Пора забыть о паролях: новые стандарты идентификации FIDO2




Альянс FIDO опубликовал два новых стандарта проверки подлинности — Web Authentication (WebAuthn) и Client to Authenticator Protocol (CTAP), сообщает Threatpost.

Их назначение — обеспечить аутентификацию пользователей, не сохраняя пароли на сервере, то есть без удаленного обмена учетными данными.

Стандарт WebAuthn — это API, позволяющий создавать гибкие, надежные, защищенные идентификаторы на основе открытого ключа. Независимо от конкретного способа аутентификации пользователя на устройстве (отпечаток пальца, сетчатка глаза или другое) — Web Authentication примет его учетные данные и сообщит веб-приложению, что клиент распознан и проверен. При этом никакие личные сведения на сервер не передаются, конфиденциальность сохраняется, а вероятность перехвата или взлома пароля сведена к нулю.

Проверка подлинности в стандарте WebAuthn достигается взаимодействием нескольких совместимых аутентификаторов — таких как доверенный апплет, SE (защищенные элементы), TPM (доверенные модули платформы) и другие компоненты, работающие в пользовательской среде. Также возможна идентификация при помощи внешних устройств с USB, Bluetooth или NFC, для них разработан второй стандарт — CTAP. По сути, это протокол прикладного уровня, обслуживающий коммуникацию между аутентификатором и другим клиентом с готовыми транспортными привязками.

Беспарольные стандарты проверки подлинности, созданные FIDO и W3C (World Wide Web), находятся на заключительном этапе утверждения — Candidate Recommendation (CR). Аутентификация по методу WebAuthn и CTAP (так называемый проект FIDO2) уже одобрена Google, Microsoft и Mozilla и внедрена для платформ Windows, Mac, Linux, Android и Chrome OS.

Реализация FIDO2 означает, что в браузеры и web-платформы будут встроены API WebAuthn, а CTAP обеспечит передачу аутентификационных данных через USB, Bluetooth или NFC на подключенное к Интернету устройство (смартфон, ноутбук или ПК). Идентификация без пароля на основе открытого ключа делает невозможной ситуацию, когда украденный на одном сайте логин используется на другом.

Пока оба стандарта реализуются преимущественно на уровне браузеров, однако ожидается, что Windows 10 и Android также будут поставляться со встроенной идентификацией нового типа.

Уже известно, что первыми браузерами с поддержкой WebAuthn станут Chrome 67 и Firefox 60, выпуск которых ожидается в мае.

Автор: Softodrom.ru
Дата:
» Оставьте первым свой комментарий

Новости > Безопасность > Пора забыть о паролях: новые стандарты идентификации FIDO2
Все рубрики статей:
Топ-сегодня: Безопасность
Как удалить данные без возможности восстановления
Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить
Минобороны РФ ищет специалистов по реверс-инжинирингу
Центр специальных разработок Министерства обороны РФ ищет инженеров по анализу исходного кода
Как узнать емейл человека?
На этот раз мы обсудим проблему приватности и безопасности применительно к задаче поиска адреса электронной почты нужного нам человека
Как найти аккаунты человека в Интернете
К примеру, предположим, что мы хотим выяснить, зарегистрирован ли тот или иной человек в каких-либо соцсетях
Как скачать антивирус, если ПК заражен вирусом Downadup
О том, как скачать антивирус, если компьютер заражен вирусом Downadup (он же Conficker и Kido)
Новые статьи: Безопасность
Как браузер помогает товарищу майору
При скачивании файлов из Интернета в расширенных атрибутах файла записывается ссылка на то, откуда он был скачан
В Новокузнецке поймали администратора крупного ботнета
Задержанному предъявлено обвинение по ч. 1 ст. 273 УК РФ (создание, использование и распространение вредоносных компьютерных программ)
Уязвимость в реестре Роскомнадзора стала инструментом атаки на «Яндекс»
Злоумышленники провели DNS-атаки на ряд крупных российских ресурсов, одним из основных пострадавших стал «Яндекс»
Хакеры разочаровались в биткойнах
При этом существенно возросла роль социальной инженерии как в атаках на организации, так и в отношении частных лиц
Троян PirateMatryoshka атакует пиратов
Скачанные файлы устанавливают на компьютер жертвы рекламное ПО и пытаются похитить ее аккаунт, чтобы создать на трекере новые раздачи

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».