WebAuthn / passkeys
Kapcsolódó szolgáltatás Kiberbiztonság
MEGHATÁROZÁS
A WebAuthn egy W3C szabvány, a passkey ennek a felhasználóbarát márkaneve (Apple, Google, Microsoft közös). Regisztrációkor a felhasználó eszköze (telefon, laptop, Yubikey) lokálisan generál egy aszimmetrikus kulcspárt: a privát kulcs az eszközön (vagy a platform secure enclave-ben, vagy a felhő-szinkronizált keychainben) marad, és soha nem hagyja el. A szervernek csak a publikus kulcsot küldi el, plusz egy attestation-t. Bejelentkezésnél a szerver egy challenge-et küld, az eszköz biometriával vagy PIN-nel feloldja a privát kulcsot, aláírja a challenge-et, és ezt az aláírást küldi vissza. A hálózaton csak a publikus kulcs és az aláírás megy, jelszó nincs. Phishing-ellenálló (a domain a credential id-be van kötve), nincs shared secret, ami leakelhető, és felváltja az SMS OTP-t. iOS 17 és Android 14 óta produkciós szinten használható.
- Threat model→
Strukturált gyakorlat, ami végigveszi a rendszer szereplőit, támadási felületét, kockázatait és kontrolljait. Minden DField-projektben ez az első nap, még a kód előtt.
- Pentest (Penetrációs teszt)→
Kézi és eszközös támadás-szimuláció, amivel kiderül, hogy egy támadó mit tudna elérni. Nálunk a találatok PR-ekként jönnek a repódba, nem 80 oldalas PDF-ként.
- DevSecOps→
Biztonság mint folyamatosan futó CI-lépés (SAST, DAST, SCA, IaC-scan), nem éves projekt. Minden push ellen fut; minden sprint fix biztonsági bugot is.
- MFA (Multi-faktoros auth)→
Kétfaktoros vagy több faktor (TOTP, WebAuthn, biometria) az egy jelszón felül. SaaS-nak ma kötelező · enterprise-beszerzés lenullázza a bevételt nélküle.
- SOC 2→
Amerikai auditálási keretrendszer a bizalmassági, integritási, elérhetőségi és adatvédelmi kontrollokra. SaaS-nál a Type II audit (6–12 hó megfigyelés) a szokásos enterprise-alapvetés.
- ISO 27001→
Nemzetközi szabvány az információbiztonsági menedzsmentrendszerre (ISMS). Európában gyakran elvárt SOC 2 helyett vagy mellett. 3 éves certifikációs ciklus.