SoftU2F
v0.0.19
تم إهمال مشروع softu2f ولم يعد مدعومًا. تم إنشاء softu2f لدعم معرف اللمس لـ U2F عندما لا تدعمه المتصفحات ، ولكن الوظيفة متوفرة الآن على MacOS باستخدام معرف اللمس في:
لدى Softu2F العديد من مشكلات التوافق التي لن يتم إصلاحها ، لذلك نوصي بالتبديل إلى أحد هذه البدائل.
بفضل كل من استخدم Softu2f على مر السنين ، وشكر خاص لبن Toews لكتابة والحفاظ على التنفيذ الأصلي!
Soft U2F هو مصادقة u2F برنامج لـ MacOS. إنه يحاكي جهازًا HED U2F للأجهزة ويقوم بإجراء عمليات تشفير باستخدام سلسلة مفاتيح MACOS. تعمل هذه الأداة مع Google Chrome/Chromium و Safari و Firefox و Opera المدمجة في U2F.
نأخذ أمن هذا المشروع على محمل الجد. الإبلاغ عن أي نقاط الضعف الأمنية لبرنامج GitHub Bug Bounty.
يمكنك تنزيل المثبت هنا.
يعمل التطبيق في الخلفية. عندما يحاول موقع تم تحميله في متصفح متوافق مع U2F التسجيل أو المصادقة مع رمز البرنامج ، سترى إشعارًا يطلب منك قبول الطلب أو رفضه. يمكنك تجربة موقع U2F التجريبي في Yubico.
تفريغ وكيل الإطلاق
$ launchctl unload ~/Library/LaunchAgents/com.github.SoftU2F.plist
حذف وكيل الإطلاق
$ rm ~/Library/LaunchAgents/com.github.SoftU2F.plist
حذف .app
$ sudo rm -rf /Applications/SoftU2F.app/
قم بإلغاء تحميل امتداد kernel (قد يفشل هذا إذا كان المتصفح لا يزال يتحدث إلى السائق. حذف .kext وإعادة تشغيل النظام سيصلح هذا)
$ sudo kextunload /Library/Extensions/softu2f.kext
حذف امتداد kernel
$ sudo rm -rf /Library/Extensions/softu2f.kext
أخبر Macos أن تنسى التثبيت
$ sudo pkgutil --forget com.GitHub.SoftU2F
منتهي
يخزن Authenticator USB المواد الرئيسية في الأجهزة ، في حين أن Soft U2F يخزن مفاتيحه في سلسلة مفاتيح MacOS. هناك حجة يجب أن تكون أكثر أمانًا لتخزين المفاتيح في الأجهزة لأن البرامج الضارة التي تعمل على جهاز الكمبيوتر الخاص بك يمكنها الوصول إلى محتويات سلسلة المفاتيح الخاصة بك ولكن لا يمكن تصدير محتويات مصادقة الأجهزة. من ناحية أخرى ، يمكن للبرامج الضارة أيضًا الوصول إلى ملفات تعريف الارتباط الخاصة بالمتصفح ولديها وصول كامل إلى جميع جلسات موقع الويب المصادقة ، بغض النظر عن مكان تخزين مفاتيح U2F.
في حالة البرامج الضارة التي تم تثبيتها على جهاز الكمبيوتر الخاص بك ، فإن الفرق المفيد بين الأجهزة وتخزين مفتاح البرنامج لـ U2F هو مدة التسوية. مع تخزين مفتاح الأجهزة ، تتعرض للخطر فقط أثناء تشغيل البرامج الضارة على جهاز الكمبيوتر الخاص بك. من خلال تخزين مفتاح البرمجيات ، قد تستمر في المساس ، حتى بعد إزالة البرامج الضارة.
قد يقرر بعض الأشخاص أن سيناريو الهجوم أعلاه يستحق مفاضلة قابلية الاستخدام لتخزين مفتاح الأجهزة. ولكن ، بالنسبة للكثيرين ، فإن أمان U2F القائم على البرمجيات يكفي ويساعد على التخفيف من العديد من الهجمات الشائعة مثل مقالب كلمة المرور ، وهجمات القوة الغاشمة ، والمآثر ذات الصلة.
يجب أن يكون لديك أدوات سطر أوامر Xcode مثبتة لإنشاء هذا المشروع.
# Install Commaned Line Tools
xcode-select --install
# Build softu2f.kext and SoftU2F.app.
script/buildهناك جزأين لناعم u2f: السائق والتطبيق. لاستخدام نسخة معدلة من برنامج التشغيل ، يجب عليك تعطيل حماية سلامة النظام. يمكن تعديل التطبيق وتشغيله عبر Xcode بشكل طبيعي.
كل موقع ويب باستخدام U2F لديه معرف التطبيق. على سبيل المثال ، فإن معرف التطبيق لصفحة U2F الخاصة بـ Yubico هو https://demo.yubico.com . عندما يتلقى Authenticator U2F على المستوى المنخفض طلبًا لتسجيل/مصادقة موقع ويب ، فإنه لا يتلقى سلسلة معرف التطبيق الودية. بدلاً من ذلك ، يتلقى Digest SHA256 من معرف التطبيق. لتكون قادرًا على إظهار رسالة تنبيه مفيدة عندما يحاول موقع ويب تسجيل/مصادقة ، يتم الحفاظ على قائمة من هضم معرف التطبيق في هذا المستودع. يمكنك العثور على القائمة هنا. إذا كان معرف التطبيق الخاص بشركتك مفقودًا من هذه القائمة ، فتح طلب سحب لإضافته.
تم ترخيص هذا المشروع ، باستثناء الملفات في /inc ، والتي يتم تضمينها في تراخيصها الخاصة.
