На днях Альянс FIDO опубликовал два новых стандарта проверки подлинности — Web Authentication (WebAuthn) и Client to Authenticator Protocol (CTAP). Их назначение — обеспечить аутентификацию пользователей, не сохраняя пароли на сервере, то есть без удаленного обмена учетными данными.
Стандарт WebAuthn — это API, позволяющий создавать гибкие, надежные, защищенные идентификаторы на основе открытого ключа. Независимо от конкретного способа аутентификации пользователя на устройстве (отпечаток пальца, сетчатка глаза или другое) — Web Authentication примет его учетные данные и сообщит веб-приложению, что клиент распознан и проверен. При этом никакие личные сведения на сервер не передаются, конфиденциальность сохраняется, а вероятность перехвата или взлома пароля сведена к нулю.
Проверка подлинности в стандарте WebAuthn достигается взаимодействием нескольких совместимых аутентификаторов — таких как доверенный апплет, SE (защищенные элементы), TPM (доверенные модули платформы) и другие компоненты, работающие в пользовательской среде. Также возможна идентификация при помощи внешних устройств с USB, Bluetooth или NFC, для них разработан второй стандарт — CTAP. По сути, это протокол прикладного уровня, обслуживающий коммуникацию между аутентификатором и другим клиентом с готовыми транспортными привязками.
Беспарольные стандарты проверки подлинности, созданные FIDO и W3C (World Wide Web), находятся на заключительном этапе утверждения — Candidate Recommendation (CR). Аутентификация по методу WebAuthn и CTAP (так называемый проект FIDO2) уже одобрена Google, Microsoft и Mozilla и внедрена для платформ Windows, Mac, Linux, Android и Chrome OS.
Реализация FIDO2 означает, что в браузеры и web-платформы будут встроены API WebAuthn, а CTAP обеспечит передачу аутентификационных данных через USB, Bluetooth или NFC на подключенное к Интернету устройство (смартфон, ноутбук или ПК). Идентификация без пароля на основе открытого ключа делает невозможной ситуацию, когда украденный на одном сайте логин используется на другом. Исполнительный директор FIDO Бретт Макдауэлл (Brett McDowell) подчеркнул, что после многолетней борьбы с утечками учетных данных настало время устойчивой к фишингу и MitM-атакам модели аутентификации для всех сайтов и приложений. Только недавно ИБ-эксперты опубликовали отчет, наглядно демонстрирующий, что кража паролей с мобильных устройств устойчиво набирает обороты.
Согласно сообщению представителей альянса, в ближайшее время начнется тестирование на совместимость и выдача сертификатов FIDO2, и соответствующие инструменты уже выложены на официальном сайте. Пока оба стандарта реализуются преимущественно на уровне браузеров, однако ожидается, что Windows 10 и Android также будут поставляться со встроенной идентификацией нового типа. Что касается использования FIDO2 с существующими FIDO UAF и FIDO U2F — как обычно, имеет место обратная совместимость.
Уже известно, что первыми браузерами с поддержкой WebAuthn станут Chrome 67 и Firefox 60, выпуск которых ожидается в мае. Информации о нововведениях в Safari от Apple пока нет.