Будущее за аппаратными ключами безопасности

Новые технологии аутентификации: Apple постепенно откажется от паролей

Разработчиками Safari в обновленный браузер была добавлена экспериментальная поддержка аппаратных ключей безопасности, подключение которых происходит через USB-носитель. Большинство современных браузеров («Мозилла», «Гугл», «Майкрософт») уже работают с этим стандартом аутентификации. Эксперты отмечают, что надежность аппаратных ключей безопасности выше, чем у традиционных паролей.

Экспериментальная поддержка стандарта аутентификации без пароля Web Authentication (WebAuthn) была разработана командой Apple, занимающейся движком WebKit. Теперь для выполнения аутентификации на веб-ресурсе не нужно будет вводить пароль. Достаточно использования аппаратного ключа безопасности, который подключается по USB. Инновация представлена в в превью Safari 71 для macOS.

С поддержкой WebAuthn работает протокол Client to Authenticator Protocol (CTAP), позволяющий аппаратным ключам, выполненным по технологии FIDO, генерировать идентификацинные криптографические ключи. Протокол CTAP2 также известен как FIDO2. При этом разработчики пока тестируют новое добавление – окончательная версия браузера может быть выпущена как с данной поддержкой, так и без нее.

Safari для macOS имеет поддержку аппаратных ключей, которые подключаются через порт USB. Разработаны данные ключи и для порта Lightning, используемого в устройствах iPhone и iPad. Применение технологии FIDO2 дает возможность осуществить аппаратных ключей безопасности по Bluetooth, но на этот момент Safari не поддерживает такой опции.

Применение поддержки

WebAuthn на разном уровне поддерживают Mozilla Firefox, Google Chrome и Microsoft Edge на разных уровнях поддерживают рассмотренный продукт. Впервые данная поддержка была реализована в мае 2018 г. в браузере «Мозилла», затем технологию стали использовать другие браузеры.

В частности, сборка 1809 Windows 10 (последняя версия ОС), предусматривает возможность использования браузера Edge для авторизации в Office 365, Outlook.com, Skype и OneDrive через USB-ключ, выполненный на базе протокола FIDO2. Dropbox, GitHub, Google, Facebook также поддерживают технологию WebAuthn.

Как это работает

Использование аппаратных ключей рассматривается как второй шаг при выполнении двухфакторной аутентификации. Например, двухфакторная аутентификация аккаунта Google предусматривает включение в процесс сгенерированных ресурсом ключей Titan Security Key или других ключей FIDO2.

При этом пароль может быть первым шагом аутентификации, а ключ – вторым. Такая система существенно повышает защищенность персональных данных пользователей – для взлома аккаунта злоумышленнику недостаточно подобрать пароль, но и похитить USB-ключ. Использование аппаратных ключей считается более надежным методом аутентификации, чем ввод разового кода безопасности, который присылается по смс – перехват таких кодов случается достаточно часто.

Подписывайтесь на наш канал в Яндекс Дзен