی که دارای اعتبار FIDO هستند می‌توانند VC را ارائه دهند، روشی را توسعه داده‌اند که فقط به خدمات کیف پول قابل اعتماد اجازه می‌دهد VCها را مدیریت کنند.

اجرای آنها چندین مزیت را نشان داد:

• با پیوند دادن و صدور اعتبارنامه های VC و FIDO، فقط صاحب FIDO می تواند از VC ها استفاده کند.
• فقط کیف پول های مورد اعتماد صادرکننده و تأیید کننده قابل استفاده هستند.
• با استفاده از کلیدهای عبور، می توان از VC ها و کیف پول ها پشتیبان گیری و بازیابی کرد و کاربران می توانند حتی در صورت گم شدن دستگاه خود را بازیابی کنند.

جایزه فیدو 2: شناسه توکیو (توکیو)

تیم URBAN HACKS، همچنین به عنوان تیم TOKYU ID از شرکت توکیو شناخته می شود، جایزه FIDO را برای پذیرش رمز عبور خلاقانه برای شناسه TOKYU دریافت کرده است. گروه توکیو یک شرکت بزرگ ژاپنی با طیف گسترده ای از کسب و کار است که حول محور حمل و نقل و توسعه شهری متمرکز است.

TOKYU ID برای ساده کردن تعاملات روزمره، مانند قطار سواری، طراحی شده است. با درک اهمیت حیاتی تجربه کاربر، این تیم در فوریه 2024 ورود به سیستم با کلید عبور را برای رسیدگی به مسائل احتمالی مانند از دست دادن قطار به دلیل تأخیر در احراز هویت دو عاملی در خدمات بلیط دیجیتال ارائه شده توسط یک برنامه وب، پیاده‌سازی کرد.

آنها در این هکاتون شرکت کردند تا دیدگاه خود را برای ID TOKYU تایید کنند. سناریوی ایده آل آنها شامل ثبت نام و ورود همه کاربران با کلیدهای عبور، همراه با بازیابی یکپارچه حساب است. برای درک این موضوع، آنها بر روی دو پیاده سازی کلیدی در هکاتون تمرکز کردند: فعال کردن ثبت رمز عبور در طول فرآیند ثبت نام اولیه عضویت و معرفی ورود به سیستم اجتماعی برای بازیابی حساب. به طور منحصربه‌فرد، پس از بازیابی از طریق ورود به شبکه اجتماعی، کاربران فقط مجاز به ثبت یک رمز عبور هستند، که بر تعهد تیم به طراحی مبتنی بر کلید عبور تأکید می‌کند. آنها همچنین FedCM را برای بهبود تجربه کاربر در فرآیندهای پیوند حساب ادغام کردند.

رویکرد مبتنی بر رمز عبور تیم TOKYU ID درک عمیقی از نیازهای کاربر و الزامات محصول را نشان داد. در هکاتون، آنها با موفقیت راه حل خود را اجرا کردند و یک ارائه جالب ارائه کردند که جایزه FIDO را برای آنها به ارمغان آورد. قابل ذکر است، آنها Google Sign-In را بدون استفاده از GIS SDK فقط با جاوا اسکریپت وانیلی با استفاده از FedCM یکپارچه کردند!

جایزه Google: تیم Nulab (Nulab)

Nulab یک شرکت نرم افزاری است که خدماتی مانند Backlog , Cacoo و Nulab Pass را ارائه می دهد . آنها چندین راه حل احراز هویت دو عاملی (کلیدهای امنیتی، SMS OTP، ایمیل OTP، TOTP) و WebAuthn در سراسر خدمات خود دارند. Nulab اولین پذیرنده WebAuthn بود و از اکتبر 2023 به طور کامل از کلیدهای عبور پشتیبانی می کرد .

آنها هشت ویژگی جدید را پیاده سازی کرده اند:

• کارت رمز عبور
• محتوای مقدماتی کلید عبور
• جوایز پذیرنده رمز عبور
• کمک برای بازیابی راحت حساب
• با یک دکمه رمز ورود به سیستم وارد شوید
• 2FA اجباری برای پذیرندگان کلید عبور
• حذف گذرواژه و ارتقاء کلید عبور در هنگام درز اطلاعات
• پس از بازنشانی رمز عبور، کلیدهای عبور را ارتقا دهید

آنها کمکی را برای بازیابی راحت حساب در هکاتون ارائه کردند: ایده این بود که هنگام اضافه کردن یک رمز عبور، کاربر را با یک اقدام اضافی تشویق کنند. اگر کلید عبور اضافه شده به دستگاه متصل است، به کاربر توصیه کنید کلید عبور دیگری را از یک مدیر رمز عبور دیگر اضافه کند. اگر کلید عبور اضافه شده همگام سازی شده است، به کاربر توصیه کنید رمز عبور را حذف کند.

آنها همچنین برای کاربرانی که کلیدهای عبور را با برجسته کردن نماد حساب کاربری استفاده می کنند، جوایزی را اجرا کردند. هنگامی که کاربر یک رمز عبور متصل به دستگاه را می پذیرد، نماد شروع به چرخیدن می کند. وقتی کاربر یک رمز عبور همگام‌سازی شده را می‌پذیرد، نماد شروع به چشمک زدن می‌کند. از آنجایی که این یک ابزار سازمانی است، این امر به کاربران انگیزه می دهد تا با استفاده از کلیدهای عبور در شرکت برجسته شوند.

داوران تحت تأثیر ایده‌های خلاقانه‌شان برای بهبود اجرای کلید عبور و به‌ویژه اینکه کاربران چگونه می‌توانند حساب خود را بازیابی کنند، قرار گرفتند.

پروژه های جالب تر

همه تیم های حاضر در هکاتون ایده های جالبی داشتند و در اینجا نگاهی اجمالی به پروژه های آنها داریم:

• Nikkei ID (Nikkei): کلیدهای عبور پیاده سازی شده در بالای OpenID Connect، اصطکاک کاربر را کاهش می دهد.
• Dentsu Soken (Dentsu Soken): کلیدهای عبور ترکیبی با Google Sign-In برای ورود یکپارچه کاربر.
• SST-Tech (فناوری آسمان امن): شبیه سازی رمز عبور کاوش شده برای ارزیابی های امنیتی.
• Ajitei Nekomaru (دانشگاه Keio): احراز هویت رمز عبور را به یک LMS منبع باز معرفی کرد.
• MyLIXIL (LIXIL) : برای پیاده سازی کلیدهای عبور به عنوان یک روش احراز هویت برای MyLIXIL انجام شده است.

برای جزئیات بیشتر در مورد هر پروژه، گزارش کامل هکاتون رمز عبور توکیو را بررسی کنید.

خوراکی ها و آینده

در طول هکاتون، شرکت‌کنندگان بازخوردها و سوالات ارزشمندی را به اشتراک گذاشتند، که هم اشتیاق به کلیدهای عبور و هم زمینه‌های بهبود را برجسته می‌کرد. اینها برخی از نکات کلیدی از هکاتون هستند:

• علاقه روزافزونی به ترکیب کلیدهای عبور با سایر فناوری‌ها، مانند اعتبارنامه‌های قابل تأیید و اثبات‌های دانش صفر وجود دارد.
• تجربه کاربری همچنان در اولویت قرار دارد و تیم‌ها بر روی آسان‌تر کردن استفاده و پذیرش کلیدهای عبور تمرکز می‌کنند.
• این هکاتون پتانسیل کلیدهای عبور را برای گسترش فراتر از ورود به سیستم سنتی به حوزه‌هایی مانند اینترنت اشیا و هویت دیجیتال برجسته کرد.

این رویداد یک موفقیت چشمگیر بود و ایده ها و همکاری های جدیدی را برانگیخت. همانطور که کلیدهای عبور پذیرفته می شوند، رویدادهایی مانند این کلیدی برای هدایت نوآوری و رسیدگی به چالش ها هستند.

زمان هیجان انگیزی برای کلیدهای عبور است، و هکاتون توکیو دلیلی بر این است که توسعه دهندگان مشتاق هستند تا مرزهای ممکن را پشت سر بگذارند.

Milica Mihajlija

در ژوئن 2024، گوگل با اتحاد FIDO برای میزبانی هکاتون رمز عبور در توکیو همکاری کرد. هدف این بود که به شرکت‌کنندگان تجربه عملی در زمینه توسعه کلیدهای عبور و نمونه‌سازی کلیدهای عبور برای محصولات دنیای واقعی، با کارکنان Google و FIDO Alliance برای ارائه راهنمایی ارائه شود.

در این هکاتون 9 تیم به کلیدهای عبور فرو رفتند و داوران چهار پروژه خلاقانه و تاثیرگذار را انتخاب کردند.

برنده بزرگ: تیم SFC-RG pkLock دانشگاه Keio (دانشگاه Keio)

تیم SFC-RG pkLock دانشگاه Keio تنها تیمی بود که در این مسابقه چالش ترکیب دستگاه‌های IoT با کلیدهای عبور را بر عهده گرفت و حتی یک چاپگر سه بعدی نیز آورد.

هدف pkLock آنها (تلفظ "pic-lock") حل مشکل رایج تحویل کلید برای Airbnb و سایر اقامتگاه های خصوصی با استفاده از احراز هویت متقابل با کلید عبور است.

دستگاهی که آنها ایجاد کردند شامل یک دستگاه نمایشگر کد QR است که در قسمت بیرونی در و یک دستگاه بازکننده قفل نصب شده در داخل نصب شده است. علاوه بر دستگاه، یک برنامه وب وجود دارد که کاربران برای رزرو و باز کردن قفل از آن استفاده می کنند. مهمانان می توانند با گرفتن دست خود در زیر دستگاه نمایشگر کد QR در جلوی در، خواندن کد QR نمایش داده شده با تلفن همراه خود و انجام احراز هویت با کلید عبور (احراز هویت متقابل) قفل در را باز کنند.

آنها همچنین توجه ویژه ای به طراحی دستگاه پیچیده ای داشتند که میزبانان بخواهند در محل اقامت خود نصب کنند. رویکرد جامع آنها، که پذیرش گسترده بالقوه این دستگاه ها را نیز در نظر می گیرد، به شدت مورد توجه قضات قرار گرفت.

در طول ارائه خود، آنها با باز کردن قفل در مینیاتوری که در طول هکاتون ساخته بودند، هیجان زیادی را در میان مخاطبان ایجاد کردند. برای این نمایش، دستگاه یک کد QR حاوی یک URL با یک توکن یک بار مصرف نمایش داد که کاربران را به یک صفحه احراز هویت هدایت می‌کند. در آینده، آنها قصد دارند حمل و نقل هیبریدی را روی دستگاه اجرا کنند تا قفل مستقیم را فعال کند. آنها به دلیل تلاش های پیشگامانه خود در کشف امکانات استفاده از کلیدهای عبور در دستگاه های اینترنت اشیا برنده هکاتون شدند.

جایزه FIDO 1: SKKN (دانشگاه Waseda)

SKKN یک گروه تحقیقاتی از دانشگاه Waseda است که در مطالعات حفظ حریم خصوصی متخصص است. این تیم مورد استفاده بسیار پیشرفته‌ای از کلیدهای عبور ارائه کرده است که آنها را با فناوری‌های نوظهور ترکیب می‌کند - اعتبار قابل تأیید (VC) و اثبات دانش صفر. از آنجایی که مدارک قابل تأیید و مدرک دانش صفر در کانون توجه هویت خودمختار و هویت غیرمتمرکز (SSI/DID) قرار دارند، ارائه آنها توجه زیادی را هم از سوی داوران هکاتون و هم سایر شرکت کنندگان به خود جلب کرده است.

اعتبارنامه‌های قابل تأیید (VC) گواهی‌های دیجیتالی هستند که اطلاعات کاربر مانند نام، وابستگی و آدرس را ثابت می‌کنند. اگر Holder (کیف پول) که VC ها را ذخیره و مدیریت می کند آسیب پذیر باشد، VC ها می توانند توسط دیگران دزدیده شوند و دیگران می توانند با ارائه VC هویت کاربر را جعل کنند. آنها علاوه بر اینکه فقط به کاربرانی که دارای اعتبار FIDO هستند می‌توانند VC را ارائه دهند، روشی را توسعه داده‌اند که فقط به خدمات کیف پول قابل اعتماد اجازه می‌دهد VCها را مدیریت کنند.

اجرای آنها چندین مزیت را نشان داد:

• با پیوند دادن و صدور اعتبارنامه های VC و FIDO، فقط صاحب FIDO می تواند از VC ها استفاده کند.
• فقط کیف پول های مورد اعتماد صادرکننده و تأیید کننده قابل استفاده هستند.
• با استفاده از کلیدهای عبور، می توان از VC ها و کیف پول ها پشتیبان گیری و بازیابی کرد و کاربران می توانند حتی در صورت گم شدن دستگاه خود را بازیابی کنند.

جایزه فیدو 2: شناسه توکیو (توکیو)

تیم URBAN HACKS، همچنین به عنوان تیم TOKYU ID از شرکت توکیو شناخته می شود، جایزه FIDO را برای پذیرش رمز عبور خلاقانه برای شناسه TOKYU دریافت کرده است. گروه توکیو یک شرکت بزرگ ژاپنی با طیف گسترده ای از کسب و کار است که حول محور حمل و نقل و توسعه شهری متمرکز است.

TOKYU ID برای ساده کردن تعاملات روزمره، مانند قطار سواری، طراحی شده است. با درک اهمیت حیاتی تجربه کاربر، این تیم در فوریه 2024 ورود به سیستم با کلید عبور را برای رسیدگی به مسائل احتمالی مانند از دست دادن قطار به دلیل تأخیر در احراز هویت دو عاملی در خدمات بلیط دیجیتال ارائه شده توسط یک برنامه وب، پیاده‌سازی کرد.

آنها در این هکاتون شرکت کردند تا دیدگاه خود را برای ID TOKYU تایید کنند. سناریوی ایده آل آنها شامل ثبت نام و ورود همه کاربران با کلیدهای عبور، همراه با بازیابی یکپارچه حساب است. برای درک این موضوع، آنها بر روی دو پیاده سازی کلیدی در هکاتون تمرکز کردند: فعال کردن ثبت رمز عبور در طول فرآیند ثبت نام اولیه عضویت و معرفی ورود به سیستم اجتماعی برای بازیابی حساب. به طور منحصربه‌فرد، پس از بازیابی از طریق ورود به شبکه اجتماعی، کاربران فقط مجاز به ثبت یک رمز عبور هستند، که بر تعهد تیم به طراحی مبتنی بر کلید عبور تأکید می‌کند. آنها همچنین FedCM را برای بهبود تجربه کاربر در فرآیندهای پیوند حساب ادغام کردند.

رویکرد مبتنی بر رمز عبور تیم TOKYU ID درک عمیقی از نیازهای کاربر و الزامات محصول را نشان داد. در هکاتون، آنها با موفقیت راه حل خود را اجرا کردند و یک ارائه جالب ارائه کردند که جایزه FIDO را برای آنها به ارمغان آورد. قابل ذکر است، آنها Google Sign-In را بدون استفاده از GIS SDK فقط با جاوا اسکریپت وانیلی با استفاده از FedCM یکپارچه کردند!

جایزه Google: تیم Nulab (Nulab)

Nulab یک شرکت نرم افزاری است که خدماتی مانند Backlog , Cacoo و Nulab Pass را ارائه می دهد . آنها چندین راه حل احراز هویت دو عاملی (کلیدهای امنیتی، SMS OTP، ایمیل OTP، TOTP) و WebAuthn در سراسر خدمات خود دارند. Nulab اولین پذیرنده WebAuthn بود و از اکتبر 2023 به طور کامل از کلیدهای عبور پشتیبانی می کرد .

آنها هشت ویژگی جدید را پیاده سازی کرده اند:

• کارت رمز عبور
• محتوای مقدماتی کلید عبور
• جوایز پذیرنده رمز عبور
• کمک برای بازیابی راحت حساب
• با یک دکمه رمز ورود به سیستم وارد شوید
• 2FA اجباری برای پذیرندگان کلید عبور
• حذف گذرواژه و ارتقاء کلید عبور در هنگام درز اطلاعات
• پس از بازنشانی رمز عبور، کلیدهای عبور را ارتقا دهید

آنها کمکی را برای بازیابی راحت حساب در هکاتون ارائه کردند: ایده این بود که هنگام اضافه کردن یک رمز عبور، کاربر را با یک اقدام اضافی تشویق کنند. اگر کلید عبور اضافه شده به دستگاه متصل است، به کاربر توصیه کنید کلید عبور دیگری را از یک مدیر رمز عبور دیگر اضافه کند. اگر کلید عبور اضافه شده همگام سازی شده است، به کاربر توصیه کنید رمز عبور را حذف کند.

آنها همچنین برای کاربرانی که کلیدهای عبور را با برجسته کردن نماد حساب کاربری استفاده می کنند، جوایزی را اجرا کردند. هنگامی که کاربر یک رمز عبور متصل به دستگاه را می پذیرد، نماد شروع به چرخیدن می کند. وقتی کاربر یک رمز عبور همگام‌سازی شده را می‌پذیرد، نماد شروع به چشمک زدن می‌کند. از آنجایی که این یک ابزار سازمانی است، این امر به کاربران انگیزه می دهد تا با استفاده از کلیدهای عبور در شرکت برجسته شوند.

داوران تحت تأثیر ایده‌های خلاقانه‌شان برای بهبود اجرای کلید عبور و به‌ویژه اینکه کاربران چگونه می‌توانند حساب خود را بازیابی کنند، قرار گرفتند.

پروژه های جالب تر

همه تیم های حاضر در هکاتون ایده های جالبی داشتند و در اینجا نگاهی اجمالی به پروژه های آنها داریم:

• Nikkei ID (Nikkei): کلیدهای عبور پیاده سازی شده در بالای OpenID Connect، اصطکاک کاربر را کاهش می دهد.
• Dentsu Soken (Dentsu Soken): کلیدهای عبور ترکیبی با Google Sign-In برای ورود یکپارچه کاربر.
• SST-Tech (فناوری آسمان امن): شبیه سازی رمز عبور کاوش شده برای ارزیابی های امنیتی.
• Ajitei Nekomaru (دانشگاه Keio): احراز هویت رمز عبور را به یک LMS منبع باز معرفی کرد.
• MyLIXIL (LIXIL) : برای پیاده سازی کلیدهای عبور به عنوان یک روش احراز هویت برای MyLIXIL انجام شده است.

برای جزئیات بیشتر در مورد هر پروژه، گزارش کامل هکاتون رمز عبور توکیو را بررسی کنید.

خوراکی ها و آینده

در طول هکاتون، شرکت‌کنندگان بازخوردها و سوالات ارزشمندی را به اشتراک گذاشتند، که هم اشتیاق به کلیدهای عبور و هم زمینه‌های بهبود را برجسته می‌کرد. اینها برخی از نکات کلیدی از هکاتون هستند:

• علاقه روزافزونی به ترکیب کلیدهای عبور با سایر فناوری‌ها، مانند اعتبارنامه‌های قابل تأیید و اثبات‌های دانش صفر وجود دارد.
• تجربه کاربری همچنان در اولویت قرار دارد و تیم‌ها بر روی آسان‌تر کردن استفاده و پذیرش کلیدهای عبور تمرکز می‌کنند.
• این هکاتون پتانسیل کلیدهای عبور را برای گسترش فراتر از ورود به سیستم سنتی به حوزه‌هایی مانند اینترنت اشیا و هویت دیجیتال برجسته کرد.

این رویداد یک موفقیت چشمگیر بود و ایده ها و همکاری های جدیدی را برانگیخت. همانطور که کلیدهای عبور پذیرفته می شوند، رویدادهایی مانند این کلیدی برای هدایت نوآوری و رسیدگی به چالش ها هستند.

زمان هیجان انگیزی برای کلیدهای عبور است، و هکاتون توکیو دلیلی بر این است که توسعه دهندگان مشتاق هستند تا مرزهای ممکن را پشت سر بگذارند.