Традиционные методы аутентификации на основе паролей, которые когда-то считались краеугольным камнем онлайн-безопасности, все чаще оказываются несостоятельными перед лицом изощренных кибератак. Зачастую первым препятствием на пути пользователя становится пароль для входа в систему. Мало того, что создание и управление паролями доставляет массу неудобств, так еще и пароль для входа в систему, как известно, уязвим для утечки данных.
Для решения этой проблемы Альянс FIDO (Fast Identity Online) находится в авангарде революционного движения в области онлайн-безопасности, направленного на изменение протоколов аутентификации. В связи с участившимися случаями утечки данных, Альянс FIDO разработал протоколы аутентификации, также известные как FIDO-аутентификация, для обеспечения большей безопасности для частных лиц и предприятий.
Что такое аутентификация FIDO?
FIDO2 – это глобальный стандарт аутентификации, созданный для уменьшения использования паролей. В нем используется криптография с открытым ключом – метод шифрования, использующий пары криптографических ключей для аутентификации пользователей, – для создания более безопасной и удобной альтернативы традиционным паролям и одноразовым кодам (OTP), отправляемым по SMS.
С помощью аутентификации FIDO традиционные методы аутентификации, такие как пароли, хранящиеся на серверах, SMS OTP и аутентификация на основе знаний (KBA), заменяются аутентификацией на устройстве. FIDO гарантирует, что данные аутентификации, такие как приватные криптографические ключи, будут храниться на устройстве пользователя, а не на сервере. Независимо от того, является ли пользователь клиентом или сотрудником, он может пройти аутентификацию с помощью криптографических учетных данных, которые разблокируются локально с помощью безопасных механизмов, таких как биометрия (например, распознавание отпечатков пальцев или лица) или PIN-код. Такой подход повышает безопасность и устраняет риски, связанные с централизованным хранением учетных данных и традиционными системами на основе паролей.
Аутентификация FIDO представляет собой взаимодействующую и стандартизированную экосистему аутентификаторов. С ее помощью организации могут внедрять строгую аутентификацию (также известную как многофакторная аутентификация или MFA) для входа в систему без дополнительных затрат на внутреннюю разработку.
Представляем ключи FIDO2
Наличие ключей FIDO2 означает отход от традиционных методов аутентификации на основе паролей. Ключи FIDO2 предлагают решение для аутентификации без пароля, которое отличается высокой степенью безопасности и удобством для пользователя.
Как и в аутентификации FIDO, в ключах доступа FIDO2 используется криптография с открытым ключом. При создании ключа доступа FIDO2 генерируется уникальная пара ключей: открытый ключ, который передается онлайн-сервису и надежно хранится в нем, и закрытый ключ, который надежно хранится на устройстве пользователя. Закрытый ключ никогда не передается и не раскрывается, обеспечивая надежную защиту от фишинга и утечки учетных данных на стороне сервера.
Во время аутентификации пользовательское устройство подписывает уникальный запрос, выданный службой, используя закрытый ключ, надежно хранящийся на устройстве. Служба проверяет подлинность подписанного запроса с помощью открытого ключа, хранящегося на ее сервере. Этот беспарольный процесс устраняет необходимость в использовании традиционных паролей и обеспечивает надежную защиту от фишинга, гарантируя, что аутентификация может быть выполнена только с помощью конкретной службы, выдавшей запрос. Это значительно снижает риск несанкционированного доступа и кражи учетных данных.
Борьба с социальной инженерией с помощью устойчивых к фишингу ключей FIDO2
Ключи FIDO2 широко известны как золотой стандарт защиты сотрудников и клиентов от фишинговых атак. Даже если злоумышленник пытается обмануть пользователя через фишинговый веб-сайт или электронную почту, криптографическая конструкция ключей FIDO2 гарантирует, что конфиденциальная информация об аутентификации не может быть перехвачена или использована не по назначению.
В эпоху, когда мошенники используют генеративный искусственный интеллект и машинное обучение для создания все более изощренных и целенаправленных фишинговых кампаний, ключи доступа FIDO2 остаются устойчивыми. Благодаря использованию криптографии с открытым ключом они изначально устойчивы к автоматическим попыткам фишинга. Кроме того, ключи FIDO2 можно настроить таким образом, чтобы они требовали взаимодействия с пользователем – например, биометрии или ввода PIN-кода – в момент аутентификации, что предотвращает использование вредоносными ботами.
Снижая риск фишинговых атак, ключи FIDO2 значительно повышают уровень безопасности в Интернете, обеспечивая бесперебойную работу пользователей. Это делает их незаменимым инструментом для предприятий и государственных организаций, стремящихся обеспечить безопасность цифровых систем и душевное спокойствие.
Преимущества ключей FIDO2
Помимо снижения риска несанкционированного доступа, ключи FIDO2 обладают следующими преимуществами:
- Повышенная безопасность: Аутентификаторы FIDO2 гарантируют, что криптографические учетные данные для входа в систему уникальны для каждого веб-сайта, остаются на устройстве пользователя и никогда не хранятся на сервере. Такой подход предотвращает фишинг, кражу паролей, подстановку учетных данных и атаки повторного воспроизведения.
- Удобство: Пользователи могут проходить аутентификацию с помощью простых встроенных методов, таких как считывание отпечатков пальцев или распознавание лиц, или с помощью ключей безопасности FIDO, разработанных с учетом индивидуальных предпочтений. Пользователям не нужно запоминать сложные пароли.
- Конфиденциальность: Аутентификация FIDO обеспечивает конфиденциальность, гарантируя, что криптографические ключи привязаны к конкретному сайту, что предотвращает межсайтовое отслеживание. При использовании биометрии данные не покидают устройство пользователя.
- Совместимость: Ключи доступа FIDO2 поддерживаются все большим количеством онлайн-сервисов и платформ, что делает их универсальным решением аутентификации как для потребителей, так и для предприятий.
- Масштабируемость: Включение ключей FIDO2 на веб-сайтах очень простое, для этого требуется всего лишь простой вызов API JavaScript. Это решение поддерживается ведущими браузерами и платформами, что делает его доступным на миллиардах устройств по всему миру.
Как работают ключи доступа FIDO2 и беспарольная аутентификация с WebAuthn CTAP
FIDO2 объединяет спецификации W3C (World Wide Web Consortium), Web Authentication (WebAuthn) и FIDO Alliance’s Client-to-Authenticator Protocol (CTAP). Вместе эти спецификации позволяют ключам FIDO2 легко интегрироваться в рабочие процессы аутентификации на основе веб-технологий. В результате обеспечивается безопасный, простой и масштабируемый процесс аутентификации.
W3C, WebAuthn и CTAP работают вместе по следующим направлениям:
- WebAuthn обеспечивает аутентификацию без пароля в Интернете, устраняя зависимость от паролей и повышая безопасность. WebAuthn – это стандарт W3C, реализованный в основных веб-браузерах, таких как Microsoft Edge, Google Chrome и Apple Safari. Он определяет веб-интерфейс API для создания и использования надежных учетных данных на основе открытых ключей для аутентификации пользователей.
С помощью WebAuthn веб-сайты могут запрашивать и получать криптографические учетные данные (пары открытых и закрытых ключей) от аутентификаторов FIDO2 во время регистрации пользователей. Во время аутентификации WebAuthn позволяет веб-сайтам вызывать пользователей, отправляя криптографический вызов аутентификатору, который устройство пользователя подписывает закрытым ключом и отправляет обратно на веб-сайт для проверки.
- Протокол CTAP (Client-to-Authenticator Protocol) разработан FIDO Alliance и обеспечивает связь между клиентскими устройствами, такими как компьютеры или мобильные устройства, и устройствами-аутентификаторами, такими как USB-ключи безопасности или биометрические датчики. CTAP отвечает за обмен данными между устройством пользователя (клиентом) и аутентификатором FIDO2 во время операций аутентификации. Когда веб-сайт инициирует запрос на аутентификацию WebAuthn, клиентское устройство связывается с аутентификатором FIDO2 с помощью CTAP для выполнения необходимых криптографических операций.
Аутентификация FIDO2 от OneSpan
Являясь членом правления FIDO Alliance и активным участником многочисленных рабочих групп FIDO2, компания OneSpan участвует в инициативе FIDO по стандартизации индустрии аутентификации. Последние дополнения OneSpan к портфелю ключей FIDO2 – это:
- DIGIPASS FX1 BIO: Этот современный физический пропуск со сканером отпечатков пальцев позволяет организациям использовать беспарольную аутентификацию и обеспечивает надежную защиту от атак социальной инженерии и захвата учетной записи.
- DIGIPASS FX7: Этот простой и удобный в использовании аутентификатор с поддержкой FIDO2, устойчивый к фишингу, защищает организации от атак социальной инженерии и ATO. Он также предлагает улучшенную работу с пользователями, позволяя работать из любого места и в любое время на любом устройстве.
OneSpan также предлагает все возможности FIDO в составе OneSpan Mobile Security Suite. Это означает, что организации могут внедрить беспарольную аутентификацию для улучшения качества обслуживания клиентов и сотрудников. Заменив статические пароли современными возможностями, такими как биометрия, организации также могут защитить свои мобильные приложения от фишинга, атак «противник посередине» и атак повторного воспроизведения.
Сертифицированные FIDO методы аутентификации поддерживаются «из коробки» и могут работать с любыми пользовательскими устройствами (iOS и Android), операционными системами и аутентификаторами. Это дает организациям и поставщикам услуг гибкие возможности выбора подхода к беспарольной аутентификации.
Источник: Transforming online security with FIDO2 passkeys and passwordless authentication
