Консорциум World Wide Web и Fido Alliance анонсируют WebAuthn: что это значит?

WebAuthn - an Official Web Standard

Обычно при создании новой онлайн-учетной записи у вас не так много вариантов. Очевидно, вам необходимо создать пароль, и для большинства людей это означает переход по одному из двух маршрутов - простой, легко запоминающийся и/или повторно используемый пароль, который подвергает риску их учетные записи; или длинный, трудно угадываемый пароль, это неудобство для ввода и боль, чтобы помнить. Само собой разумеется, что оба варианта не совсем идеальны. Итак, есть ли что-то, что может изменить положение вещей в данный момент? Ну, есть, и это может куда-то идти.

WebAuthn - альтернатива без пароля

WebAuthn, сокращение от Web Authentication, является непатентованным стандартом, который облегчает связь между веб-сайтами и устройством безопасности. Два онлайн-консорциума, World Wide Web Consortium (WC3) и FIDO Alliance, работали над ним в течение последних нескольких лет, но концепция может быть основана на API Универсального фактора аутентификации (UAF) FIDO Alliance с 2014 года.

Цель WebAuthn и UAF - предоставить новый безопасный способ входа в онлайн-аккаунты без необходимости запоминать или вводить какие-либо пароли. По ряду сложных причин UAF не смогли произвести впечатление на нашу повседневную жизнь, но может показаться, что WebAuthn может быть совсем другим.

В понедельник WC3 и FIDO объявили, что WebAuthn теперь является официальным веб-стандартом. Проще говоря, это означает, что эксперты достаточно уверены, чтобы начать консультировать разработчиков веб-приложений и приложений по внедрению этого в свои продукты. Чтобы понять, как все это повлияет на нас всех, нам нужно взглянуть на то, как работает WebAuthn.

Как работает WebAuthn?

С точки зрения пользователя, все довольно просто. Идея состоит в том, чтобы вместо ввода имени пользователя и пароля вы либо использовали механизмы биометрической аутентификации на своем компьютере или смартфоне, либо использовали аппаратный токен, который можно переносить на связке ключей и который работает с USB, NFC, Bluetooth или аналогичный протокол связи. Нет никаких учетных данных для входа в систему, что звучит как привлекательная концепция. Но как насчет безопасности?

Несмотря на то, что процесс прост на первый взгляд, за кулисами вход в WebAuthn является довольно сложной операцией. Все это основано на криптографии с открытым ключом (также известной как асимметричная), что означает, что задействованы два ключа - открытый и закрытый. Каждая ваша учетная запись получает пару криптографических ключей, которые ваш компьютер или аппаратный токен генерирует при регистрации. Открытый ключ отправляется поставщику услуг, а закрытый хранится на вашем устройстве. Когда вы пытаетесь войти в систему, поставщик услуг отправляет запрос, который ваше устройство подписывает и шифрует с помощью вашего закрытого ключа. Единственный способ расшифровать вызов и увидеть подпись - это с помощью вашего открытого ключа, так как поставщик услуг узнает, что вы тот, кем вы себя называете.

У этой схемы есть несколько преимуществ безопасности. Прежде всего, для входа требуется два ключа, которые хранятся в двух разных местах. Даже если мошенникам каким-то образом удастся украсть или перехватить ваш открытый ключ, они не смогут войти в систему без личного ключа, который, как вы помните, никогда не покидает ваше устройство.

Более того, в отличие от паролей, криптографических ключей не может быть угадан чучела, повторно, или подмененный. Другими словами, большинство атак, которые традиционно работают с паролями, не эффективны против схемы WebAuthn.

Новый веб-стандарт примечателен тем, что он является одним из немногих примеров технологических инноваций, которые не только повышают удобство использования, но и повышают безопасность.

Значит, пароль мертвый, верно?

Хотя это, безусловно, что-то с нетерпением жду, мы считаем, что до конца пароля еще далеко. Никто не сомневается, что технология WebAuthn является надежной, но все еще есть некоторые препятствия, которые необходимо преодолеть.

С одной стороны, WebAuthn - это веб-стандарт, и, как бы глупо это ни звучало, слово «стандарт» в его классическом смысле является табу в онлайн-мире. Взять пароли, например. Мы использовали их в качестве основного механизма входа в систему довольно давно, но даже сейчас, спустя десятилетия после их появления, мы все еще не можем договориться о том, что является надежным паролем, а что нет. Во многом таким же образом, несмотря на очевидные преимущества, поставщики, кажется, не находятся на одной странице, когда речь заходит о том, как быстро должен быть реализован WebAuthn.

Google Chrome был первым браузером, который поддерживал WebAuthn, но лишь несколько месяцев спустя Firefox, еще одно известное в отрасли приложение, внедрило его. Microsoft не торопилась с внедрением WebAuthn в Edge, а Apple все еще экспериментирует с поддержкой Safari. Ситуация не сильно отличается в мобильном ландшафте. На прошлой неделе FIDO объявил, что очень скоро все телефоны и планшеты с Android 7.0 или выше будут сертифицированы FIDO. WebAuthn лежит в основе протокола FIDO2, что означает, что эти устройства будут эффективно поддерживать вход без пароля. К сожалению, мы еще не увидели никакой информации о том, когда стандарт будет включен в iOS от Apple. И даже если все производители используют WebAuthn для своих новых устройств, вы не можете игнорировать горы устаревших систем, которые останутся позади.

Конечно, после того, как производители оборудования примут его, разработчикам веб-сайтов и приложений потребуется реализовать его в качестве механизма входа в систему. Другими словами, WebAuthn вряд ли сможет полностью заменить пароль в ближайшее время. И до тех пор, пока это не произойдет, вы должны убедиться, что ваши учетные записи максимально защищены.

Использование приложения для управления паролями, такого как Cyclonis Password Manager, является лучшим способом сделать это. С его помощью вы можете создавать длинные и сложные пароли, не беспокоясь о их запоминании. В наше время полагаться на свой мозг для этого просто не очень хорошая идея, и самое лучшее, что позволяет Cyclonis Password Manager делать всю работу за вас, это то, что функции автозаполнения и автоматического входа расширения браузера принесут дополнительное удобство.,

February 14, 2020
Loading ...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.