Консорциум World Wide Web и Fido Alliance анонсируют WebAuthn: что это значит?
Обычно при создании новой онлайн-учетной записи у вас не так много вариантов. Очевидно, вам необходимо создать пароль, и для большинства людей это означает переход по одному из двух маршрутов - простой, легко запоминающийся и/или повторно используемый пароль, который подвергает риску их учетные записи; или длинный, трудно угадываемый пароль, это неудобство для ввода и боль, чтобы помнить. Само собой разумеется, что оба варианта не совсем идеальны. Итак, есть ли что-то, что может изменить положение вещей в данный момент? Ну, есть, и это может куда-то идти.
WebAuthn - альтернатива без пароля
WebAuthn, сокращение от Web Authentication, является непатентованным стандартом, который облегчает связь между веб-сайтами и устройством безопасности. Два онлайн-консорциума, World Wide Web Consortium (WC3) и FIDO Alliance, работали над ним в течение последних нескольких лет, но концепция может быть основана на API Универсального фактора аутентификации (UAF) FIDO Alliance с 2014 года.
Цель WebAuthn и UAF - предоставить новый безопасный способ входа в онлайн-аккаунты без необходимости запоминать или вводить какие-либо пароли. По ряду сложных причин UAF не смогли произвести впечатление на нашу повседневную жизнь, но может показаться, что WebAuthn может быть совсем другим.
В понедельник WC3 и FIDO объявили, что WebAuthn теперь является официальным веб-стандартом. Проще говоря, это означает, что эксперты достаточно уверены, чтобы начать консультировать разработчиков веб-приложений и приложений по внедрению этого в свои продукты. Чтобы понять, как все это повлияет на нас всех, нам нужно взглянуть на то, как работает WebAuthn.
Как работает WebAuthn?
С точки зрения пользователя, все довольно просто. Идея состоит в том, чтобы вместо ввода имени пользователя и пароля вы либо использовали механизмы биометрической аутентификации на своем компьютере или смартфоне, либо использовали аппаратный токен, который можно переносить на связке ключей и который работает с USB, NFC, Bluetooth или аналогичный протокол связи. Нет никаких учетных данных для входа в систему, что звучит как привлекательная концепция. Но как насчет безопасности?
Несмотря на то, что процесс прост на первый взгляд, за кулисами вход в WebAuthn является довольно сложной операцией. Все это основано на криптографии с открытым ключом (также известной как асимметричная), что означает, что задействованы два ключа - открытый и закрытый. Каждая ваша учетная запись получает пару криптографических ключей, которые ваш компьютер или аппаратный токен генерирует при регистрации. Открытый ключ отправляется поставщику услуг, а закрытый хранится на вашем устройстве. Когда вы пытаетесь войти в систему, поставщик услуг отправляет запрос, который ваше устройство подписывает и шифрует с помощью вашего закрытого ключа. Единственный способ расшифровать вызов и увидеть подпись - это с помощью вашего открытого ключа, так как поставщик услуг узнает, что вы тот, кем вы себя называете.
У этой схемы есть несколько преимуществ безопасности. Прежде всего, для входа требуется два ключа, которые хранятся в двух разных местах. Даже если мошенникам каким-то образом удастся украсть или перехватить ваш открытый ключ, они не смогут войти в систему без личного ключа, который, как вы помните, никогда не покидает ваше устройство.
Более того, в отличие от паролей, криптографических ключей не может быть угадан чучела, повторно, или подмененный. Другими словами, большинство атак, которые традиционно работают с паролями, не эффективны против схемы WebAuthn.
Новый веб-стандарт примечателен тем, что он является одним из немногих примеров технологических инноваций, которые не только повышают удобство использования, но и повышают безопасность.
Значит, пароль мертвый, верно?
Хотя это, безусловно, что-то с нетерпением жду, мы считаем, что до конца пароля еще далеко. Никто не сомневается, что технология WebAuthn является надежной, но все еще есть некоторые препятствия, которые необходимо преодолеть.
С одной стороны, WebAuthn - это веб-стандарт, и, как бы глупо это ни звучало, слово «стандарт» в его классическом смысле является табу в онлайн-мире. Взять пароли, например. Мы использовали их в качестве основного механизма входа в систему довольно давно, но даже сейчас, спустя десятилетия после их появления, мы все еще не можем договориться о том, что является надежным паролем, а что нет. Во многом таким же образом, несмотря на очевидные преимущества, поставщики, кажется, не находятся на одной странице, когда речь заходит о том, как быстро должен быть реализован WebAuthn.
Google Chrome был первым браузером, который поддерживал WebAuthn, но лишь несколько месяцев спустя Firefox, еще одно известное в отрасли приложение, внедрило его. Microsoft не торопилась с внедрением WebAuthn в Edge, а Apple все еще экспериментирует с поддержкой Safari. Ситуация не сильно отличается в мобильном ландшафте. На прошлой неделе FIDO объявил, что очень скоро все телефоны и планшеты с Android 7.0 или выше будут сертифицированы FIDO. WebAuthn лежит в основе протокола FIDO2, что означает, что эти устройства будут эффективно поддерживать вход без пароля. К сожалению, мы еще не увидели никакой информации о том, когда стандарт будет включен в iOS от Apple. И даже если все производители используют WebAuthn для своих новых устройств, вы не можете игнорировать горы устаревших систем, которые останутся позади.
Конечно, после того, как производители оборудования примут его, разработчикам веб-сайтов и приложений потребуется реализовать его в качестве механизма входа в систему. Другими словами, WebAuthn вряд ли сможет полностью заменить пароль в ближайшее время. И до тех пор, пока это не произойдет, вы должны убедиться, что ваши учетные записи максимально защищены.
Использование приложения для управления паролями, такого как Cyclonis Password Manager, является лучшим способом сделать это. С его помощью вы можете создавать длинные и сложные пароли, не беспокоясь о их запоминании. В наше время полагаться на свой мозг для этого просто не очень хорошая идея, и самое лучшее, что позволяет Cyclonis Password Manager делать всю работу за вас, это то, что функции автозаполнения и автоматического входа расширения браузера принесут дополнительное удобство.,