SoftU2F
v0.0.19
Proyek SoftU2F sudah usang dan tidak lagi didukung. SoftU2F dibuat untuk mendukung Touch ID untuk U2F ketika browser tidak mendukungnya, tetapi fungsionalitasnya sekarang tersedia di macOS menggunakan ID sentuh di:
SoftU2F memiliki beberapa masalah kompatibilitas yang tidak akan diperbaiki, jadi kami sarankan beralih ke salah satu alternatif ini.
Terima kasih kepada semua orang yang menggunakan SoftU2F selama bertahun -tahun, dan terima kasih khusus kepada Ben Toews untuk menulis dan mempertahankan implementasi asli!
Soft U2F adalah Authenticator U2F Perangkat Lunak untuk MacOS. Ini meniru perangkat perangkat keras U2F HID dan melakukan operasi kriptografi menggunakan gantungan kunci macOS. Alat ini bekerja dengan Google Chrome/Chromium, Safari, Firefox, dan Implementasi U2F bawaan Opera.
Kami menanggapi keamanan proyek ini dengan serius. Laporkan kerentanan keamanan apa pun ke program Bounty Bug GitHub.
Anda dapat mengunduh penginstal di sini.
Aplikasi berjalan di latar belakang. Ketika sebuah situs dimuat dalam browser yang kompatibel dengan U2F berupaya untuk mendaftar atau mengotentikasi dengan token perangkat lunak, Anda akan melihat pemberitahuan yang meminta Anda untuk menerima atau menolak permintaan tersebut. Anda dapat bereksperimen di situs demo U2F Yubico.
Bongkar agen peluncuran
$ launchctl unload ~/Library/LaunchAgents/com.github.SoftU2F.plist
Hapus Plist Agen Peluncuran
$ rm ~/Library/LaunchAgents/com.github.SoftU2F.plist
Hapus .app
$ sudo rm -rf /Applications/SoftU2F.app/
Bongkar ekstensi kernel (ini mungkin gagal jika browser masih berbicara dengan pengemudi. Menghapus .kext dan restart sistem akan memperbaikinya)
$ sudo kextunload /Library/Extensions/softu2f.kext
Hapus ekstensi kernel
$ sudo rm -rf /Library/Extensions/softu2f.kext
Beri tahu MacOS untuk melupakan instalasi
$ sudo pkgutil --forget com.GitHub.SoftU2F
Selesai
Authenticator USB menyimpan materi utama dalam perangkat keras, sedangkan U2F lunak menyimpan kunci -kunci di gantungan kunci macOS. Ada argumen yang harus dibuat bahwa lebih aman untuk menyimpan kunci dalam perangkat keras karena malware yang berjalan di komputer Anda dapat mengakses isi gantungan kunci Anda tetapi tidak dapat mengekspor konten authenticator perangkat keras. Di sisi lain, malware juga dapat mengakses cookie browser Anda dan memiliki akses penuh ke semua sesi situs web yang diautentikasi, terlepas dari di mana kunci U2F disimpan.
Dalam hal malware yang diinstal di komputer Anda, satu perbedaan yang berarti antara penyimpanan kunci perangkat keras dan perangkat lunak untuk U2F adalah durasi kompromi. Dengan penyimpanan kunci perangkat keras, Anda hanya dikompromikan saat malware berjalan di komputer Anda. Dengan penyimpanan kunci perangkat lunak, Anda dapat terus dikompromikan, bahkan setelah malware dihapus.
Beberapa orang mungkin memutuskan skenario serangan di atas sepadan dengan pertukaran kegunaan dari penyimpanan kunci perangkat keras. Tetapi, bagi banyak orang, keamanan U2F berbasis perangkat lunak sudah cukup dan membantu mengurangi banyak serangan umum seperti tempat pembuangan kata sandi, serangan brute force, dan eksploitasi terkait phishing.
Anda harus memiliki alat baris perintah XCODE yang diinstal untuk membangun proyek ini.
# Install Commaned Line Tools
xcode-select --install
# Build softu2f.kext and SoftU2F.app.
script/buildAda dua bagian untuk u2f lunak: driver dan aplikasi. Untuk menggunakan versi driver yang dimodifikasi, Anda harus menonaktifkan perlindungan integritas sistem. Aplikasi ini dapat dimodifikasi dan dijalankan melalui Xcode secara normal.
Setiap situs web menggunakan U2F memiliki APP-ID. Misalnya, aplikasi APP-ID dari halaman demo U2F Yubico adalah https://demo.yubico.com . Ketika Authenticator U2F tingkat rendah menerima permintaan untuk mendaftarkan/mengotentikasi situs web, itu tidak menerima string APP-ID yang ramah. Sebaliknya, ia menerima pencernaan SHA256 dari APP-ID. Untuk dapat menampilkan pesan peringatan yang bermanfaat ketika sebuah situs web mencoba mendaftar/mengotentikasi, daftar pencernaan AP-ID dikelola dalam repositori ini. Anda dapat menemukan daftar di sini. Jika APP-ID perusahaan Anda hilang dari daftar ini, buka permintaan tarik untuk menambahkannya.
Proyek ini berlisensi MIT, kecuali untuk file di /inc , yang disertakan dengan lisensi mereka sendiri.
