האקאתון מפתחות גישה בטוקיו: מפתחות גישה במכשירי IoT ועוד

Milica Mihajlija

ביוני 2024, Google הצטרפה לתוכנית ה-FIDO חברת Alliance לאירוח האקאתון מפתחות גישה בטוקיו. המטרה הייתה להעניק למשתתפים ניסיון מעשי בפיתוח מפתחות גישה, יצירת אב טיפוס של מפתחות גישה למוצרים בעולם האמיתי, באמצעות Google ו-FIDO Alliance את אנשי הצוות שיכולים להדריך אותם.

במהלך ההאקאתון 9 צוותים הצליחו לצלול לעומק מפתחות הגישה, והשופטים בחרו ארבע קבוצות לפרויקטים חדשניים ומשפיעים.

הזוכה המנצחת: צוות pkLock של אוניברסיטת Keio University SFC-RG (Keio University)

צוות pkLock.

צוות ה-pkLock של אוניברסיטת קיו באוניברסיטת קיו היה הצוות היחיד בתחרות הזו. צריכים להתמודד עם האתגר של שילוב מכשירי IoT עם מפתחות גישה, שהביאו מדפסת תלת ממד.

מטרת ה-pkLock (נקראת 'pic-lock') היא לפתור את הבעיה המשותפת. העברת מפתחות מסורבלת של Airbnb ומקומות לינה פרטיים אחרים באמצעות מפתח גישה אימות בכמה מכשירים.

המכשיר שהוא יצר מורכב מצג של קוד QR שמותקן מחוץ לדלת ומכשיר לביטול נעילה שמותקן מבפנים. כמו כן למכשיר, יש אפליקציית אינטרנט שמשתמשים משתמשים בה לביצוע הזמנה ביטול הנעילה. אורחים יכולים לבטל את נעילת הדלת על ידי החזקת היד שלהם מתחת לקוד ה-QR הצגת הקוד של המכשיר מול הדלת, וקורא את קוד ה-QR שמוצג עם בטלפון הנייד שלהם, ולבצע אימות של מפתח גישה (חוצה-מכשירים) אימות).

הם גם הקדישו תשומת לב מיוחדת לתכנון מכשיר מתוחכם שמארח ירצו להתקין בבית שלהם. הגישה המקיפה שלהם, שמביא בחשבון גם את האפשרות של שימוש נרחב במכשירים כאלה, תהודה מאוד בקרב השופטים.

דלת מיניאטורית עם pkLock.

במהלך המצגת, הם עוררו התלהבות רבה בקרב הקהל על ידי למעשה פתיחה של דלת מיניאטורית שהם יצרו במהלך ההאקאתון. בשביל זה הדגמה, המכשיר הציג קוד QR שמכיל כתובת URL עם אפשרות חד פעמית שמפנה משתמשים לדף אימות. בעתיד, הם מתכננים הטמעת אמצעי תחבורה היברידיים במכשיר כדי לאפשר ביטול נעילה ישיר. הם ניצחו את ההאקאתון בזכות המאמצים החלוציים שלהם בחקר האפשרויות באמצעות מפתחות גישה במכשירי IoT.

פרס FIDO 1: SKKN (אוניברסיטת Waseda)

צוות SKKN.

SKKN היא קבוצת מחקר מאוניברסיטת ואסדה, שמתמחה בפרטיות מחקרים. הצוות הציג תרחיש מתקדם מאוד לשימוש במפתחות גישה, שמשלבים באמצעות טכנולוגיות מתפתחות – פרטי כניסה ניתנים לאימות (VC) והוכחה ללא ידיעת. כי אישורים שאפשר לאמת והוכחה דרך אפס ידע נמצאים בזרקור זהות של ריבונות עצמית וזהות מבוזרת (SSI/DID), משכה תשומת לב רבה גם משופטי ההאקאתון משתתפים אחרים.

פרטי כניסה ניתנים לאימות (VC) הם אישורים דיגיטליים שמוכיחים את הטענה של המשתמש מידע כמו שם, שיוך וכתובת. אם הבעלים (ארנק) חנויות וניהול קרנות הון סיכון פגיעות, אחרים יכולים לגנוב קרנות הון סיכון לאחרים ועוד יכול להתחזות למשתמש על ידי הצגת ה-VC. בנוסף להפעלה של רק משתמש שיש לו פרטי כניסה ל-FIDO כדי להציג את ה-VC, הוא פיתח שיטה שמאפשר רק לשירותי ארנקים מהימנים לטפל ב-VC.

היישום שלהם הניב מספר יתרונות:

  • על ידי קישור והנפקה של קרנות VC ופרטי כניסה ל-FIDO, רק הבעלים של FIDO יכול להשתמש בהמרות לאחר צפייה פעילה.
  • ניתן להשתמש רק בארנקים מהימנים של המנפיק ומאמת החשבונות.
  • באמצעות שימוש במפתחות גישה אפשר לגבות ולשחזר מטבעות וירטואליים וארנקים, וגם שהמשתמשים יכולים לשחזר גם אם איבדו את המכשיר.

פרס FIDO 2: מזהה TOKYU (טוקיו)

צוות TOKYU ID.

צוות URBAN HACKS, שנקרא גם צוות TOKYU ID, מ-Tokyu Corporation, קיבל את פרס FIDO על אימוץ מפתחות הגישה החדשניים ב-TOKYU ID. קבוצת טוקיו היא קונגלומרט יפני גדול עם מגוון רחב של שמתמקדים בתחבורה ובפיתוח עירוני.

TOKYU ID נועד לייעל אינטראקציות יומיומיות, כמו נסיעות ברכבת. הצוות הבין את החשיבות הקריטית של חוויית המשתמש, והטמיע כניסה לחשבון באמצעות מפתחות גישה בפברואר 2024, כדי לטפל בבעיות אפשריות כמו חסר רכבת בגלל עיכובים באימות דו-שלבי בשירותי מכירת כרטיסים דיגיטליים שמסופקים על ידי אפליקציית אינטרנט.

הם השתתפו בהאקאתון הזה כדי לאמת את החזון שלהם לגבי TOKYU ID. התרחיש האידיאלי עבורם הוא שכל המשתמשים יירשמו ומתחברים לחשבון מפתחות גישה, בשילוב עם שחזור חשבון בצורה חלקה. כדי להבין זאת, הם התמקדו שתי הטמעות מרכזיות בהאקאתון: הפעלת רישום של מפתחות גישה בתהליך ההרשמה הראשוני למועדון החברים, והצגת ההתחברות לרשתות החברתיות עבור שחזור החשבון. באופן ייחודי, לאחר שחזור באמצעות התחברות ברשתות חברתיות, המשתמשים מותר לרשום מפתח גישה, המדגיש את המחויבות של הצוות עיצוב שמתמקד במפתחות גישה. הם גם שילבו את FedCM כדי לשפר את המשתמשים ניסיון בתהליכי קישור חשבונות.

הודעת אימות מ-Google.

הגישה של הצוות של TOKYU ID, שממוקדת במפתחות גישה, הוכיחה הבנה מעמיקה של צורכי המשתמשים ודרישות המוצר. בהאקאתון, הם מצליחים יישמו את הפתרון שלהם והעבירו מצגת מעניינת, שזכתה להם בפרס FIDO. בעיקר, הם שילבו את 'כניסה באמצעות חשבון Google' בלי להשתמש GIS SDK רק באמצעות וניל JavaScript באמצעות FedCM!

פרס Google: Team Nulab (Nulab)

צוות Nulab.

Nulab היא חברת תוכנה שמספקת שירותים כמו בתור Backlog, Cacoo ו-Nulab לעבור. יש להם כמה גורמים פתרונות אימות (מפתחות אבטחה, SMS OTP, OTP של אימייל, TOTP) ו-WebAuthn בכל השירותים שלהם. ב-Nulab הייתה מראשוני המשתמשים של WebAuthn יש להם תמיכה מלאה במפתחות גישה מאז אוקטובר 2023.

הם הטמיעו שמונה תכונות חדשות:

  • כרטיס של מפתחות גישה
  • תוכן מבוא למפתח גישה
  • פרסים לשימוש במפתח גישה
  • סיוע לשחזור החשבון בצורה חלקה
  • איך נכנסים לחשבון באמצעות לחצן מפתח גישה
  • אימות דו-שלבי חובה למשתמשים שמשתמשים במפתחות גישה
  • הסרת סיסמה וקידום של מפתחות גישה במקרה של הדלפות של פרטי כניסה
  • קידום של מפתחות גישה בזמן איפוס סיסמה

בהאקאתון הדגימו סיוע בשחזור חשבון חלק: הרעיון היה לעודד את המשתמש לבצע פעולה נוספת כשהוא מוסיף מפתח גישה. אם מפתח הגישה שנוסף קשור למכשיר, מומלץ למשתמש להוסיף עוד מפתח גישה מפתח גישה ממנהל סיסמאות אחר. אם מפתח הגישה שנוסף מסונכרן, להמליץ למשתמש להסיר את הסיסמה.

החברה גם הטמיעה פרסים למשתמשים שמיישמים מפתחות גישה באמצעות חשבון משתמש הדגשת סמל. כשהמשתמש מאמצים מפתח גישה שמקושר למכשיר, הסמל מתחיל להקיף בעיגול. כשהמשתמש משתמש במפתח גישה מסונכרן, הסמל מתחיל להבהב. זהו כלי ארגוני ולכן המשתמשים מקבלים מוטיבציה לבלוט לחברה על ידי שימוש במפתחות גישה.

השופטים התלהבו מהרעיונות היצירתיים שלהם לשיפור מפתח הגישה ובעיקר כיצד משתמשים יכולים לשחזר את החשבון שלהם.

עוד פרויקטים מעניינים

לכל הצוותים בהאקאתון היו רעיונות מעניינים, והנה הצצה הפרויקטים שלהם:

  • Nikkei ID (Nikkei): מפתחות גישה מוטמעים מעל OpenID Connect, ומפחית את חיכוך המשתמשים.
  • Dentsu Soken (Dentsu Soken): מפתחות גישה משולבים עם כניסה באמצעות Google כדי להקל על התחלת העבודה.
  • SST-Tech (טכנולוגיית Secure Sky): אמולציית מפתחות גישה עבור והערכות אבטחה.
  • Ajitei Nekomaru (אוניברסיטת Keio): נוסף אימות באמצעות מפתח גישה למערכת לניהול למידה (LMS) בקוד פתוח.
  • MyLIXIL (LIXIL): בוצע יישום של מפתחות גישה שיטת אימות ל-MyLIXIL.

לקבלת פרטים נוספים על כל פרויקט, כדאי לעיין דוח האקאתון של מפתחות הגישה בטוקיו.

מסקנות מהעתיד

במהלך ההאקאתון, המשתתפים שיתפו משוב חשוב ושאלות חשובות, ומדגישה את ההתלהבות ממפתחות גישה וגם את התחומים שצריך לשפר. אלה כמה מהמסקנות המרכזיות של ההאקאתון:

  • יש יותר עניין בשילוב של מפתחות גישה עם טכנולוגיות אחרות, כמו פרטי כניסה ניתנים לאימות והוכחות ללא ידע.
  • חוויית המשתמש נשארת בראש סדר העדיפויות, והצוותים מתמקדים עוד יותר קל להשתמש במפתחות גישה ולהטמיע אותם.
  • ההאקאתון הדגיש את הפוטנציאל של מפתחות גישה ליותר של כניסות מסורתיות, לאזורים כמו IoT וזהות דיגיטלית.

האירוע היה מוצלח ביותר ועורר רעיונות חדשים ושיתופי פעולה חדשים. בתור מפתחות גישה הולכים לאימוץ נרחב יותר, אירועים כאלה הם המפתח לחדשנות להתמודד עם אתגרים.

זו תקופה מרגשת לשימוש במפתחות גישה, והאקאתון טוקיו הוא הוכחה לכך מפתחים להוטים להרחיב את הגבולות של מה שאפשר.