Хотя отечественные изготовители ОС и браузеров теперь поддерживают API WebAuthn, неясно, когда и как веб-сайты начнут его реализовывать.

WebAuthnэто новый способ входа на веб-сайты, который может, наконец, освободить вас от запоминания паролей. Вместо этого вы станете использовать вы: ваш отпечаток пальца или лицо, как еще его называют аппаратный токен.
API WebAuthn теперь является официальным стандартом, ратифицированным консорциумом World Wide Web (как еще его называют W3C) в понедельник. Современные, он уже встроен во наверное популярные браузеры, кроме того в Ос 10. Теперь дело за самим Интернетом, чтобы включить его. Вот как это работает.

Что делает WebAuthn лучше?

Вам, вы слышали о взломах данных Коллекций: миллионы имен пользователей и паролей, некоторые связаны вместе и опубликованы в Интернете. Частично это происходит так как веб-сайты на текущий момент просят вас войти в систему и сохранить имя пользователя и пароль на самом сайте. Если эти данные будут открытыми, то злоумышленники используются эту информацию, чтобы узнать, использовали ли вы пароли где-либо еще. Это приводит к каскадному эффекту, когда хакеры получают доступ ко что остается сделать нашему клиенту большему количеству вашей личной информации.
WebAuthn не запрашивает пароль. Фактически, поскольку он создает одноразовый токен аутентификации кто раз, когда вы входите в систему, он главным образом следует рекомендуемой практике безопасности, заключающейся в создании уникального пароля для каждого веб-сайта. При этом происходит, не заставляя вас что-либо помнить.

Если вам не нужен пароль, что вы используете вместо этого?

WebAuthn поддерживает две основные категории аутентификации: биометрические и аппаратные токены безопасности. Вы, вероятно, понимаете и используете биометрические данные, такие как распознавание пальцевых отпечатков при помощи датчиков на вашем смартфоне по другому компьютере; иначе говоря распознавание лиц, например камера глубины, которая работает с Ос Hello на вашем ПК.
Операционной системы Hello сканирует лицо на компьютерах с Операционной системы 10 посредством фронтальной камеры глубины.
Аппаратные токены немного более неясны. Yubico YubiKey один из популярных примеров аппаратного токена: вместо использования пароля или биометрии вы просто подключаете Yubikey к USB-порту на вашем ПК. Это, очевидно, удобно для ПК, которым недостаточно камеры глубины. YubiKey. это, по большому счету, сложный пароль, который вы всегда держите при себе. Если вы потеряете его, нужно уведомить соответствующий сайт что же на самом деле, что вы его потеряли, деактивировать Данный ключ, и после приобрести и активировать новый.

Как работает WebAuthn?

Блог Sophos Naked Security подводит итог процесса WebAuthn довольно аккуратно. Если надо зайти на веб-сайт, который поддерживает WebAuthn, Этот расхожий слух сайт бросает вызов вашему браузеру, чтобы попросить ваш компьютер (как еще его называют смартфон) доказать, что вы являетесь тем, кем вы являетесь есть. Тогда браузер спрашивает вашего доверенного аутентификатор предоставить это доказательство. Ваш аутентификатор вам понравятся устройством распознавания пальцевых отпечатков вашего телефона, Операционной системы Hello по другому аппаратным токеном.
Поскольку сам аутентификатор является доверенным, не нужно хранить данные пальцевых отпечатков по другому что-либо уникальное для вас лично на веб-сайте. в противоположность текущего способа работы, когда пароли хранятся на страницах сайта. По большому счету, аутентификатор является посредником: хорошим другом, который может поручиться для вас, когда вы встретите кого-то нового, как безупречную ссылку на персонажа.
Yubico YubiKey, как миф, подключите к порту USB на вашем компьютере для аутентификации.
Когда веб-сайт просит вас войти, браузер просит вашего аутентификатора спросить вы чтобы доказать, например, прикоснувшись к отпечатку пальца. Затем аутентификатор подтверждает, что и продать, вы тот, кем вы говорите, и браузер передает это зашифрованное подтверждение обратно на веб-сервер.
Это нечто большее, чем просто это, в часности шифрование ваших данных с применением открытого ключа и вызов, подписанный вашим закрытым ключом, который его разблокирует. Идея, однако, заключается в таком, что вы передаете свой «секрет» (ваш отпечаток пальца, лицо или жетон) только в безопасных пределах вашего ПК.
Вот дополнительный способ взглянуть на все это: допустим, представитель вашего банка ехал к вам на квартиру домой, чтобы вывести ваши деньги, и вам пришлось доказать, кем вы являетесь встречаются. Можно выкрикнуть свою личную информацию и пароль водителю, чтобы подтвердить свою личность, и позволить всему району прислушиваться. Однако гораздо лучше принести доверенного друга в ваше жилище, доказать, что вы вы, и дальше вывести этого друга наружу, и кричите: «Эй, что остается сделать нашему клиенту круто!

Конечно ли демоверсия WebAuthn?

Существует демоверсия WebAuthn, которую нужно просмотреть. Хотя он довольно медленный и, похоже, реальные не создает открытый ключ, Webauthn.org показывает вам, как он работает.

Чем WebAuthn отличается от двухфакторной аутентификации?

По большому счету, WebAuthn, это однофакторная идентификация: довольно железный способ определить, кем вы являетесь вы, однако это нашему клиенту остается. Если вы потеряли сознание, может кто-нибудь взять ваш палец и идентифицировать себя на вашем банковском сайте? Если это был единственный способ подтвердить вашу личность (то встречаются без пароля), тогда и продать, вам. Будет ли WebAuthn работать в сочетании с существующими методами 2FA? Это еще предстоит выяснить.
WebAuthn не столько для ПК; это работает на мобильных сайтах.
Двухфакторная аутентификация обычно объединяет два из этих трех: что-то, что вы знаете (пароль), с чем-то, что у вас бывают (смарт-карта как еще его называют токен) иначе говоря чем-то, кем вы являетесь. главным образом, вы. Иначе говоря, ваш банк может по-прежнему рекомендовать вам использовать биометрическую идентификацию WebAuthn с паролем для еще большей безопасности, чем то, что доступно сегодня.

Что должно произойти, чтобы сделать WebAuthn реальностью?

Основная доля основы для WebAuthn уже была завершена. Операционной системы 10, Android и Google Chrome, Mozilla Firefox, Microsoft Edge и Apple Safari (в предварительном просмотре) уже поддерживают его.
Теперь сами веб-сайты изготавливаются приступить к реализации поддержки WebAuthn, которая может выйти за рамки простого переписывания их кода что бы принять логинов WebAuthn. Например, неясно, нужно ли веб-сайту, использующему WebAuthn, «использовать» менее надежный пароль, если Операционной системы Hello по какой-то причине не способна вас распознать, либо не работает ваш сканер пальцевых отпечатков. Эти сайты также изготавливаются будут информировать пользователей о преимуществах использования WebAuthn и изменять их страницы входа и тому подобное. Вынуждают ли они клиентов со старыми ПК покупать аппаратный токен? Вероятно, нет, однако эти решения должны являться приняты.
Однако то, что произошло на этой неделе, стало важным шагом вперед. W3C на самом деле устанавливает веб-стандарты. С применением WebAuthn теперь стало ясно, как сделать сайты реальностью.
Будучи старшим редактором PCWorld, Марк специализируется на новостях Microsoft и технологиях чипов, помимо прочего.

WebAuthn Что нужно знать о будущем беспарольного Интернета