hackathon kluczy dostępu w Tokio: klucze dostępu na urządzeniach IoT i nie tylko

Opublikowano: 9 września 2024 r.

W czerwcu 2024 r. Google we współpracy z stowarzyszeniem FIDO zorganizowało w Tokio hackathon dotyczący kluczy dostępu. Celem było zapoznanie uczestników z rozwojem i prototypowaniem kluczy dostępu w przypadku rzeczywistych produktów. Wsparcie merytoryczne zapewniali pracownicy Google i FIDO Alliance.

W hackathonie wzięło udział 9 zespołów, które pracowały nad kluczami dostępu. Jury wybrało 4 najbardziej innowacyjne i skuteczne projekty.

Zwycięzca: zespół SFC-RG pkLock z Uniwersytetu Keio (Keio University)

Zespół pkLock

Zespół pkLock z SFC-RG z Uniwersytetu Keio był jedynym zespołem w tym konkursie, który podjął wyzwanie polegające na połączeniu urządzeń IoT z kluczami dostępu. Przynieśli nawet drukarkę 3D.

Ich rozwiązanie pkLock (wymawiane jako „pic-lock”) ma na celu rozwiązanie typowego problemu związanego z niepraktycznym przekazywaniem kluczy w przypadku Airbnb i innych prywatnych kwater. Rozwiązanie to wykorzystuje klucz dostępu i uwierzytelnianie na różnych urządzeniach.

Urządzenie składa się z wyświetlacza z kodem QR zainstalowanego na zewnątrz drzwi oraz urządzenia do odblokowania zainstalowanego wewnątrz. Oprócz urządzenia dostępna jest aplikacja internetowa, której użytkownicy używają do rezerwacji i odblokowywania. Goście mogą odblokować drzwi, trzymając rękę pod wyświetlaczem kodu QR przed drzwiami, odczytując wyświetlany kod QR za pomocą telefonu komórkowego i wykonując uwierzytelnianie za pomocą klucza dostępu (uwierzytelnianie na różnych urządzeniach).

Zespół z szczególną uwagą zaprojektował też zaawansowane urządzenie, które gospodarze chcieliby zainstalować w swoich obiektach. Ich kompleksowe podejście, które uwzględnia również potencjalne szerokie zastosowanie tych urządzeń, spotkało się z pochwałą jurorów.

Drzwi w miniaturze z pkLock.

Podczas prezentacji wywołali duże emocje wśród publiczności, odblokowując miniaturowe drzwi, które stworzyli podczas hackathonu. W tym celu urządzenie wyświetla kod QR zawierający adres URL z tokenem jednorazowym, który kieruje użytkowników na stronę uwierzytelniania. W przyszłości planujemy wdrożenie na urządzeniu hybrydowych transportów, aby umożliwić bezpośrednie odblokowanie. Zespół ten wygrał hackathon za pionierskie działania w badaniu możliwości korzystania z kluczy dostępu na urządzeniach IoT.

Nagroda FIDO 1: SKKN (Uniwersytet Waseda)

Zespół SKKN

SKKN to grupa badawcza z Uniwersytetu Waseda, specjalizująca się w badaniach nad prywatnością. Zespół przedstawił bardzo zaawansowane zastosowanie kluczy dostępu, łącząc je z nowymi technologiami – weryfikowalnymi poświadczeniami (VC) i dowodem zerowej wiedzy. Ponieważ weryfikowalne dane logowania i dowody zerowej wiedzy są w centrum zainteresowania w zakresie tożsamości samostanowiącejtożsamości zdecentralizowanej (SSI/DID), ich prezentacja wzbudziła duże zainteresowanie zarówno wśród jurorów hackathonu, jak i innych uczestników.

Potwierdzone dane logowania to cyfrowe certyfikaty, które potwierdzają informacje o użytkowniku, takie jak imię i nazwisko, przynależność do organizacji i adres. Jeśli portfel, który przechowuje i zarządza tokenami VC, jest podatny na ataki, tokeny VC mogą zostać skradzione, a inne osoby mogą podszywać się pod użytkownika, przedstawiając token VC. Oprócz umożliwienia użytkownikowi, który ma dane uwierzytelniające FIDO, przedstawienia VC, opracowano metodę, która pozwala tylko zaufanym usługom portfela na obsługę VC.

Wdrożenie tej metody przyniosło kilka korzyści:

  • Połączenie i wydanie VC oraz danych logowania FIDO sprawia, że tylko właściciel danych FIDO może korzystać z VC.
  • Można używać tylko portfeli zaufanych przez wydawcę i weryfikatora.
  • Dzięki kluczom dostępu można tworzyć kopie zapasowe i odzyskiwać VC oraz portfele, a użytkownicy mogą to zrobić nawet wtedy, gdy zgubią urządzenie.

FIDO Award 2: TOKYU ID (Tokyu)

Zespół TOKYU ID

Zespół URBAN HACKS, znany również jako zespół TOKYU ID z Tokyu Corporation, otrzymał nagrodę FIDO za innowacyjne wdrożenie klucza dostępu w systemie TOKYU ID. Grupa Tokyu to duży japoński konglomerat, który prowadzi wiele firm skoncentrowanych na transporcie i rozwoju miejskim.

TOKYU ID ma na celu usprawnienie codziennych interakcji, takich jak podróże pociągiem. Zdając sobie sprawę z bardzo ważnej roli wrażeń użytkownika, zespół wprowadził w lutym 2024 r. logowanie za pomocą klucza dostępu, aby rozwiązać potencjalne problemy, takie jak spóźnienie pociągu z powodu opóźnień w uwierzytelnianiu dwuskładnikowym w ramach usług cyfrowych dotyczących biletów oferowanych przez aplikację internetową.

Uczestniczyli oni w tym hackathonie, aby zweryfikować swoją wizję TOKYU ID. W idealnym scenariuszu wszyscy użytkownicy rejestrowaliby się i logowali za pomocą kluczy dostępu, a odzyskiwanie kont byłoby proste. Aby to osiągnąć, podczas hackathonu zespół skupił się na 2 kluczowych implementacjach: umożliwieniu rejestracji klucza dostępu podczas procesu rejestracji członkostwa oraz wprowadzeniu logowania przez media społecznościowe w celu odzyskiwania konta. Po odzyskaniu konta za pomocą logowania się przez sieć społecznościową użytkownicy mogą zarejestrować tylko klucz dostępu, co podkreśla zaangażowanie zespołu w projektowanie z uwzględnieniem kluczy dostępu. Firma zintegrowała również FedCM, aby zwiększyć wygodę użytkowników podczas łączenia kont.

Potwierdzenie od Google.

Podejście zespołu TOKYU ID oparte na kluczu dostępu wykazało dogłębne zrozumienie potrzeb użytkowników i wymagań dotyczących produktu. Podczas hackathonu zespół wdrożył swoje rozwiązanie i przeprowadził interesującą prezentację, która zdobyła nagrodę FIDO. Co ważne, zintegrowali logowanie Google bez użycia pakietu GIS SDK, tylko za pomocą zwykłego kodu JavaScript i FedCM.

Google Award: Team Nulab (Nulab)

Zespół Nulab.

Nulab to firma zajmująca się oprogramowaniem, która oferuje takie usługi jak Backlog, Cacoo i Nulab Pass. W swoich usługach mają one wiele rozwiązań uwierzytelniania dwuskładnikowego (klucze bezpieczeństwa, hasła jednorazowe SMS-owe, hasła jednorazowe e-mailowe, hasła jednorazowe TOTP) i WebAuthn. Firma Nulab była jednym z pierwszych użytkowników WebAuthn i od października 2023 r. w pełni obsługuje klucze dostępu.

Wprowadziliśmy 8 nowych funkcji:

  • Karta klucza dostępu
  • Treści wprowadzające dotyczące klucza dostępu
  • Nagrody dla użytkowników klucza dostępu
  • pomoc w płynnym odzyskiwaniu konta;
  • Przycisk Logowanie za pomocą klucza dostępu
  • Wymaganie uwierzytelniania dwuskładnikowego w przypadku użytkowników kluczy dostępu
  • Usuwanie haseł i promowanie kluczy dostępu w przypadku wycieku danych logowania
  • Promowanie kluczy dostępu po zresetowaniu hasła

Podczas hackathonu zaprezentowano pomoc w łatwym odzyskiwaniu konta: Pomysł polegał na zachęceniu użytkownika do wykonania dodatkowego działania podczas dodawania klucza dostępu. Jeśli dodany klucz jest powiązany z urządzeniem, zaleć użytkownikowi dodanie innego klucza z innego menedżera haseł. Jeśli dodany klucz dostępu jest zsynchronizowany, zaleć użytkownikowi usunięcie hasła.

Wprowadziliśmy też nagrody dla użytkowników, którzy korzystają z kluczy dostępu, z wyróżnieniem ikony konta użytkownika. Gdy użytkownik wybierze klucz dostępu powiązany z urządzeniem, ikona zacznie się obracać. Gdy użytkownik użyje zsynchronizowanego klucza dostępu, ikona zacznie migać. Ponieważ jest to narzędzie dla firm, użytkownicy mogą się wyróżniać w firmie, korzystając z kluczy dostępu.

Jury było pod wrażeniem kreatywnych pomysłów na udoskonalenie implementacji klucza dostępu, a w szczególności sposobu odzyskiwania konta przez użytkowników.

Więcej interesujących projektów

Wszystkie zespoły biorące udział w hackathonie miały ciekawe pomysły. Oto krótkie omówienie ich projektów:

  • Nikkei ID (Nikkei): wdrożenie kluczy dostępu na podstawie OpenID Connect, co zmniejsza trudności użytkowników.
  • Dentsu Soken (Dentsu Soken): połączenie kluczy dostępu z logowaniem w Google w celu płynnego wprowadzenia użytkowników.
  • SST-Tech (Secure Sky Technology): badanie emulacji kluczy dostępu na potrzeby oceny bezpieczeństwa.
  • Ajitei Nekomaru (Uniwersytet Keio): wdrożenie uwierzytelniania za pomocą klucza dostępu w systemie zarządzania uczeniem open source.
  • MyLIXIL (LIXIL): udało się wdrożyć klucze dostępu jako metodę uwierzytelniania w MyLIXIL.

Więcej informacji o każdym projekcie znajdziesz w pełnym raporcie z hackathonu Tokyo passkeys.

Podsumowanie i perspektywy

Podczas hackathonu uczestnicy dzielili się cennymi opiniami i pytaniami, wyrażając entuzjazm związany z kluczami dostępu oraz wskazując obszary wymagające poprawy. Oto najważniejsze wnioski z hackathonu:

  • Coraz większe zainteresowanie wzbudza łączenie kluczy dostępu z innymi technologiami, takimi jak weryfikowalne dane logowania i dowody zerowej wiedzy.
  • Komfort użytkowników jest dla nas priorytetem, dlatego zespoły pracują nad tym, aby klucze dostępu były jeszcze łatwiejsze w użyciu i przyjmowaniu.
  • Hackathon pokazał, że klucze dostępu mogą być wykorzystywane nie tylko do tradycyjnego logowania, ale też w takich obszarach jak Internet Rzeczy czy tożsamość cyfrowa.

Spotkanie okazało się wielkim sukcesem i zaowocowało nowymi pomysłami oraz współpracą. Wraz z upowszechnianiem się kluczy dostępu takie wydarzenia są kluczowe dla rozwoju innowacji i rozwiązywania problemów.

To ekscytujący czas dla kluczy dostępu, a hackathon w Tokio jest tego dowodem. Deweloperzy chętnie przesuwają granice tego, co jest możliwe.