WebAuthn упрощает аутентификацию?

Аутентификация без паролей. Как WebAuthn меняет подход к безопасности данных

Новый интернет-стандарт WebAuthn для безопасной аутентификации в сети официально готов к работе, его поддерживают большинство популярных браузеров. Правда ли, что он позволит отказаться от использования паролей? Как WebAuthn смогут адаптировать компании для систем безопасности корпоративной сети.

Прощайте текстовые пароли?

Использование паролей специалисты по информационной безопасности всегда считали порочной практикой. Особенно, если это единственный вариант защиты личных и корпоративных данных. Дело даже не в людях, которые не могут сочинить достаточно сложный пароль, хранить его надлежащим образом и регулярно менять. Проблема в самой природе данного способа аутентификации.

Вот лишь несколько примечательных фактов про текстовые пароли:

  • До сих пор самым распространенными паролями являются вариации 12345 и слова «password».
  • По статистике, 80% утечек данных происходят по причине взлома паролей.
  • Среднестатистический пользователь имеет порядка 24 аккаунтов на разных ресурсах и в приложениях. Неудивительно, что почти никто не соблюдает правила цифровой гигиены, когда речь идет о паролях.
  • Порядочное большинство сайтов, с которыми человек делится своей персональной информацией и паролями, хранят их в открытом доступе, отправляют по e-mail пользователю и так далее.

Кажется, появилась возможность полностью отказаться от использования текстовых паролей. Наступает эра безопасной аутентификации. В начале марта компании W3C и FIDO Alliance объявили о завершении работы над протоколом WebAuthn. Отныне это официальный стандарт для сайтов, мобильных и веб-приложений, который поддерживают браузеры Windows 10, Android, Google Chrome, Mozilla Firefox, Microsoft Edge и Apple Safari.

Спецификации WebAuthn позволяют пользователям получать доступ к аккаунтам, проходить аутентификацию на сайтах и в приложениях через мобильные девайсы, используя аппаратные ключи на USB, отпечатки пальцев, голос и прочую биометрию, «умные» часы и т.д.

Разработчики уверяют, что на текущий момент это самый продвинутый стандарт, поднимающий безопасность сайтов на новый уровень. Они настоятельно рекомендуют владельцам сайтов и приложений адоптировать WebAuthn для работы со своими пользователями. Для этого API на стороне браузера и внешней системы аутентификации должны действовать сообща.

 

Многоуровневая аутентификация

Многоуровневая аутентификация через смс, одноразовые ключи, даже биометрический вход сами по себе остаются небезопасными вариантами, уязвимыми к фишинговым атакам. Не говоря уже, что все это усложняет жизнь пользователям и организациям.

Локализацию пользователей уже невозможно применять как основной фактор доверия, разграничить периметр становится все сложнее. Это ограничивает мобильность сотрудников. Оптимальным подходом построения безопасности корпоративной сети считается принцип «никому нельзя доверять».

Модель Zero Trust продолжает набирать популярность. Многие вендоры в 2019 году продвигают ее как лучший стандарт безопасности, в том числе при работе с облачными сервисами.

Методология, лежащая в основе «нулевого» доверия, подразумевает, что любое устройство, в том числе то, которое меняет свою локацию, должно заново проходить процедуру проверки. Иногда под этим же термином имеют в виду систему многоуровневой аутентификации.

Есть мнение, что для большинства компания модель Zero Trust – вовсе недостижимый вариант эксплуатации системы безопасности данных. Она подразумевает единовременное, за «одну ночь» создание зон и сегментов для контроля ИТ-ресурсов, развертывание инструментов мониторинга, управления и взаимодействия между зонами. Это технически гипер тяжело и затратно, архитектура сети уже должна быть заточена под данную модель.

Приходится интегрировать инструменты поведенческой аналитики, чтобы отслеживать, насколько действия пользователя во время сессии соответствуют ожиданиям, устанавливать разные протоколы для разных приложений. Все это ведет к дополнительным издержкам на информационную безопасность. Намного проще, если вход в систему всего один.

 

Биометрический вход

Пара замечаний по поводу другого «горячего» тренда последних лет – биометрической аутентификации пользователей на предприятии. Она не может служить полноценной заменой традиционным методам. Во-первых, системы на ее основе сложны в эксплуатации. Во-вторых, к ее надежности тоже имеется ряд вопросов.

Биометрические данные в отличие от PIN и паролей уникальны для каждого человека их трудно подделать. Например, отпечатки пальцев – самый распространенный дополнительный вариант аутентификации. Но мы оставляем свои отпечатки везде, где только можно. При желании их можно скопировать. Как альтернатива сейчас развивается метод проверки через рисунок капилляров на пальцах.

Заполучить дубликат голоса тоже не составляет труда. Распознавание лиц и сканирование сетчатки глаза – более надежные в плане безопасности варианты. Подобные системы требуют другого уровня технического обслуживания. Представьте, что сканер сетчатки установлен на предприятии. Как его регулировать под людей с разным ростом?

 

Плюсы и минусы стандарта WebAuthn

Стандарт WebAuthn и ключи FIDO имеют ряд неоспоримых преимуществ в плане удобства, безопасности и масштабируемости:

  • Криптографические учетные данные для входа FIDO2 уникальны для каждого сайта, они не передают биометрику, ключи с паролями для хранения на сервере. Единственный вариант для мошенников – украсть сам гаджет.
  • Криптографическая пара привязывается к определенному источнику, допустим, к файлам cookies. Зарегистрированная, например, на «webauthn.guide» она не может быть использована на «evil-webauthn.guide», что снижает угрозу фишинга.
  • Аутентификаторы могут предоставлять сертификат, который помогает серверам определять, что публичный ключ поступил из источника, которому доверяют.
  • Вход осуществляется удобным способом, через отпечатки пальцев, распознавание лица, персональное мобильное устройство, к которым многие уже привыкли.
  • Выше конфиденциальность, поскольку ключи FIDO уникальны для каждого сайта, по ним невозможно отследить активности пользователей при переходе на другие страницы.

Не все так радужно, как кажется на первый взгляд. Хотя разработчики уверяют, что WebAuthn – надежная защита от фишинга, технически это не совсем верно. Пользователями по-прежнему можно манипулировать, чтобы получить полный либо частичный доступ к их аккаунтам.

Любое техническое новшество увеличивает сложность кодировки браузеров, следовательно, возрастает вероятность программных ошибок. Системный анализ аттестационных ключей делает возможным отслеживать логи пользователей на различных устройствах. И это уже вопрос к производителям девайсов, согласны ли они будут провести модификацию и адаптацию устройств под стандарт, чтобы защитить приватность владельцев.

WebAuthn, несомненно, может решить рад важных задач безопасности данных, но и создать новые. В теории, пока плюсы использования стандарта перевешивают его минусы.