Консорциум W3C (World Wide Web Consortium, Консорциум Всемирной паутины) и альянс FIDO (Fast IDentity Online) начали работу над Web Authentication (WebAuthn) еще в 2015 году. Напомню, что в частности данный API позволяет пользователям входить в Google, Facebook, Dropbox, GitHub и так далее при помощи аппаратных ключей YubiKey.

На базе FIDO 2.0 Web API был разработан WebAuthn, который обладает более широкими возможностями и в теории позволяет отказаться от использования паролей вообще. Так, WebAuthn предлагает использовать для аутентификации на сайтах и в приложениях аппаратные ключи, отпечатки пальцев, распознавание лиц, сканы радужной оболочки глаза и прочую биометрию.

Своеобразным «компаньоном» WebAuthn станет протокол Client to Authenticator (Client to Authenticator Protocol, CTAP). Как следует из названия, основная роль CTAP – это установление связи между браузером и сторонней системой аутентификации, к примеру, NFC или USB-ключом, сканером отпечатков пальцев в смартфоне или ноутбуке. Специалисты W3C объясняют, что для обеспечения работоспособности новой аутентификационной схемы оба API должны работать сообща.

Так как Google, Microsoft и Mozilla поддержат разработку, ожидается, что поддержка WebAuthn API появится в Chrome, Edge и Firefox в самом скором времени. Так, WebAuthn заработает в Chrome 67 и Firefox 60, чей релиз запланирован примерно на май 2018 года.

Ожидается, что эта разработка поможет защитить пользователей от фишинга, краж паролей и даже атак типа «человек по середине» (man-in-the-middle). Ведь ИБ-специалисты давно пришли к выводу, что использование паролей вряд ли можно назвать хорошей практикой.



6 комментариев

  1. Timofejj

    12.04.2018 at 01:23

    Опять пошла компания по идентификации личностей в сети. То что компании поддерживают или не поддерживаю, это их проблемы. Но последнее слово будет за пользователями. Как по мне так я против этого бреда.

  2. roman.rrv

    12.04.2018 at 10:00

    Два негативных момента:
    1. анонимность прощай, особенно если государство подтянет провайдеров
    2. появится новый вектор атак, так как огромное кол-во биометрических данных уже собрано в различных базах и теперь их начнут продавать, плюс кофе попил, карточкой рассчитался… все приплыл… отпечатки и фамилия уже есть у сотрудника ресторана

  3. Jeffrey Davis

    12.04.2018 at 11:09

    WebAuthn предлагает использовать для аутентификации на сайтах и в приложениях аппаратные ключи, отпечатки пальцев, распознавание лиц, сканы радужной оболочки глаза и прочую биометрию.

    …которые по законам одной особой страны (на её особом пути (и уровне) развития) должны будут храниться физически на серверах на её территории. Да-да со всеми паролями для расшифровки и дальнейшего применения.

  4. Mark0us

    15.04.2018 at 13:16

    Ну совсем не палятся. И как же сетчатка вместо пароля защитит от mim? Бред какой-то. Украдут не чисто пароль, а сигнатуру пальца или глаза. Клааассс.

  5. FedorovAleks90

    16.04.2018 at 08:05

    Смысл пароля в том, что его в любой момент можно сменить, особенно если БД сайта утекла хакерам.
    А вот отпечаток пальца и сетчатку глаза сменить сложнее. И их число ограничено.
    Опять же достать при желании отпечатки любого гражданина довольно просто даже злоумышленникам, а спецслужбам вообще без проблем.

  6. jvd

    20.04.2018 at 08:15

    Читайте внимательно. На первом месте аппаратные ключи, а уже потом биометрия. Не хотите биометрию — не используйте. Останутся и пароли. Массовая поддержка аппаратных ключей — это круто.

Оставить мнение