SoftU2F

โครงการ SoftU2F เลิกใช้แล้วและไม่ได้รับการสนับสนุนอีกต่อไป Softu2F ถูกสร้างขึ้นเพื่อรองรับ Touch ID สำหรับ U2F เมื่อเบราว์เซอร์ไม่รองรับ แต่ตอนนี้ฟังก์ชั่นมีให้บริการบน MacOS โดยใช้ Touch ID ใน:

• Safari (MacOS 11.0 Big Sur)
• Google Chrome

SoftU2F มีปัญหาความเข้ากันได้หลายอย่างที่จะไม่ได้รับการแก้ไขดังนั้นเราขอแนะนำให้เปลี่ยนเป็นหนึ่งในทางเลือกเหล่านี้

ขอบคุณทุกคนที่ใช้ SoftU2F ในช่วงหลายปีที่ผ่านมาและขอขอบคุณ Ben Toews สำหรับการเขียนและบำรุงรักษาการใช้งานดั้งเดิม!

Soft U2F เป็นซอฟต์แวร์ Au2F Authenticator สำหรับ MacOS มันเลียนแบบอุปกรณ์ HARDWARE U2F HID และดำเนินการเข้ารหัสโดยใช้พวงกุญแจ MACOS เครื่องมือนี้ใช้งานได้กับ Google Chrome/Chromium, Safari, Firefox และการใช้งาน U2F ในตัวของ Opera

เราให้ความสำคัญกับโครงการนี้อย่างจริงจัง รายงานช่องโหว่ด้านความปลอดภัยใด ๆ ไปยังโปรแกรม GitHub Bug Bounty

คุณสามารถดาวน์โหลดตัวติดตั้งได้ที่นี่

แอพทำงานในพื้นหลัง เมื่อไซต์โหลดในเบราว์เซอร์ที่เข้ากันได้กับ U2F พยายามลงทะเบียนหรือตรวจสอบสิทธิ์ด้วยโทเค็นซอฟต์แวร์คุณจะเห็นการแจ้งเตือนที่ขอให้คุณยอมรับหรือปฏิเสธคำขอ คุณสามารถทดลองใช้เว็บไซต์สาธิต U2F ของ Yubico

ขนถ่ายเอเจนต์ Launchd

 $ launchctl unload ~/Library/LaunchAgents/com.github.SoftU2F.plist

ลบ PLIST Agent Launch

 $ rm ~/Library/LaunchAgents/com.github.SoftU2F.plist

ลบ .app

 $ sudo rm -rf /Applications/SoftU2F.app/

ขนถ่ายส่วนขยายเคอร์เนล (อาจล้มเหลวหากเบราว์เซอร์ยังคงพูดคุยกับไดรเวอร์การลบ. .kext และรีสตาร์ทระบบจะแก้ไขปัญหานี้)

 $ sudo kextunload /Library/Extensions/softu2f.kext

ลบส่วนขยายเคอร์เนล

 $ sudo rm -rf /Library/Extensions/softu2f.kext

บอกให้ MacOS ลืมเกี่ยวกับการติดตั้ง

 $ sudo pkgutil --forget com.GitHub.SoftU2F

เสร็จแล้ว

Authenticator USB เก็บวัสดุสำคัญในฮาร์ดแวร์ในขณะที่ Soft U2F เก็บกุญแจไว้ในปุ่ม MacOS มีข้อโต้แย้งที่จะทำให้ปลอดภัยกว่าในการจัดเก็บคีย์ในฮาร์ดแวร์เนื่องจากมัลแวร์ที่ทำงานบนคอมพิวเตอร์ของคุณสามารถเข้าถึงเนื้อหาของพวงกุญแจของคุณ แต่ไม่สามารถส่งออกเนื้อหาของเครื่องตรวจสอบฮาร์ดแวร์ได้ ในทางกลับกันมัลแวร์ยังสามารถเข้าถึงคุกกี้ของเบราว์เซอร์ของคุณและสามารถเข้าถึงเซสชันเว็บไซต์ที่ได้รับการรับรองความถูกต้องทั้งหมดโดยไม่คำนึงถึงคีย์ U2F ที่จัดเก็บไว้ที่ใด

ในกรณีของมัลแวร์ที่ติดตั้งบนคอมพิวเตอร์ของคุณความแตกต่างที่มีความหมายอย่างหนึ่งระหว่างฮาร์ดแวร์และที่เก็บคีย์ซอฟต์แวร์สำหรับ U2F คือระยะเวลาของการประนีประนอม ด้วยที่เก็บคีย์ฮาร์ดแวร์คุณจะถูกบุกรุกในขณะที่มัลแวร์กำลังทำงานบนคอมพิวเตอร์ของคุณ ด้วยการจัดเก็บคีย์ซอฟต์แวร์คุณสามารถถูกบุกรุกต่อไปได้แม้หลังจากลบมัลแวร์แล้ว

บางคนอาจตัดสินใจว่าสถานการณ์การโจมตีข้างต้นนั้นคุ้มค่ากับการแลกเปลี่ยนการใช้งานของที่เก็บคีย์ฮาร์ดแวร์ แต่สำหรับหลาย ๆ คนการรักษาความปลอดภัยของ U2F ที่ใช้ซอฟต์แวร์นั้นเพียงพอและช่วยลดการโจมตีทั่วไปเช่นการถ่ายโอนรหัสผ่านการโจมตีด้วยพลังเดรัจฉานและการหาประโยชน์ที่เกี่ยวข้องกับฟิชชิ่ง

คุณต้องติดตั้งเครื่องมือบรรทัดคำสั่ง xcode เพื่อสร้างโครงการนี้

 # Install Commaned Line Tools
xcode-select --install

# Build softu2f.kext and SoftU2F.app.
script/build

มีสองส่วนสำหรับ Soft U2F: ไดรเวอร์และแอพ ในการใช้ไดรเวอร์เวอร์ชันที่แก้ไขแล้วคุณต้องปิดใช้งานการป้องกันความสมบูรณ์ของระบบ แอพสามารถแก้ไขและเรียกใช้ผ่าน XCode ได้ตามปกติ

ทุกเว็บไซต์ที่ใช้ U2F มี App-ID ตัวอย่างเช่นแอพพลิเคชั่นของหน้าตัวอย่าง U2F ของ Yubico คือ https://demo.yubico.com เมื่อ Au2F Authenticator ระดับต่ำได้รับการร้องขอในการลงทะเบียน/ตรวจสอบสิทธิ์เว็บไซต์จะไม่ได้รับสตริง App-ID ที่เป็นมิตร แต่จะได้รับ sha256 digest ของ app-id เพื่อให้สามารถแสดงข้อความแจ้งเตือนที่เป็นประโยชน์เมื่อเว็บไซต์พยายามลงทะเบียน/ตรวจสอบสิทธิ์รายการ Digests App-ID จะถูกเก็บรักษาไว้ในที่เก็บนี้ คุณสามารถค้นหารายการได้ที่นี่ หากแอพ ID ของ บริษัท ของคุณหายไปจากรายการนี้ให้เปิดคำขอดึงเพื่อเพิ่ม

โครงการนี้ได้รับใบอนุญาต MIT ยกเว้นไฟล์ใน /inc ซึ่งรวมอยู่ในใบอนุญาตของตนเอง