WebAuthn (веб-аутентификация)

Если вы много времени проводите в Интернете, у вас, несомненно, бесчисленное количество паролей и имен пользователей. Социальные сети, электронная коммерция, учетные записи электронной почты: для всего нужен свой пароль. Однако в будущем работа в Интернете может стать намного удобнее для пользователей — по крайней мере, если Консорциум Всемирной паутины (W3C) будет иметь к этому отношение. Новый стандарт WebAuthn призван устранить необходимость запоминания паролей, но без ущерба для безопасности конфиденциальных данных.

В прошлом единственным способом подтвердить свою личность в Интернете было использование комбинации имени пользователя и пароля. С помощью имени пользователя (в некоторых случаях вместо него используется адрес электронной почты) пользователь указывает, к какой учетной записи он хочет получить доступ. Затем для подтверждения личности используется пароль, который знает только сам пользователь.

В прошлом эта процедура оказалась не очень эффективной: Поскольку она очень громоздка, пользователи склонны упрощать ее самостоятельно, используя легко запоминающиеся комбинации символов, которые можно быстро взломать, или используя один и тот же пароль для каждой учетной записи. Для борьбы с этим были введены менеджеры паролей и многофакторная аутентификация (MFA). Но многие пользователи не пользуются этими мерами.

Консорциум World Wide Web Consortium (ассоциация IT-компаний, регулярно публикующая стандарты для Интернета) осознал это и начал искать решение. Совместно с FIDO Alliance (сотрудничество различных компаний для унификации мер аутентификации) было разработано несколько мер для проекта FIDO2: В дополнение к протоколу FIDO Client to Authenticator Protocol (CTAP) теперь существует новый стандарт: WebAuthn.

WebAuthn (или веб-аутентификация) — это единый вариант аутентификации, который больше не полагается на пароли, а использует биометрические данные. Пользователи могут входить в свои учетные записи с помощью отпечатков пальцев или распознавания лица. Сегодня многие устройства (особенно смартфоны и ноутбуки) уже оснащены соответствующим аппаратным и программным обеспечением, что значительно облегчает работу пользователей. В качестве альтернативы для идентификации пользователя можно использовать аппаратный токен. Поскольку пользователи всегда носят эту информацию с собой, они не могут ни забыть ее, ни передать без раздумий: С WebAuthn фишинг может остаться в прошлом.

WebAuthn будет работать с любым браузером. Chrome, Firefox, Safari (частично) и Edge уже поддерживают этот стандарт. Веб-сайты, которые хотят подтвердить личность пользователей для входа в систему, обращаются к API веб-аутентификации в браузере. Соответствующий пользователь подтверждает свою личность только на собственном устройстве. Например, с помощью сканера отпечатков пальцев или подключения токена к ноутбуку или ПК. Чувствительные идентификационные данные (например, отпечаток пальца) не покидают устройство. Только подтверждение из браузера отправляется в веб-службу через процедуру открытого ключа. Пользователю не нужно вводить пароль или имя пользователя.

Интерфейс обрабатывается с помощью JavaScript. Это очень упрощает операторам веб-сайтов внедрение веб-аутентификации и, следовательно, должно способствовать ее быстрому распространению. Если провайдер веб-услуг хочет обеспечить еще большую безопасность своих услуг, WebAuthn и MFA также могут использоваться вместе. Помимо аутентификации с использованием биометрических данных, можно настроить ее таким образом, чтобы также требовался пароль.

Более того, поскольку пользователям больше не нужно придумывать пароли и имена пользователей, исключается риск использования одних и тех же данных для разных учетных записей. Стандарт гарантирует наличие уникальной информации для входа в систему для каждой учетной записи пользователя. Вам достаточно один раз зарегистрировать свой аутентификатор (отпечаток пальца, токен и т.д.) в веб-службе, после чего вы можете использовать удобный вход в систему.

В отличие от старых мер, в которых использовался пароль, WebAuthn предлагает несколько преимуществ как для пользователей, так и для операторов веб-сайтов. Удобство и простота должны быть достаточными, чтобы привлечь пользователей: тот факт, что больше нет необходимости запоминать информацию. Это отличная новость с точки зрения безопасности: Использование паролей, в конце концов, является лишь условно безопасным. Либо их можно взломать (например, с помощью перебора или радужных таблиц), либо пароли можно получить с помощью фишинга. С WebAuthn нет никакой возможности случайно передать пароль.

Поскольку новый стандарт не передает идентификационные данные через Интернет, атака «человек посередине», при которой данные перехватываются во время передачи, не будет успешной. Кроме того, сертификат подлинности при передаче криптографически защищен процедурой открытого ключа.

Тот факт, что все конфиденциальные данные остаются на устройстве пользователя, также является преимуществом для операторов веб-сайтов. В настоящее время поставщикам услуг, требующих регистрации, приходится тратить много сил и знаний на защиту паролей и имен пользователей. Если преступникам удастся проникнуть в базы данных провайдера, это может привести к катастрофическим последствиям. Компании, неспособные предотвратить подобные атаки, сталкиваются с серьезными последствиями, а также причиняют страдания своим пользователям из-за значительного неправомерного использования данных — особенно если они используют учетные данные на других платформах.

WebAuthn также считается более безопасной, чем многофакторная аутентификация. Хотя дополнительная функция идентификации, которая запрашивается при входе в систему с помощью MFA, обеспечивает дополнительную защиту, это не лишено риска. Некоторые функции аутентификации — например, одноразовый пароль через SMS — могут быть относительно легко перехвачены. Кроме того, такие кратковременные пароли стали популярными целями для фишинговых атак. Кроме того: MFA — это относительно трудоемкий процесс. WebAuthn работает быстрее и поэтому более удобен для пользователя.

Однако есть и недостатки, если для существующей учетной записи необходимо зарегистрировать новый аутентификатор. Например, если аппаратный токен утерян, необходимо получить новый. Этот новый токен не так просто привязать к существующему профилю, поскольку это было бы слишком большим риском для безопасности. Вместо этого необходимо либо иметь запасной аутентификатор, предназначенный именно для такого использования, либо сбросить его. Последний способ аналогичен сбросу пароля и лучше всего подходит для служб, не требующих высоких стандартов безопасности.