FIDO2

FIDO2 是以 公鑰加密 為基礎的開放式認證標準，比起密碼和一次性密碼（OTP），它的安全性更高且易用性更強。它通常以類似小型 USB 和基于 NFC 的硬件安全令牌的方式提供。有幾種符合 FIDO 認可的密鑰品牌，例如：YubiKey、NitroKey、SoloKey v2 等等。

此協議的優勢包括：

• 通過使用公鑰加密來消除密碼，從而實現無密碼認證。
• 采用 多因素認證（MFA）以實現強力認證。
• 減少了應用程序之間密碼或公鑰的重復使用，降低數據泄露的風險。
• 私鑰位于安全令牌中并且永不離開，這大大減少了被網絡釣魚的威脅。

前面的文章

在 Fedora 雜志中，有多篇文章闡述了如 FIDO2 的應用場景：《如何使用 FIDO2 驗證本地用戶》 和 《如何解鎖硬盤》。而此篇文章介紹了如何使用 FIDO2 驗證遠程用戶。請注意，上述所說的設備，主要是指那些來自 Yubico 采用了其他協議的設備，而此篇指南的目的并非討論這些協議。

集中管理的用戶

SSSD 和 FreeIPA 最近新增了一個名為 通行密鑰passkey 的特性，以便對集中管理的用戶執行 FIDO2 認證。此功能目前只在 SSSD 2.9.0 和 FreeIPA 4.11.0 等版本中支持。

Fedora 39 已經包含了這些版本，因此，它是第一個為集中管理的用戶啟用 FIDO2 認證的發行版。此外，用戶在認證成功后，也會一并獲取一個 Kerberos 票據，實現對其他服務的身份證明。

請注意，從這里開始，我將交替使用 FIDO2 和通行密鑰這兩個術語。

FIDO2 認證

FIDO2 配置

作為額外的安全措施，應在設備中啟用 MFA 以防你丟失了密鑰，惡意行為者無法使用它進行認證。

列出連接的通行密鑰設備：

$ fido2-token -L

為你的通行密鑰設備設置 PIN（將大寫字母替換為所需的）：

$ fido2-token -C /dev/hidrawX

如果你有一個兼容的設備，你還可以啟用其他認證因素，例如指紋。

集中用戶配置

首先，我們來創建一個用戶，并將通行密鑰（passkey）設置為其認證方式（請根據需要將大寫字母替換為相應的）：

$ ipa user-add USERNAME --first NAME --last SURNAME --user-auth-type=passkey

或者，如果你已有一個用戶，并只需要將 passkey 設置為其認證方式：

$ ipa user-mod USERNAME --user-auth-type=passkey

集中管理用戶的 FIDO2 注冊

接下來，我們為該用戶注冊這個通行密鑰。這個步驟會提示你輸入 PIN 碼，隨后觸摸設備：

$ ipa user-add-passkey USERNAME --register
Enter PIN:
Please touch the device.
------------------------------------
Added passkey mappings to user "USERNAME"
------------------------------------
    User login: USERNAME
    Passkey mapping: passkey:XR/MXigmgiBz1z7/RlWoWZkXKIEf1x9Ux5uPNxtzzSTdTiF407u2nRYMPkK8pWjwUR8Aa2urCcC9cnpLbkKgFg==,MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAEZqgERsFFv4Yev1dyo2Ap4PvLirg3P3Uhig5mNA4qf061C9q5rg0nMDz9AOYxZmBrwvQEXHCasMNO9VAIVnBIVg==

此刻，用戶的認證已準備就緒。

注意，如果你想在生產環境中使用此用戶，我建議你至少注冊兩個不同的設備。這樣，即使你丟失了其中一個設備，你也可以用另一個進行認證。

集中管理的用戶的 FIDO2 認證

在初次嘗試中，只有在物理連接令牌的系統中才能進行認證。這意味著你可以使用 su 或圖形界面，但不能遠程使用 ssh。

我們來試試使用 su，記得將大寫字母替換為所需的。當要求你輸入 PIN，然后觸摸設備時，當設備燈閃爍時觸摸它：

$ su - USERNAME@DOMAIN
Insert your passkey device, then press ENTER.
Enter PIN:

如果一切進行順利，Kerberos 票據也應已被授予，然后你就可以向其他服務進行遠程認證：

$ klist
Ticket cache: KCM:879400005:34862
Default principal: USERNAME@DOMAIN
Valid starting Expires        Service principal
10/20/23 09:46:04  10/21/23 09:32:37  krbtgt/DOMAIN@DOMAIN

結論

此認證機制的目標是提升安全性。通過使用一種眾所周知、開放式的標準實現無密碼和多因素認證，從而降低數據泄露和網絡釣魚威脅的風險。用戶只需要一個硬件令牌及另外一個如 PIN 或者指紋的認證方式，從而消除對密碼的需求，同時提供了方便的多因素認證方法。更進一步，每個應用或服務都使用一個唯一的密鑰，這樣任何一個應用或服務的數據泄露都不會影響其他的。最后，用戶并不需要知道他們的憑據的具體細節，只需了解他們使用了一個實體令牌，這極大地降低了社交工程攻擊的可能性。