Пора забыть о паролях: новые стандарты идентификации FIDO2





Альянс FIDO опубликовал два новых стандарта проверки подлинности — Web Authentication (WebAuthn) и Client to Authenticator Protocol (CTAP), сообщает Threatpost.

Их назначение — обеспечить аутентификацию пользователей, не сохраняя пароли на сервере, то есть без удаленного обмена учетными данными.

Стандарт WebAuthn — это API, позволяющий создавать гибкие, надежные, защищенные идентификаторы на основе открытого ключа. Независимо от конкретного способа аутентификации пользователя на устройстве (отпечаток пальца, сетчатка глаза или другое) — Web Authentication примет его учетные данные и сообщит веб-приложению, что клиент распознан и проверен. При этом никакие личные сведения на сервер не передаются, конфиденциальность сохраняется, а вероятность перехвата или взлома пароля сведена к нулю.

Проверка подлинности в стандарте WebAuthn достигается взаимодействием нескольких совместимых аутентификаторов — таких как доверенный апплет, SE (защищенные элементы), TPM (доверенные модули платформы) и другие компоненты, работающие в пользовательской среде. Также возможна идентификация при помощи внешних устройств с USB, Bluetooth или NFC, для них разработан второй стандарт — CTAP. По сути, это протокол прикладного уровня, обслуживающий коммуникацию между аутентификатором и другим клиентом с готовыми транспортными привязками.

Беспарольные стандарты проверки подлинности, созданные FIDO и W3C (World Wide Web), находятся на заключительном этапе утверждения — Candidate Recommendation (CR). Аутентификация по методу WebAuthn и CTAP (так называемый проект FIDO2) уже одобрена Google, Microsoft и Mozilla и внедрена для платформ Windows, Mac, Linux, Android и Chrome OS.

Реализация FIDO2 означает, что в браузеры и web-платформы будут встроены API WebAuthn, а CTAP обеспечит передачу аутентификационных данных через USB, Bluetooth или NFC на подключенное к Интернету устройство (смартфон, ноутбук или ПК). Идентификация без пароля на основе открытого ключа делает невозможной ситуацию, когда украденный на одном сайте логин используется на другом.

Пока оба стандарта реализуются преимущественно на уровне браузеров, однако ожидается, что Windows 10 и Android также будут поставляться со встроенной идентификацией нового типа.

Уже известно, что первыми браузерами с поддержкой WebAuthn станут Chrome 67 и Firefox 60, выпуск которых ожидается в мае.

Автор: Softodrom.ru
Дата:


» Оставьте первым свой комментарий


Новости > Безопасность > Пора забыть о паролях: новые стандарты идентификации FIDO2
Все рубрики статей:
Топ-сегодня: Безопасность
Уязвимость движка WebKit вызывает перезагрузку iOS-устройств
В движке WebKit обнаружен баг, способный привести к перезагрузке iPhone и зависанию компьютеров на macOS
НАТО готово ответить на «кибератаки из России‍»
Согласно пятой статье устава НАТО, вооруженное нападение на одну из сторон или несколько из них в Европе или Северной Америке будет рассматриваться как нападение на них в целом
США включили Россию в список главных киберугроз
Включение России в список главных киберугроз США может негативно отразиться на развитии отечественной IT-отрасли
Как удалить данные без возможности восстановления
Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить
В России работают над новым механизмом идентификации в Интернете
Сегодня существует электронная подпись, но это долго, сложно, дорого и неудобно
Новые статьи: Безопасность
Уязвимость движка WebKit вызывает перезагрузку iOS-устройств
В движке WebKit обнаружен баг, способный привести к перезагрузке iPhone и зависанию компьютеров на macOS
США включили Россию в список главных киберугроз
Включение России в список главных киберугроз США может негативно отразиться на развитии отечественной IT-отрасли
НАТО готово ответить на «кибератаки из России‍»
Согласно пятой статье устава НАТО, вооруженное нападение на одну из сторон или несколько из них в Европе или Северной Америке будет рассматриваться как нападение на них в целом
Популярные Android-приложения оказались полны уязвимостей
Проблемы заключаются в непропатченном открытом коде, на основе которого создается около 90% современного ПО
Информацию об уязвимости в Tor продали правительственному заказчику
Уязвимость в Tor оставалась незакрытой несколько месяцев, эксплойт был обнаружен в ходе программы по отлову багов

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2018 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».