Интернет без пароля: WebAuthn теперь является стандартной веб-аутентификацией
2019-03-05 4360 4.5 0




🔒 Скоро настанет интернет без пароля?



В рамках своего проекта FIDO2 Альянс FIDO (Fast IDentity Online) и W3C объявили о стандартизации спецификации веб-аутентификации (WebAuthn). Реализуемые технологии позволяют подключаться к своим аккаунтам без пароля.


Более безопасный интернет с беспарольной аутентификацией

После недавней FIDO2-сертификации Android [➚], FIDO Alliance объявляет вместе с W3C, что технология WebAuthn станет новым стандартом для веб-браузеров и платформ, требующих аутентификации пользователей.

WebAuthn, уже поддерживаемый в Windows 10 и Android, а также в веб-браузерах Google Chrome, Mozilla Firefox, Microsoft Edge и Apple Safari, позволяет пользователям подключаться к своим учетным записям в Интернете с помощью устройства по своему выбору.

С помощью этой технологии пользователям больше не нужно будет запоминать имя пользователя и пароль или принимать решение выбрать наиболее упрощенные (и наиболее уязвимые) для подключения к своей учетной записи.

«Сейчас настало время для веб-сервисов и корпоративных сервисов принять WebAuthn для предотвращения уязвимости паролей и повышения безопасности работы пользователей в Интернете» Джефф Джаффе
«Рекомендация W3C устанавливает руководящие принципы взаимодействия в Интернете, устанавливая согласованные ожидания для пользователей Интернета и сайтов, которые они посещают. W3C работает над внедрением этой передовой практики на своем собственном сайте" - сказал Джефф Джаффе (Dr. Jeffrey Jaffe), генеральный директор W3C.



Каковы преимущества неиспользования пароля? Зачем нужна беспарольная аудентификация

Сделав Web Authn новым стандартом аутентификации в сети, FIDO и W3C предлагают решения многих проблем, связанных с паролями.

Безопасность: криптографические учетные данные FIDO2 уникальны на каждом веб-сайте, и никакие биометрические данные или другие секреты, такие как пароли, не покидают устройство пользователя или хранятся на сервере.

Эта модель безопасности устраняет риск фишинга, всех форм кражи паролей и атак «воспроизведения».

Удобство: пользователи подключаются с помощью удобных методов, таких как считыватели отпечатков пальцев, камеры, ключи безопасности FIDO или мобильное устройство.

Конфиденциальность: ключи FIDO уникальны для каждого веб-сайта, их нельзя использовать для отслеживания вас через сайты.

Масштабируемость: Веб-сайты могут активировать FIDO2 через вызов API в любом браузере и на платформе, оснащенной миллиардами устройств, ежедневно используемых потребителями.

Веб-сайты, платформы и поставщики услуг, желающие использовать WebAuthn, теперь могут использовать инструменты тестирования, предоставляемые Альянсом FIDO, и начать процесс сертификации с помощью этой программы.




Принцип работы WebAuthn

Последовательность действий пользователя при аутентификации с помощью нового стандарта следующая:

Пользователь через компьютер или ноутбук заходит на сайт example.ru и видит опцию «Войти с помощью телефона».

Пользователь выбирает эту опцию и получает сообщение от браузера «Пожалуйста, выполните вход на своем телефоне».

На телефон приходит уведомление «Войти на сайт example.ru».

При нажатии на уведомление появляется список аккаунтов, из которого выбирается нужный.

Далее, идет запрос авторизации (отсканировать палец, ввести PIN-код и т. д.), и в случае успеха сайт открывается на компьютере/ноутбуке.


Отзывы гигантов индустрии о технологии WebAuthn


Duo Security (Cisco)
Cisco logo

«Спецификация WebAuthn является крупным и совместным шагом вперед в эволюции более простой и надежной аутентификации пользователей. Будучи пионерами в области аутентификации, Duo Security знает, что для обеспечения эффективности безопасности она должна быть простой.

Средства защиты и конфиденциальности WebAuthn, встроенная защита от фишинга и простота использования дают возможность обеспечить широкое распространение на корпоративных и потребительских рынках, что в результате делает всех более безопасными.

Истинная аутентификация без пароля уже давно используется - сегодня мы ближе к реализации этой цели с помощью WebAuthn»,

- Джеймс Барклай, старший инженер по исследованиям и разработкам, Duo Security, подразделение Cisco.


Google
Google логотип

«Тот факт, что пользователи получают фишинг, на самом деле не является их недостатком. Это был пробел в интернет-инфраструктуре, который сделал их уязвимыми.

С сегодняшним объявлением интернет-сообщество закрывает этот пробел. Интернет-инфраструктура теперь имеет инструменты для обеспечения удобной для пользователя фишинг-стойкой аутентификации в масштабе.

Google участвует в этом проекте с самых первых дней, мы ввели аутентификацию на основе ключа безопасности в 2014 году, программу расширенной защиты в 2017 году и ключ безопасности Titanв 2018 году.

Теперь, когда поддержка клиентов W3C WebAuthn и FIDO2 распространяется на все основные клиентские платформы, включен расширенный набор возможностей. Мы с нетерпением ждем возможности использовать их, чтобы предложить нашим пользователям дополнительные новые интуитивно понятные возможности входа в систему, которые защищены от фишинга ».

- Сэм Шринивас, директор по управлению продуктами, Google и президент, FIDO Alliance


Microsoft
microsoft logo

«Наша работа с W3C и FIDO Alliance, а также вклад в стандарты FIDO2 стали важной частью приверженности Microsoft миру без паролей, который начался в 2015 году.

Сегодня Windows 10 с Microsoft Edge полностью поддерживает стандарт WebAuthn, и миллионы пользователей могут войдите в свою учетную запись Microsoft без использования пароля».

- Алекс Саймонс, корпоративный вице-президент по управлению программами, отдел идентификации Microsoft

Mozilla
mozilla firefox

«Из всех известных мне многофакторных аутентификационных решений веб-аутентификация - наш лучший технический ответ на фишинг.

Защита частной жизни и безопасности людей имеет основополагающее значение для Mozilla, и веб-аутентификация играет ключевую роль в этой защите. Mozilla поддерживает развитие веб-аутентификации и ее конечную цель - будущее без фишинга для всей сети ».

- JC Jones, инженер по криптографии, Mozilla

Nok Nok Labs

«Предоставление альтернативы ненадежным и неудобным паролям, которые работают на устройствах, в приложениях, браузерах и на веб-сайтах, было задачей Nok Nok Labs с момента нашего основания.

API веб-аутентификации является важным шагом на пути к обеспечению простой и надежной аутентификации на устройствах, которые мы используем в повседневной жизни.

Крайне важно, чтобы отрасль в целом продолжала добавлять поддержку аутентификации FIDO на все платформы, чтобы лучше защитить потребителей в нашем цифровом мире».

- Рольф Линдеманн, старший директор по продуктам в Nok Nok Labs


Yubico
yubico logo

«Сегодняшняя стандартизация WebAuthn W3C знаменует собой веху в истории открытых стандартов аутентификации и интернет-безопасности.

Вместе мы достигли почти невозможного: создание глобального стандарта, поддерживаемого всеми платформами и браузерами.

Yubico благодарен за участие в этом мероприятии, и мы с нетерпением ждем возможностей, которые он откроет для беспроблемной, повсеместной безопасности для всех пользователей Интернета».

- Стина Эренсвард, генеральный директор и основатель, Yubico



Использованы источники: fidoalliance.org, blogdumoderateur.com, habr.com





Теги:смартфон, Малина Pi, MWC
Читайте также:
Похожие записи, из рубрики:
  • Лучшие чат-боты с искусственным интеллектом в 2023 году
  • Прекратите делать это онлайн
  • Кибер безопасность для каждого
  • Закрытие приложений для смартфонов не делает ваш телефон быстрее и не экономит заряд аккумулятора
Комментарии

Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]