Пора забыть о паролях: новые стандарты идентификации FIDO2





Альянс FIDO опубликовал два новых стандарта проверки подлинности — Web Authentication (WebAuthn) и Client to Authenticator Protocol (CTAP), сообщает Threatpost.

Их назначение — обеспечить аутентификацию пользователей, не сохраняя пароли на сервере, то есть без удаленного обмена учетными данными.

Стандарт WebAuthn — это API, позволяющий создавать гибкие, надежные, защищенные идентификаторы на основе открытого ключа. Независимо от конкретного способа аутентификации пользователя на устройстве (отпечаток пальца, сетчатка глаза или другое) — Web Authentication примет его учетные данные и сообщит веб-приложению, что клиент распознан и проверен. При этом никакие личные сведения на сервер не передаются, конфиденциальность сохраняется, а вероятность перехвата или взлома пароля сведена к нулю.

Проверка подлинности в стандарте WebAuthn достигается взаимодействием нескольких совместимых аутентификаторов — таких как доверенный апплет, SE (защищенные элементы), TPM (доверенные модули платформы) и другие компоненты, работающие в пользовательской среде. Также возможна идентификация при помощи внешних устройств с USB, Bluetooth или NFC, для них разработан второй стандарт — CTAP. По сути, это протокол прикладного уровня, обслуживающий коммуникацию между аутентификатором и другим клиентом с готовыми транспортными привязками.

Беспарольные стандарты проверки подлинности, созданные FIDO и W3C (World Wide Web), находятся на заключительном этапе утверждения — Candidate Recommendation (CR). Аутентификация по методу WebAuthn и CTAP (так называемый проект FIDO2) уже одобрена Google, Microsoft и Mozilla и внедрена для платформ Windows, Mac, Linux, Android и Chrome OS.

Реализация FIDO2 означает, что в браузеры и web-платформы будут встроены API WebAuthn, а CTAP обеспечит передачу аутентификационных данных через USB, Bluetooth или NFC на подключенное к Интернету устройство (смартфон, ноутбук или ПК). Идентификация без пароля на основе открытого ключа делает невозможной ситуацию, когда украденный на одном сайте логин используется на другом.

Пока оба стандарта реализуются преимущественно на уровне браузеров, однако ожидается, что Windows 10 и Android также будут поставляться со встроенной идентификацией нового типа.

Уже известно, что первыми браузерами с поддержкой WebAuthn станут Chrome 67 и Firefox 60, выпуск которых ожидается в мае.

Автор: Softodrom.ru
Дата:


» Оставьте первым свой комментарий


Новости > Безопасность > Пора забыть о паролях: новые стандарты идентификации FIDO2
Все рубрики статей:
Топ-сегодня: Безопасность
Google отключила возможность обхода блокировок через ее домен
Нововведение Google угрожает нарушить работу сервисов, которые позволяют обходить цензуру в Сети
Медведев утвердил правила хранения записей разговоров и переписки россиян
Утверждены правила хранения операторами связи текстовых сообщений и записей разговоров россиян (а также пересылаемых ими изображений, аудио- и видеозаписей), собранных в рамках реализации закона Яровой
В Android P протокол TLS будет использоваться по умолчанию
В новой версии ОС Android, известной под кодовым названием Android P, все входящие и исходящие соединения будут осуществляться через протокол TLS
Android-троянец из Google Play подписывает пользователей на платные мобильные услуги
Подключение ненужных контент-услуг – один из самых распространенных и давно известных способов незаконного заработка злоумышленников
Как узнать емейл человека?
На этот раз мы обсудим проблему приватности и безопасности применительно к задаче поиска адреса электронной почты нужного нам человека
Новые статьи: Безопасность
Медведев утвердил правила хранения записей разговоров и переписки россиян
Утверждены правила хранения операторами связи текстовых сообщений и записей разговоров россиян (а также пересылаемых ими изображений, аудио- и видеозаписей), собранных в рамках реализации закона Яровой
В Android P протокол TLS будет использоваться по умолчанию
В новой версии ОС Android, известной под кодовым названием Android P, все входящие и исходящие соединения будут осуществляться через протокол TLS
Google отключила возможность обхода блокировок через ее домен
Нововведение Google угрожает нарушить работу сервисов, которые позволяют обходить цензуру в Сети
Лидер «Шалтая-Болтая» попросил заменить оставшийся срок штрафом
Хакерам вменялся взлом электронной почты шести человек, в том числе пресс-секретаря премьер-министра РФ Натальи Тимаковой
Android-троянец из Google Play подписывает пользователей на платные мобильные услуги
Подключение ненужных контент-услуг – один из самых распространенных и давно известных способов незаконного заработка злоумышленников

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2018 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».