Растет число онлайн-сервисов, в которых многофакторная аутентификация (MFA) со всеми ее неудобствами — сложный пароль плюс дополнительная проверка является обязательной. Между тем, существует новая технология, которая обещает более надежную защиту по сравнению с MFA и при этом позволит полностью отказаться от паролей. Она основана на WebAuthn, стандарте аутентификации с использованием инфраструктуры открытого ключа, который разрабатывается консорциумом W3C совместно с организацией FIDO Alliance.
В WebAuthn для входа на сайты используется ключ доступа (passkey) — закрытый ключ, хранимый на устройстве пользователя. При первичной регистрации сайт или сервис присылает устройству криптографический запрос, основанный на данных сеанса, и устройство, пользуясь запросом, генерирует пару ключей. Закрытый ключ сохраняется в защищенной области, а открытый передается сайту. При последующей попытке входа на сайт тот отправляет новый криптографический запрос. Устройство проверяет личность пользователя по PIN-коду, биометрии или другим способом, подписывает запрос закрытым ключом и возвращает сайту. Последний удостоверяет подлинность подписи с помощью открытого ключа, и в случае успеха выполняется вход. Закрытый ключ никогда не покидает устройства аутентификации. При этом ключ можно использовать даже без дополнительной проверки личности пользователя, то есть с его стороны для входа на сайт может не потребоваться никаких действий.
Разработка стандарта ключей доступа идет уже немало лет, но сегодня Apple, Google, Microsoft и многие другие крупные технологические компании либо уже предлагают новый механизм аутентификации, либо готовятся внедрить его в течение года. WebAuthn поддерживается всеми основными браузерами и растущим числом корпоративных и потребительских приложений.
Когда аутентификация по ключам доступа реализована правильно, можно полностью отказаться и от паролей, и от MFA — процедура входа становится максимально удобной. Пользователю больше не надо составлять, запоминать и менять пароли, но есть и другие важные преимущества. Поскольку ключ остается на устройстве, его гораздо сложнее похитить по сравнению с паролем. Кроме того, подписанный таким ключом запрос, даже если он будет перехвачен, нельзя использовать, так как данные запроса каждый раз новые. Еще один плюс — благодаря простой аутентификации облегчается работа пользователя в системах, где безопасность обеспечивается по принципу нулевого доверия.
Ключи доступа позволяют предотвратить атаки фишинга и компрометации корпоративной электронной почты, в ходе которых у пользователя пытаются выманить пароль. Кроме того, практически устраняется риск массового угона аккаунтов, поскольку на сервере не хранятся базы паролей.
Ключи доступа легко интегрируются с уже имеющимися механизмами усиления безопасности вроде динамических кодов аутентификации и аппаратных токенов и могут использоваться вместе с ними.
В числе сложностей, мешающих внедрению, — сопротивление сотрудников из-за привычки к традиционным паролям. Трудности с переходом на ключи доступа могут возникнуть и у потребителей — возможна путаница и беспокойство из-за сложностей с восстановлением ключей в случае утраты устройства. Есть те, кто не доверяет этапу биометрической аутентификации, хотя биометрические данные в данном случае, как и закрытый ключ, не покидают устройства.
Работа над стандартом ключей доступа еще не завершена, идет поиск решений, которые позволили бы преодолеть трудности. Но учитывая преимущества с точки зрения безопасности и удобства, можно с уверенностью прогнозировать постепенное вытеснение паролей и MFA ключами доступа в корпоративных и потребительских приложениях.