FIDO2 — Обходимся без паролей

Как часто вам приходилось вспоминать пароль, установленный вами ранее для учетной записи вебсайта или приложения? Вспомните, сколько попыток и времени было потрачено на ввод привычных комбинаций, в надежде найти именно ту, которая была указана в качестве пароля. К тому же, эти усилия могут отобрать еще больше вашего времени, когда вебсайт или приложение после очередной неудачной попытки попросит подтверждения в виде запроса «Я не робот!», где вам будет предложено решить пару увлекательных ребусов, головоломок или математических задачек. Что еще хуже, повторяющиеся попытки ввода неверного пароля могут привести даже к блокировке учетной записи. Несомненно, все эти действия предпринимаются онлайн сервисами для нашей же безопасности. Но кто сказал, что безопасность должна быть сложной и неудобной?

 

По статистике, 37% людей забывают пароль по крайней мере раз в неделю.

 

Конечно же, скажете вы, можно хранить все пароли в записной книжке, текстовом документе либо непосредственно в браузере или приложении, пользуясь опцией сохранения паролей. Однако, все эти варианты имеют огромные недостатки, связанные с безопасностью. Да и сама природа паролей и человеческий фактор ставят под угрозу защищенность информационных данных. Сложные пароли не так уязвимы перед взломом, как например, простые комбинации цифр и символов (наиболее популярные среди большинства пользователей), но даже самые сложные пароли могут быть похищены, в тот или иной способ. Имея в распоряжении ваш пароль, злоумышленник, по сути, получает полный контроль над определенным онлайн сервисом или приложением. Последствия такого нежелательного контроля могут быть весьма неприятными, и не только для пользователя, чей пароль был похищен. Возникает вопрос, не будет ли лучшим вариантом отказаться от паролей в пользу более удобных и безопасных решений?

 

Новый стандарт аутентификации от FIDO Alliance.

 

Информационные технологии являются наиболее стремительно развивающейся индустрией в мире. Не стоят на месте и средства обеспечения безопасности в киберпространстве. И помимо технических инноваций, эксперты в области защиты информации заботятся также и о комфорте пользователей, создавая решения, помогающие экономить время.

FIDO, сокращенно (Fast IDentity Online / Быстрая Авторизация Онлайн) — это технологический консорциум, основанный в 2013 году, для нахождения решений, которые помогают пользователям работать с устройствами надежной авторизации. Задачей данного консорциума является обеспечение простоты использования аппаратных устройств безопасности и создание стандартных наборов спецификаций, для разрешения конфликтов между устройствами разных производителей и лучшей поддержки этих устройств в приложениях и онлайн сервисах.

Новейший открытый стандарт аутентификации — FIDO2 —является прямым развитием двухфакторной аутентификации от FIDO U2F и основывается на использовании криптографической системы с открытым ключом при помощи аппаратных устройств безопасности, мобильных телефонов и считывателей биометрических данных. Благодаря этому стандарту, аппаратные ключи безопасности могут полностью заменить ненадежные, статические имена пользователей и пароли на более надежные аппаратные решения на основе открытых и закрытых ключей.

Открытость стандарта FIDO2 позволяет разрабатывать устройства безопасности, совместимые как с уже существующими приложениями и онлайн сервисами, так и с продуктами, которые появятся в будущем. Гибкость стандарта от FIDO Alliance обеспечивает работу устройств со многими типами коммуникаций, такими как USB, Bluetooth и NFC, что позволяет проводить авторизацию в одно касание — например, ключи серии YubiKey 5  или Security Key от компании Yubico.

Security Key

Security Key от Yubico

На данный момент, поддержка беспарольной аутентификации FIDO2 / WebAuthn уже имеется в:

  • Windows 10 (при помощи приложения Windows Hello), Microsoft Edge и Azure Active Directory
  • Google учетные записи и браузер Chrome (с версии 67)
  • Mozilla Firefox (с версии 60)

Разработка и внедрение стандарта активно ведется в топ онлайн сервисах и соцсетях, а в 2019 году ожидается значительный рост популярности использования статических паролей для авторизации.