SoftU2F
v0.0.19
SoftU2F項目被棄用,不再支持。當瀏覽器不支持時,創建了SoftU2F以支持U2F的觸摸ID,但是現在使用觸摸ID在MACOS上使用touch ID在:
SoftU2F存在幾個無法解決的兼容性問題,因此我們建議切換到這些替代方案之一。
感謝多年來使用SoftU2F的所有人,並特別感謝Ben Toews寫作和維護原始實施!
Soft U2F是MACOS的軟件U2F驗證器。它模擬了硬件U2F HID設備,並使用MACOS鍵鏈執行加密操作。該工具可與Google Chrome/Chromium,Safari,Firefox和Opera的內置U2F實現一起使用。
我們認真對待該項目的安全性。向GitHub Bug Bounty程序報告任何安全漏洞。
您可以在此處下載安裝程序。
該應用程序在後台運行。當加載與U2F兼容的瀏覽器中的站點嘗試在軟件令牌上註冊或身份驗證時,您會看到一條通知要求您接受或拒絕請求。您可以在Yubico的U2F演示網站上進行實驗。
卸載發射代理
$ launchctl unload ~/Library/LaunchAgents/com.github.SoftU2F.plist
刪除發射代理PLIST
$ rm ~/Library/LaunchAgents/com.github.SoftU2F.plist
刪除.app
$ sudo rm -rf /Applications/SoftU2F.app/
卸載內核擴展程序(如果瀏覽器仍在與驅動程序交談,則可能會失敗。刪除.kext並重新啟動系統將修復此功能)
$ sudo kextunload /Library/Extensions/softu2f.kext
刪除內核擴展
$ sudo rm -rf /Library/Extensions/softu2f.kext
告訴MacOS忘記安裝
$ sudo pkgutil --forget com.GitHub.SoftU2F
完畢
USB身份驗證器將關鍵材料存儲在硬件中,而軟U2F將其鑰匙存儲在MacOS鍵鏈中。有一個論點是,將鑰匙存儲在硬件中更加安全,因為在計算機上運行的惡意軟件可以訪問鑰匙鏈的內容,但無法導出硬件身份驗證器的內容。另一方面,惡意軟件也可以訪問瀏覽器的cookie,並可以完全訪問所有經過身份驗證的網站會話,而不管u2F鍵存儲在哪裡。
對於計算機上安裝的惡意軟件,U2F的硬件和軟件密鑰存儲之間的一個有意義的區別是妥協的持續時間。使用硬件密鑰存儲,您只有在計算機上運行惡意軟件時才會妥協。使用軟件密鑰存儲,即使刪除了惡意軟件,您也可能會繼續妥協。
有些人可能會決定上述攻擊方案值得在硬件密鑰存儲的可用性權衡。但是,對於許多人來說,基於軟件的U2F的安全性就足夠了,有助於減輕許多常見攻擊,例如密碼轉儲,蠻力攻擊和相關的漏洞利用。
您必須安裝Xcode命令行工具來構建此項目。
# Install Commaned Line Tools
xcode-select --install
# Build softu2f.kext and SoftU2F.app.
script/build軟U2F有兩個部分:驅動程序和應用程序。要使用驅動程序的修改版本,您必須禁用系統完整性保護。該應用程序可以正常修改並通過Xcode運行。
每個使用U2F的網站都有一個應用程序ID。例如,Yubico的U2F演示頁面的APP-ID是https://demo.yubico.com 。當低級U2F Authenticator收到註冊/身份驗證網站的請求時,它不會收到友好的App-ID字符串。相反,它收到App-ID的SHA256摘要。為了在網站試圖註冊/身份驗證時顯示有用的警報消息,該存儲庫中保留了App-ID摘要列表。您可以在此處找到列表。如果您公司的App-ID缺少此列表,請打開拉動請求以添加它。
該項目已獲得MIT許可,除了/inc中的文件,其許可隨附。
