Apple приступила к убийству паролей в интернете

Безопасность Стратегия безопасности Пользователю Техника
мобильная версия
, Текст: Валерия Шмырова

Разработчики Safari добавили в последнюю версию браузера экспериментальную поддержку аппаратных ключей безопасности, подключаемых по USB. Браузеры Mozilla, Google и Microsoft уже поддерживают этот стандарт аутентификации. Аппаратные ключи безопасности считаются более надежными, чем пароли.


Новшество в Safari

Команда Apple по работе с движком WebKit добавила в браузер Safari экспериментальную поддержку стандарта беспарольной аутентификации Web Authentication, или просто WebAuthn. По этому стандарту, чтобы залогиниться на сайте, нужен не пароль, а аппаратный ключ безопасности, подключаемый по USB. Новшество появилось в превью версии 71 браузера Safari для macOS.

WebAuthn работает с протоколом Client to Authenticator Protocol (CTAP), с помощью которого аппаратные ключи безопасности, выполненные по технологии FIDO, генерируют пары криптографических ключей для аутентификации на веб-сайте. CTAP2 также называют FIDO2.

«Добавленнная нами Web Authentication — это экспериментальная функция с поддержкой устройств CTAP2, подключаемых по USB», — поясняет команда WebKit в комментариях к релизу 71. Это не является гарантией, что такая функция приживется в окончательном варианте браузера.

В Safari для macOS была добавлена поддержка аппаратных ключей, подключаемых именно через порт USB. В целом же такие ключи существуют и для порта Lightning, который используется в iPhone и iPad. Технология FIDO2 позволяет также подключать аппаратный ключ безопасности по Bluetooth, но до этого команда Apple в своих экспериментах с Safari пока не дошла.

Кто еще поддерживает WebAuthn

WebAuthn на разном уровне поддерживают Mozilla Firefox, Google Chrome и Microsoft Edge. Первой такую поддержку реализовала в мае 2018 г. Mozilla, затем Google и, наконец, Microsoft.

psw600.jpg
Аппаратный ключ безопасности YubiKey, созданный компанией Yubico

Например, в сборке 1809 Windows 10, то есть в последней версии этой ОС, пользователи могут использовать браузер Edge для авторизации в Office 365, Outlook.com, Skype и OneDrive с помощью USB-ключа протокола FIDO2. Это может быть, например, ключ YubiKey, созданный компанией Yubico, одним из ведущих производителей таких устройств.

WebAuthn также поддерживается такими ресурсами как Dropbox, GitHub, сайты Google, Facebook и прочие.

Двухфакторная аутентификация

Аппаратные ключи могут быть использованы как второй шаг в ходе двухфакторной аутентификации. Например, Google просит пользователей включать созданные ею ключи Titan Security Key или другие ключи FIDO2 в процесс двухфакторной аутентификации аккаунта Google. Аппаратные ключи могут использоваться в этом случае вместе с паролем: пароль — в качестве первого шага, ключ — в качестве второго.

В этом случае хакеру, который решил взломать аккаунт, понадобится не просто подобрать пароль, который может оказаться простым, но и выкрасть у пользователя USB-ключ. Аппаратный ключ считается более надежным вторым шагом, чем разовый код безопасности, присылаемый клиенту, поскольку этот код можно перехватить.