Спецпроекты

Apple приступила к убийству паролей в интернете

6178
Безопасность Стратегия безопасности Пользователю Техника

Разработчики Safari добавили в последнюю версию браузера экспериментальную поддержку аппаратных ключей безопасности, подключаемых по USB. Браузеры Mozilla, Google и Microsoft уже поддерживают этот стандарт аутентификации. Аппаратные ключи безопасности считаются более надежными, чем пароли.

Новшество в Safari

Команда Apple по работе с движком WebKit добавила в браузер Safari экспериментальную поддержку стандарта беспарольной аутентификации Web Authentication, или просто WebAuthn. По этому стандарту, чтобы залогиниться на сайте, нужен не пароль, а аппаратный ключ безопасности, подключаемый по USB. Новшество появилось в превью версии 71 браузера Safari для macOS.

WebAuthn работает с протоколом Client to Authenticator Protocol (CTAP), с помощью которого аппаратные ключи безопасности, выполненные по технологии FIDO, генерируют пары криптографических ключей для аутентификации на веб-сайте. CTAP2 также называют FIDO2.

«Добавленнная нами Web Authentication — это экспериментальная функция с поддержкой устройств CTAP2, подключаемых по USB», — поясняет команда WebKit в комментариях к релизу 71. Это не является гарантией, что такая функция приживется в окончательном варианте браузера.

В Safari для macOS была добавлена поддержка аппаратных ключей, подключаемых именно через порт USB. В целом же такие ключи существуют и для порта Lightning, который используется в iPhone и iPad. Технология FIDO2 позволяет также подключать аппаратный ключ безопасности по Bluetooth, но до этого команда Apple в своих экспериментах с Safari пока не дошла.

Кто еще поддерживает WebAuthn

WebAuthn на разном уровне поддерживают Mozilla Firefox, Google Chrome и Microsoft Edge. Первой такую поддержку реализовала в мае 2018 г. Mozilla, затем Google и, наконец, Microsoft.

psw600.jpg
Аппаратный ключ безопасности YubiKey, созданный компанией Yubico

Например, в сборке 1809 Windows 10, то есть в последней версии этой ОС, пользователи могут использовать браузер Edge для авторизации в Office 365, Outlook.com, Skype и OneDrive с помощью USB-ключа протокола FIDO2. Это может быть, например, ключ YubiKey, созданный компанией Yubico, одним из ведущих производителей таких устройств.

WebAuthn также поддерживается такими ресурсами как Dropbox, GitHub, сайты Google, Facebook и прочие.

Двухфакторная аутентификация

Аппаратные ключи могут быть использованы как второй шаг в ходе двухфакторной аутентификации. Например, Google просит пользователей включать созданные ею ключи Titan Security Key или другие ключи FIDO2 в процесс двухфакторной аутентификации аккаунта Google. Аппаратные ключи могут использоваться в этом случае вместе с паролем: пароль — в качестве первого шага, ключ — в качестве второго.

В этом случае хакеру, который решил взломать аккаунт, понадобится не просто подобрать пароль, который может оказаться простым, но и выкрасть у пользователя USB-ключ. Аппаратный ключ считается более надежным вторым шагом, чем разовый код безопасности, присылаемый клиенту, поскольку этот код можно перехватить.



Взгляд месяца

Почему идея внутренней разработки себя не оправдала

Александр Глазков

председатель совета директоров, «Диасофт»

Технология месяца

6G перебьет аппетит к 5G?

Сети 6G, как ожидают аналитики, начнут появляться уже через пять-десять лет.