東京的密碼金鑰黑客松:在 IoT 裝置上使用密碼金鑰等

Milica Mihajlija
Milica Mihajlija

2024 年 6 月,Google 與 FIDO 合作 聯盟在東京舉辦密碼金鑰黑客松。 目的是讓參與者實際體驗密碼金鑰開發流程,以及 與 Google 和 FIDO 聯盟合作,為實際產品設計密碼金鑰原型 提供指引

黑客鬆的 9 個團隊深入探索密碼金鑰,而評審選出最多四支 創新又具影響力的專案

。

參與這項競賽的唯一團隊是 Keio University 的 SFC-RG pkLock 團隊 是結合 IoT 裝置與密碼金鑰的一大挑戰 也介紹了 3D 印表機

他們的 pkLock (發音為「pic-lock」) 旨在解決 使用密碼金鑰,為 Airbnb 和其他私人住宿安排麻煩的鑰匙 跨裝置驗證

他們建立的裝置包含安裝在 門外有一部解鎖裝置此外, 網路應用程式有使用者預訂及預訂的 正在解鎖訪客只要將手放在 QR code 下方,即可解開門鎖 圖碼顯示裝置站在門前,讀取顯示的 QR code 手機,並執行密碼金鑰驗證 (跨裝置) 驗證)。

他們也特別注重設計的精密裝置, 也想安裝在飯店內採用全方位的做法 考量到這類裝置普及率也相當高 也非常瞭解評審團。

帶 pkLock 的微型門。

簡報期間,他們產生許多驚喜 其實打開了我在黑客松中建造的微型門。為此 畫面,裝置會顯示含有一次性網址的 QR code 這個權杖會將使用者導向驗證頁面。在未來,他們打算 在裝置上實作混合傳輸,以啟用直接解鎖功能。勝選 開創新局,開始探索 Google 的可能性 在 IoT 裝置上使用密碼金鑰

FIDO 獎 1:SKKN (威斯達大學)

SKKN 團隊。

SKKN 是 Waseda University 的研究團隊,專精於隱私權相關領域 研究。該團隊運用了相當進階的密碼金鑰用途, 運用可驗證憑證的新興技術 (VC) 及零知識證明。 正如可驗證的憑證和零知識證明, 自主身分分散式識別資訊 (SSI/DID), 這場簡報受到黑客松評審的喜愛 和其他參與者。

可驗證憑證 (VC) 是證明使用者的數位憑證 姓名、聯盟和地址等資訊如果持有人 (錢包) 儲存和管理創投公司無所謂 可以顯示 VC 來冒用使用者除了啟用 使用者擁有 FIDO 憑證來呈現 VC 時,已開發出 只允許受信任的錢包服務處理 VC。

導入結果有以下幾個優點:

  • 僅連結 FIDO 的擁有者,透過連結及核發 VC 和 FIDO 憑證 他們可以使用 VC
  • 只能使用發卡機構和驗證者信任的錢包。
  • 使用密碼金鑰可備份及復原 VC 和錢包, 即使裝置遺失,使用者也能復原。

FIDO 獎牌 2:TOKYU ID (Tokyu)

TOKYU ID 團隊。

URBAN HACKS 團隊 又稱為 TOKYU ID 團隊,來自 Tokyu Corporation 因 TOKYU 創新密碼金鑰採用率而獲得 FIDO 獎 編號。「東急集團」是日本企業集團的大型日本企業集團 以交通和都市發展為中心的企業。

TOKYU ID 是專為簡化日常互動 (例如搭火車) 而設計。 團隊體認到使用者體驗的重要性後,團隊決定 2024 年 2 月登入密碼金鑰,解決潛在問題,例如缺少 因數位售票服務雙重驗證延遲而造成的火車班次 由網頁應用程式提供

他們參與了這場黑客松,驗證自己的 TOKYU ID 願景。 理想情境是希望所有使用者在註冊及登入 密碼金鑰,搭配順暢的帳戶救援程序。為了達成這個目標 在黑客鬆的兩項重要實作上:啟用密碼金鑰註冊功能 會員註冊流程,以及推出社群登入功能 帳戶救援明確來說,透過社群媒體登入恢復帳戶之後,使用者 獲準註冊密碼金鑰,突顯團隊對於 以密碼金鑰為主的設計他們也整合 FedCM 以提升使用者參與度 全新的體驗

Google 登入提示。

TOKYU ID 團隊採用以密碼金鑰為主的做法,展現了深入的瞭解 滿足使用者需求和產品需求黑客鬆活動成功 並提供了一份有趣的簡報 他們是 FIDO 獎值得一提的是,他們還整合了 Google 登入功能,未使用 僅搭配基本 JavaScript 使用 FedCM 的 GIS SDK!

Google 獎:團隊 Nulab (Nulab)

團隊 Nulab

Nulab 是一家軟體公司,專門提供這類服務, 格式為 BacklogCacooNulab 票證。他們有多個雙重驗證 驗證解決方案 (安全金鑰、簡訊動態密碼、電子郵件動態密碼、TOTP) 和 WebAuthn 以及他們使用各項服務Nulab 是 WebAuthn 的早期採用者 自 2023 年 10 月起,就已完整支援密碼金鑰

他們導入了八項新功能:

  • 密碼金鑰資訊卡
  • 密碼金鑰簡介內容
  • 密碼金鑰採用者獎勵
  • 協助您順利復原帳戶
  • 使用密碼金鑰登入
  • 為密碼金鑰採用者設定 2FA
  • 在憑證外洩時移除密碼及宣傳使用密碼金鑰
  • 在重設密碼時升級密碼金鑰

他們示範瞭如何在黑客鬆活動中順利復原帳戶: 我們的想法,是在使用者新增 密碼金鑰。如果新增的密碼金鑰是裝置繫結,建議使用者新增其他金鑰 和其他密碼管理工具中的密碼金鑰。如果已同步處理新增的密碼金鑰, 則建議使用者移除密碼

針對透過使用者帳戶採用密碼金鑰的使用者,他們也導入了獎勵 圖示醒目顯示。使用者採用裝置繫結的密碼金鑰後,圖示就會開始 繞圈一圈。使用者採用已同步的密碼金鑰後,圖示就會開始閃爍。 由於這是企業工具,能激勵使用者在 開發出公司行號

評審對於改善密碼金鑰的創意構想留下深刻印象 特別是使用者復原帳戶的方式。

更多有趣的專案

所有參與黑客鬆活動的團隊都獲得許多有趣的構想,以下簡要介紹 :

  • Nikkei ID (Nikkei):除了 OpenID Connect 之外,我們也導入了密碼金鑰 減少使用者遇到的不便
  • Dentsu Soken (Dentsu Soken):結合密碼金鑰與 Google 登入功能 讓使用者輕鬆上手。
  • SST-Tech (安全 Sky 技術):探索以下項目的密碼金鑰模擬: 安全性評估
  • Ajitei Nekomaru (Keio University):介紹密碼金鑰驗證功能 開放原始碼 LMS。
  • MyLIXIL (LIXIL):實現將密碼金鑰實作為 驗證的方法。

想進一步瞭解各項專案 東京密碼金鑰黑客松報告

重點與未來

在黑客松期間,參與者會分享寶貴的意見回饋和問題, 強調對密碼金鑰的熱情和有待改進之處。 以下列舉幾個黑客鬆的重點:

  • 使用者越來越有興趣搭配使用密碼金鑰與其他技術。 例如可驗證的憑證和零知識證明
  • 使用者體驗仍是首要之務,因此團隊致力確保 讓密碼金鑰更容易使用和採用
  • 在黑客松中,黑客松提到了密碼金鑰的潛力無窮 登入物聯網和數位身分等領域

這場活動帶來了空前的成功,激勵大家提出新想法和合作機會。阿斯 密碼金鑰的採用率較高,這類事件是推動創新的關鍵 以及解決相關問題

這對密碼金鑰是相當振奮的時刻,而東京黑客松正是證實這點 開發人員都熱切地想突破極限,致力突破極限。