На протяжении десятилетий мы пользовались классической системой безопасности с комбинацией пароля и имени пользователя. Если вы хотите войти куда-то в Интернете — будь то портал социальной сети или веб-магазин, — вы просто вводите имя учетной записи и секретный пароль. Однако с тех пор выяснилось, что эта техника не так совершенна, как раньше. Пользователи часто выбирают слишком простые пароли или используют один и тот же пароль для разных учетных записей, делая себя уязвимыми для атак. Именно поэтому FIDO Alliance объединился с Консорциумом Всемирной паутины (W3C) для разработки системы, которая была бы одновременно более безопасной и удобной, чем прежняя защита паролем.
Результаты этого сотрудничества можно найти в FIDO2 и WebAuthn. Еще один механизм, часто упоминаемый в связи с новой онлайн-защитой, — протокол «клиент-аутентификатор» (CTAP). Но что именно скрывается за этим термином?
Что такое CTAP?
FIDO2 и WebAuthn призваны заменить обычные пароли. Биометрические данные, например, отпечаток пальца, будут служить резервной копией ваших учетных записей в Интернете. Для аутентификации можно использовать аппаратный токен, например, USB-флешку. В контексте FIDO эти устройства называются аутентификаторами. Связь между этим токеном и системой пользователя регулируется протоколом CTAP. Таким образом, протокол определяет, как эти два компонента должны взаимодействовать друг с другом для успешной аутентификации и входа в систему для работы в Интернете.
CTAP существует в двух различных версиях. Первая версия протокола также известна как Universal 22-й Factor (U2F) и относится в основном к двухфакторной аутентификации. CTAP2 используется для инноваций, связанных с FIDO2. Новый протокол в сочетании с WebAuthn обеспечивает работу FIDO2. WebAuthn регулирует соединение между системой пользователя и веб-сайтом, на котором человеку необходимо идентифицировать себя. CTP, с другой стороны, регулирует соединение между аутентификатором и ПК или ноутбуком пользователя — или браузером на платформе, поскольку пользователь отвечает за аутентификацию.
Как функционирует протокол «клиент-аутентификатор
Чтобы гарантировать, что только авторизованные лица могут войти в онлайн-аккаунт, должна существовать определенная форма аутентификации. FIDO2 позволяет использовать дополнительное устройство для идентификации себя как пользователя. Эти токены призваны заменить непрактичные, иногда небезопасные пароли. Идея заключается в том, что аутентификатор подключается через USB, NFC или Bluetooth к реальному устройству, которое вы хотите использовать. Чтобы CAP, WebAuthn и FIDO2 работали, используемый вами браузер должен поддерживать новые стандарты. Однако в текущих версиях лидеров рынка уже реализован FIDO2.
Существуют и другие формы аутентификаторов, которые устанавливаются непосредственно в ваш ПК, ноутбук или смартфон. В первую очередь это средства для захвата FaceID или TouchID — то есть сканеры отпечатков пальцев камер с функцией распознавания лиц. Поскольку это оборудование не является внешним, его компоненты не требуют отдельного протокола связи.
Коммуникация через CTAP происходит по определенной схеме. Сначала браузер (или любое другое ответственное программное обеспечение) соединяется с аутентификатором и запрашивает информацию. Система определяет, какой вариант аутентификации предлагает внешнее устройство. Основываясь на этой информации, система может отправить команду аутентификатору. Аутентификатор отправит либо ответ, либо сообщение об ошибке, если команда не соответствует возможностям устройства.
При использовании этого метода аутентификационные данные, например, отпечаток пальца, никогда не покидают зону доступа пользователя. Все конфиденциальные данные остаются в системе. Браузер лишь передает через WebAuthn подтверждение того, что доступ разрешен. Эта передача, в свою очередь, работает через процедуру открытого ключа. Фишинговые атаки не работают с CTAP, WebAuth и FIDO2: Если пользователям больше не нужно предоставлять пароли или имена пользователей, то их больше нельзя украсть с помощью мошеннических атак.
Аутентификатор может быть реализован в виде ключа безопасности FIDO2. Это небольшой UCD-накопитель, который работает как ключ. Владея ключом безопасности, пользователь подтверждает, что у него есть разрешение на доступ к учетной записи в Интернете. В этом случае ключ и система взаимодействуют друг с другом посредством протокола «клиент-аутентификатор».