FIDO2: Новый стандарт для безопасного входа в веб-страницы

Вход на сайт с помощью имени пользователя и пароля уже не является лучшим методом сертификации по разным причинам. С одной стороны, ввод личной информации пользователя становится все более обременительным из-за постоянно растущего количества сервисов, которыми пользуется среднестатистический человек. С другой стороны, безопасность данных для входа в систему подвергается все большему риску из-за того, что киберпреступники становятся все более хитрыми и технологически продвинутыми. Целенаправленные атаки методом грубой силы или безобидные на первый взгляд фишинговые атаки по электронной почте накапливаются, так что пользователи часто даже не замечают, что их собственные данные для входа уже были использованы.

Стандарт безопасности FIDO2 решает эту проблему с помощью двухфакторной аутентификации, использующей ключи безопасности (ключи FIDO2) и аппаратные токены. Благодаря интеграции стандарта W3C WebAuthn, эта процедура позволяет не только шифрованные и анонимные входы в систему, но и полностью беспарольные входы. Но как именно работают токены и ключи FIDO2 и что нужно для того, чтобы вы могли использовать эту процедуру входа в систему для своей веб-деятельности?

FIDO2 — это последняя спецификация некоммерческой организации FIDO Alliance (Fast Identity Online), которая была создана с целью разработки открытых и не требующих лицензии стандартов для безопасной, всемирной аутентификации во Всемирной паутине. Сначала появился FIDO Universal Second Factor (FIDO U2F), затем FIDO Universal Authentication Framework (FIDO UAF), то есть FIDO2 — это третий стандарт, появившийся в результате работы альянса.

По своей сути FIDO2 состоит из протокола Client to Authenticator Protocol (CTAP) и стандарта W3C WebAuthn, которые вместе обеспечивают аутентификацию, когда пользователи идентифицируют себя с помощью криптографических аутентификаторов (таких как биометрия или PIN-код) или внешних аутентификаторов (таких как ключи FIDO, носимые устройства или мобильные устройства) на доверенном удаленном аналоге WebAuthn (также известном как сервер FIDO2), который обычно принадлежит веб-сайту или веб-приложению.

FIDO2 предоставляет возможность использования двухфакторной аутентификации, при которой обычный вход по имени пользователя-паролю дополняется шифрованием с помощью ключей FIDO2, а также дополнительного токена FIDO2 (аппаратного), или полностью беспарольной аутентификации.

Общим для обоих вариантов является то, что они исключают стандартный вход пользователя с именем и паролем, который считается не самым безопасным, а также простую двухфакторную аутентификацию (электронная почта, мобильное приложение, SMS): это не позволяет киберпреступникам, использующим типичные схемы атак, такие как атаки типа «человек посередине» и фишинг, добиться успеха и завладеть учетной записью пользователя. Даже если данные для входа скомпрометированы, вход в систему FIDO2 будет работать только с соответствующим аппаратным токеном или закрытым ключом, который также привязан к специальному аппаратному обеспечению.

Тот факт, что FIDO2 является открытым стандартом, облегчает разработчикам программного и аппаратного обеспечения внедрение стандарта в свои продукты, чтобы они могли предложить пользователям этот очень безопасный метод входа в систему.

Основная цель FIDO Alliance — все большее устранение паролей в Интернете. Для достижения этой цели сначала устанавливается или регистрируется безопасный канал связи между клиентом (браузером) и соответствующими веб-службами, чтобы быть постоянно доступным для последующих входов в систему. В этом процессе генерируются и проверяются ключи FIDO2, которые обеспечивают базовое шифрование для процедуры входа в систему. Процедура выглядит следующим образом:

1. Пользователь регистрируется в онлайн-сервисе и генерирует новую пару ключей на используемом устройстве — состоящую из закрытого ключа и открытого ключа FIDO2.
2. В то время как закрытый ключ хранится на устройстве и известен только на стороне клиента, открытый ключ регистрируется в базе данных ключей веб-службы.
3. Последующая аутентификация теперь возможна только путем проверки с помощью закрытого ключа, который всегда должен быть разблокирован действием пользователя. Существуют различные варианты, такие как ввод PIN-кода, нажатие кнопки, голосовой ввод или установка отдельного двухфакторного оборудования (токена FIDO2). Некоторые операционные системы, такие как Windows 10 и Android, теперь сами могут выступать в качестве маркеров безопасности.

Спецификация FIDO2 определяет все компоненты, необходимые для современной процедуры аутентификации.

Прежде всего, это неоднократно упоминавшийся стандарт W3C WebAuthn, который позволяет онлайн-сервисам включать аутентификацию FIDO через стандартный Web API (написанный на JavaScript), который также реализован в различных браузерах и операционных системах. Приложения, которые уже поддерживают стандарт, заявленный в марте 2019 года, включают Windows, Android и iOS (версия 13 или выше), а также следующие браузеры: Google Chrome, Mozilla Firefox, Microsoft Edge и Apple Safari (версия 13 или выше).

Вторым важным компонентом является протокол Client to Authenticator Protocol (CTAP). Этот протокол позволяет различным токенам FIDO2 взаимодействовать с браузерами, а также выступать в качестве аутентификаторов. Для использования этой функции безопасности (включая вход без пароля) используемый браузер и необходимый аппаратный токен должны иметь возможность взаимодействия через CTAP.

В этом введении мы кратко объяснили, почему процедуры входа без пароля или с двухфакторной аутентификацией, такие как FIDO2, — это будущее. По сравнению с традиционным входом по паролю, они предлагают гораздо меньшую площадь атаки для киберпреступников. При наличии соответствующих инструментов злоумышленникам не составит труда подобрать пароль, в то время как для получения несанкционированного доступа к защищенной FIDO2 учетной записи пользователя им потребуется аппаратный токен безопасности. Кроме того, вы можете использовать один токен FIDO2 для разных веб-сервисов вместо того, чтобы создавать и запоминать разные пароли.

Преимущества аутентификации FIDO2 с первого взгляда:

Хотя процесс FIDO2 во многих отношениях выгоден, у него есть и слабые стороны: В настоящее время существует лишь несколько веб-служб, которые предлагают такую форму аутентификации, и это является основным условием для их использования. Если FIDO2 — это возможность для вас, обязательно запланируйте дополнительные расходы на приобретение внешних токенов безопасности. Особенно в компаниях, где каждому сотруднику требуется собственный ключ безопасности, переход на FIDO2 может быстро стать дорогостоящим мероприятием.

Наконец, стандартизированный метод аутентификации требует дополнительного шага по сравнению с обычным входом по паролю, если он применяется как дополнительный компонент двухфакторной аутентификации. Таким образом, если вы входите в одну или несколько служб несколько раз в день, FIDO2 может оказаться не самым эффективным методом входа.