Когда-нибудь все наши проблемы с паролями останутся в прошлом. Firefox 60 — первый браузер, поддерживающий WebAuthn, новый стандарт сетевой аутентификации, разработанный W3C в сотрудничестве с FIDO Alliance и поддержкой Google, Microsoft и Mozilla для обеспечения альтернативных способов доступа в Интернет.
Альянс FIDO (Fast IDentity Online) — это отраслевой консорциум, созданный в феврале 2013 года для решения проблемы отсутствия взаимодействия между устройствами строгой аутентификации и проблем, с которыми пользователи сталкиваются при создании и запоминании нескольких имен пользователей и паролей. Это видео знакомит с FIDO и ее целями:
WebAuthn определяет стандартный веб-API, который может быть встроен в браузеры и соответствующую инфраструктуру веб-платформы, что дает пользователям новые методы безопасной аутентификации в Интернете, в браузере, а также на сайтах и устройствах. В разработке с 2016 года вы можете рассматривать WebAuthn как эволюцию протоколов FIDO U2F и UAF. Он продолжает традицию FIDO, позволяющую использовать учетные данные для расширенной аутентификации. Однако его наиболее значительным нововведением является то, что пользователи могут аутентифицироваться в службах без необходимости сначала идентифицировать себя с помощью комбинации имени пользователя и пароля.
В прошлом месяце, когда W3C продвинул WebAuthn на стадию рекомендации кандидата (CR), генеральный директор W3C Джефф Джаффе заявил:
«Безопасность в сети долгое время была проблемой, которая препятствовала тому положительному вкладу, который Интернет вносит в жизнь общества. Хотя существует множество проблем с безопасностью в Интернете, и мы не можем их все исправить, использование паролей — одно из самых слабых мест. С помощью многофакторных решений WebAuthn мы устраняем это слабое звено. WebAuthn изменит способ доступа людей к Интернету ».
Все мы знаем о проблемах паролей: плохие пароли легко угадать, надежные сложно запомнить, а все пароли могут быть украдены с помощью фишинговых атак. Хотя одноразовые коды могут обеспечить дополнительную защиту, они практически не используются и также могут быть подвергнуты фишингу. Что еще хуже, пароли широко используются повторно, поэтому успешная фишинговая атака может дать злоумышленнику доступ к нескольким веб-сайтам и устройствам, используемым жертвой.
WebAuthn стремится устранить эти проблемы, и Firefox 60 будет поставляться с включенным по умолчанию API WebAuthn, обеспечивающим двухфакторную аутентификацию, основанную на криптографии с открытым ключом, невосприимчивой к фишингу, который мы знаем сегодня. Он будет поддерживать аутентификацию с использованием стандартного USB-устройства FIDO U2F; многие из этих совместимых токенов продаются под такими именами, как Yubikey, U2F Zero и другие.
Представляя новую меру безопасности в блоге Mozilla, пишет Ник Нгуен.
В Firefox WebAuthn позволяет людям использовать одно устройство, такое как YubiKey, для входа в свои онлайн-аккаунты без ввода пароля или в качестве вторичной аутентификации после ввода пароля. Только веб-сайты, использующие WebAuthn, распознают ваш YubiKey и предоставят вам доступ. По сути, WebAuthn — это набор правил защиты от фишинга, использующий сложный уровень аутентификаторов и криптографии для защиты учетных записей пользователей. Он поддерживает различные аутентификаторы, такие как физические ключи безопасности сегодня и в будущих мобильных телефонах, или биометрические механизмы, такие как распознавание лиц или отпечатки пальцев. Когда ваш YubiKey подключен, веб-сайт прочитает его и автоматически войдет в ваши учетные записи.
На данный момент WebAuthn полагается на аппаратные ключи, такие как YubiKeys, либо сами по себе, либо вместе с паролями. В будущем он может использовать любое количество методов аутентификации, включая Windows Hello, идентификатор лица или отпечатка пальца, или даже PIN-терминал.
После того, как пользователь прошел аутентификацию на своей стороне, учетные данные не покидают его устройство — все, что видит веб-сайт, это подтверждение того, что аутентификация прошла успешно, поэтому красть нечего.
Firefox — первый браузер, поддерживающий WebAuthn, но он также появится в следующей версии Google Chrome, а также в Microsoft Edge. Это должно улучшить веб-аутентификацию по сравнению с предыдущими попытками поддержки технологии.