Internetinis konsorciumas ir „Fido“ aljansas paskelbia „WebAuthn“: ką tai reiškia?

Paprastai kuriant naują internetinę paskyrą jums neteikiama tiek daug galimybių. Jūs, be abejo, turite sukurti slaptažodį, o daugumai žmonių tai reiškia, kad reikia pereiti vieną iš dviejų maršrutų - paprastą, lengvai įsimenamą ir (arba) pakartotinai naudojamą slaptažodį, keliantį pavojų jų sąskaitoms; arba ilgas, sunkiai atspėjamas slaptažodis, tai yra nepatogumas rašyti ir skausmas, kurį reikia atsiminti. Nereikia nė sakyti, kad abi galimybės nėra visiškai idealios. Taigi, ar yra kas nors, kas gali pakeisti situaciją šiuo metu? Na, yra, ir gali būti, kad kažkur eisite.

„WebAuthn“ - alternatyva be slaptažodžio

„WebAuthn“, sutrumpintai žiniatinklio autentifikavimas, yra nepatentuotas standartas, palengvinantis ryšį tarp svetainių ir saugos įrenginio. Du internetiniai konsorciumai, pasaulinio žiniatinklio konsorciumas (WC3) ir FIDO aljansas, pastaruosius kelerius metus dirbo prie jo, tačiau koncepcija gali atsekti jo šaknis nuo FIDO aljanso visuotinio autentifikavimo faktoriaus (UAF) API nuo 2014 m.

Tiek „WebAuthn“, tiek UAF tikslas yra pateikti naują, saugų prisijungimo prie internetinių paskyrų būdą nereikia atsiminti ar įvesti slaptažodžių. Dėl įvairių sudėtingų priežasčių UAF nesudarė įspūdio apie mūsų kasdienį gyvenimą, tačiau gali pasirodyti, kad „WebAuthn“ gali tiesiog skirtis.

Pirmadienį WC3 ir FIDO paskelbė, kad „WebAuthn“ dabar yra oficialus interneto standartas. Paprastai tariant, tai reiškia, kad ekspertai yra pakankamai pasitikintys savimi ir pradeda patarinėti interneto ir programų kūrėjams, kaip tai įgyvendinti savo produktuose. Norėdami suprasti, kaip visa tai paveiks mus visus, turime įsigilinti į tai, kaip veikia „WebAuthn“.

Kaip veikia „WebAuthn“?

Vartotojo požiūriu, viskas yra gana paprasta. Idėja yra ta, kad vietoj vartotojo vardo ir slaptažodžio įvedimo jūs arba naudojate biometrinius autentifikavimo mechanizmus savo kompiuteryje ar išmaniajame telefone, arba naudojate aparatūros žetoną, kurį galima nešioti ant klavišo žiedo ir kuris veikia su USB, NFC, „Bluetooth“ arba panašus ryšio protokolas. Išvis nėra prisijungimo duomenų, tai skamba kaip patraukli koncepcija. Bet kaip su saugumo aspektu?

Nors procesas yra paprastas, užkulisiuose „WebAuthn“ prisijungimas yra gana sudėtinga operacija. Viskas paremta viešojo rakto (dar vadinamo asimetriniu) kriptografija, tai reiškia, kad naudojami du raktai - viešasis ir privatusis. Kiekvienas jūsų abonementas gauna porą kriptografinių raktų, kuriuos sugeneravęs kompiuteris ar aparatūros prieigos raktas. Viešasis raktas siunčiamas paslaugų teikėjui, o privatusis - saugomas jūsų įrenginyje. Kai bandote prisijungti, paslaugų teikėjas siunčia iššūkį, kurį jūsų įrenginys pasirašo ir užšifruoja asmeniniu raktu. Vienintelis būdas iššifruoti iššūkį ir pamatyti parašą yra jūsų viešasis raktas, tai yra, kaip paslaugų teikėjas žino, kad esate tas, kuris sakote, kad esate.

Ši schema turi daugiau nei keletą saugumo privalumų. Visų pirma, norint prisijungti, reikia dviejų raktų, saugomų dviejose skirtingose vietose. Net jei sukčiams kažkaip pavyks pavogti ar perimti jūsų viešąjį raktą, jie neturės galimybės prisijungti be privataus, kuris, kaip jūs galbūt atsimenate, niekada neišeis iš jūsų įrenginio.

Be to, skirtingai nei slaptažodžiai, kriptografinių raktų negalima atspėti, kad jie įdaryti, panaudoti ar suklasifikuoti. Kitaip tariant, dauguma išpuolių, kuriuose tradiciškai naudojami slaptažodžiai, nėra veiksmingi prieš „WebAuthn“ schemą.

Naujasis žiniatinklio standartas yra puikus, nes tai vienas iš nedaugelio technologinių naujovių pavyzdžių, kuris ne tik pagerina naudojimą, bet ir padidina saugumą.

Taigi, slaptažodis yra miręs, tiesa?

Nors tai tikrai yra kažkas, ko laukiame, mes manome, kad slaptažodžio sunaikinimas dar yra labai didelis. Niekas neabejoja, kad „WebAuthn“ technologija yra patikima, tačiau vis dar yra keletas kliūčių, kurias reikia įveikti.

Pirma, „WebAuthn“ yra žiniatinklio standartas ir, kaip kvailai, kaip atrodo, žodis „standartas“ klasikine prasme yra šiek tiek tabu internetiniame pasaulyje. Paimkite, pavyzdžiui, slaptažodžius. Mes ilgą laiką juos naudojome kaip pagrindinį prisijungimo mechanizmą, tačiau net dabar, praėjus dešimtmečiams po pirmojo pasirodymo, vis dar negalime susitarti, kas yra ir kas nėra stiprus slaptažodis. Lygiai taip pat, nepaisant akivaizdžių pranašumų, neatrodo, kad pardavėjai yra tame pačiame puslapyje, kai reikia pasakyti, kaip greitai reikia įdiegti „WebAuthn“.

„Google Chrome“ buvo pirmoji naršyklė, palaikanti „WebAuthn“, tačiau tik po kelių mėnesių ją įdiegė kitas „Firefox“, dar vienas didelis pramonės vardas. „Microsoft“ leido laiką integruoti „WebAuthn“ į „Edge“, o „Apple“ vis dar eksperimentuoja su „Safari“ palaikymu. Padėtis mažai skiriasi mobiliojo kraštovaizdžio srityje. Praėjusią savaitę FIDO paskelbė, kad labai greitai visi telefonai ir planšetiniai kompiuteriai, kuriuose veikia „Android 7.0“ ar naujesnė versija, bus FIDO sertifikuoti. „WebAuthn“ yra FIDO2 protokolo pagrindas, reiškiantis, kad šie įrenginiai veiksmingai prisijungs be slaptažodžio. Deja, kol kas nematėme jokios informacijos apie tai, kada standartas bus įtrauktas į „Apple iOS“. Ir net jei visi pardavėjai naudojasi „WebAuthn“ dėl jų naujesnių įrenginių, negalima ignoruoti paliktų sistemų kalnų.

Žinoma, po to, kai aparatūros pardavėjai ją priims, visiems svetainių ir programų kūrėjams reikės ją įdiegti kaip prisijungimo mechanizmą. Kitaip tariant, mažai tikėtina, kad „WebAuthn“ bet kuriuo metu greitai pakeis slaptažodį. Ir kol tai nepadarys, turite įsitikinti, kad jūsų sąskaitos yra kuo geriau apsaugotos.

Geriausias būdas tai padaryti naudojant slaptažodžių tvarkymo programą, pvz., „Cyclonis Password Manager“. Naudodamiesi juo galite sukurti ilgus, sudėtingus slaptažodžius, nesijaudindami apie juos atsiminti. Šiais laikais pasikliauti savo smegenimis tai nėra gera idėja, o geriausia, jei leisite „Cyclonis Password Manager“ atlikti visą darbą už jus, kad naršyklės plėtinio automatinis užpildymas ir automatinės funkcijos duotų papildomo patogumo..