WebAuthn - W3C та FIDO Alliance оголосили про завершення розробки стандарту безпарольної аутентифікації
WebAuthn - W3C та FIDO Alliance оголосили про завершення розробки стандарту безпарольної аутентифікації
Найчастішою причиною витоків даних у компаніях залишаються слабкі паролі. Вони є винуватцями більшості атак — 81% випадків, за даними Verizon. Ті організації, які дійсно працюють над парольною політикою, витрачають на це багато ресурсів. У Ponemon Institute стверджують, що сумарно процедури скидання та оновлення даних аутентифікації обходяться компаніям у 5,2 млн доларів щороку. Якщо говорити про загальну ситуацію в галузі аутентифікації, то можна послатися на дані фахівців з Кембриджського університету. Вони провели аналіз політик безпеки 150 великих сайтів і встановили, що 57% з них не використовують TLS при передачі паролів. При цьому 84% сайтів дозволяють нескінченно підбирати дані аутентифікації.
/>
Тут на допомогу приходить стандарт безпарольної автентифікації WebAuthn. Він повинен вирішити вищезгадані проблеми. Замість парольних фраз його розробники пропонують використовувати біометричні дані: відбиток пальця, сітківку ока та обличчя.
У процесі аутентифікації беруть участь три сутності. Перша — це WebAuthn Relying Party. Вона є сайтом, на який хоче зайти користувач.
Друга сутність — WebAuth API. В його основі лежать два базових методи, що відповідають за реєстрацію та вхід до системи: navigator.credentials.create() і navigator.credentials.get (). Один створює реквізити доступу під час реєстрації нового облікового запису та пов'язує пару ключів із вже існуючим. Інший – використовує відомі дані для авторизації на сайті. Обидва методи застосовують захищене з'єднання передачі Третя сутність — це автентифікатор. Він керує ідентифікаційними даними користувачів та відповідає за генерацію публічних ключів облікових записів.
У загальному випадку процедура авторизації на сайті може виглядати так:
- Користувач заходить на сайт і вибирає опцію безпарольної аутентифікації (наприклад, за допомогою телефону).
- Сайт надсилає клієнту WebAuthn (браузеру) відповідний JavaScript-запит.
- Браузер звертається до автентифікатора (смартфону), щоб той згенерував ключі та направив їх стороні, що перевіряє.
- Сервер перевіряє дані для входу.
- Якщо все гаразд, користувач авторизується на сайті.
Для захисту від фішингу стандарт використовує спеціальні транзакції, які прив'язуються до конкретної сесії. Якщо сервер помічає, що ідентифікатор змінився, то розуміє, що запит походить від шахраїв і не підтвердить авторизацію.
За словами творців WebAuthn, реалізація нового стандарту допоможе позбутися паролів, а значить і вразливостей, які з ними пов'язані. Старший сертифікаційний інженер FIDO Alliance каже, що безпарольний вхід захистить користувачів від фішингу, спростить взаємодію з сайтами та зробить біометричні технології доступнішими.
