Компания «Аладдин Р.Д.» анонсировала новую разработку — USB-токен JaCarta U2F. Продукт создан на основе спецификаций альянса FIDO, ставящего своей целью разработку стандартов строгой аутентификации для доступа к онлайн-ресурсам без использования паролей.
К настоящему времени альянс предложил два протокола. Первый, UAF (Universal Authentication Framework), предназначен для создание систем строгой аутентификации, в которых для доступа к устройству используются биометрические или иные данные пользователя, а для доступа к информационному ресурсу используются данные, сохраненные в этом устройстве. Второй протокол, U2F (Universal 2nd Factor), описывает усиление парольной аутентификации за счет использования физического устройства.
Представляя новую разработку своей компании, Сергей Груздев, генеральный директор «Аладдин Р.Д.», отметил, что у каждого из нас есть множество аккаунтов на веб-ресурсах, а потому необходимо или помнить большое количество паролей (с риском их забыть), или пользоваться одним и тем же для многих сайтов (что небезопасно). Заводить средства аппаратной идентификации для каждого ресурса тоже не выход.
Именно поэтому в FIDO приняли решение создать открытый протокол, который позволит одним токеном «открывать» практически любое число интернет-ресурсов. При этом токен, что существенно, может быть куплен у любого производителя, главное, чтобы он поддерживал протокол U2F.
Для того чтобы самостоятельно зарегистрировать свой U2F-токен на сайте, поддерживающем протокол (все сервисы Google, сервис для разработчиков GitHub, платформа для создания веб-сайтов WordPress, сетевой диск Dropbox и ряд других ресурсов) пользователь, после регистрации по паролю, в личном кабинете должен, при вставленном в USB-порте токене, выставить «галочку» в соответствующем чекбоксе, а после запроса сервера — нажать кнопку на токене. Затем при входе на данный сайт, после ввода пароля (который становится вспомогательным средством и может быть сокращен до минимальной длины, разрешенной конкретным ресурсом), необходимо опять просто вставить токен и нажать кнопку на нем. Токен генерирует ключевую пару, связанную с данным сервисом, открытый ключ передается на сервер, закрытый — хранится в токене.
В дальнейшем при входе на данный сайт сервером формируется дополнительный запрос, содержащий идентификатор веб-ресурса и идентификатор ключевой пары на токене.
Браузер, в который встроена поддержка U2F (пока что это современные версии Google Chrome, но на подходе и другие), посылает запрос на аутентификацию на токен. Последний выбирает нужную ключевую пару, подписывает запрос и отправляет его браузеру, а тот — ресурсу для проверки. Наконец сайт, проверив подпись под запросом, предоставляет доступ. Пользователь в ходе этого процесса подтверждает свое присутствие нажатием кнопки на корпусе токена.
Для пользователя вышеописанный процесс выглядит гораздо проще: вставил токен, по требованию нажал на кнопку.
U2F-токен может использоваться с любыми устройствами, с которыми работают USB-носители Источник: «Аладдин Р.Д.» |
Важность физического действия, по словам Груздева, заключается в том, что удаленно его нажатие имитировать невозможно, а значит, сервер может быть уверен, что запрос на аутентификацию подает владелец токена, а не злоумышленник. Более того, с этой же целью время от времени сервер может просить подтвердить владельца токена его, владельца, присутствие, для чего необходимо опять-таки нажать на кнопку.
На один токен могут быть записаны сотни ключевых пар, поэтому пользователям теоретически не придется носить с собой множество устройств.
Для защиты токенов JaCarta от взлома и копирования используется чип, прошедший сертификацию EMVCo, в нем хранится счетчик аутентификаций, значение с него передается при аутентификации на сервер, при несовпадении количеств входа токен блокируется.
К достоинствам разработки Груздев отнес, кроме защищенности от взлома, продуманность конструкции — отсутствие выступающих металлических деталей предотвращает пробой статическим электричеством, расположение кнопки таково, что при нажатии на нее не будет расшатываться USB-порт компьютера. К этому нужно прибавить российское происхождение продукта: популярные токены компании Yubico, по словам Груздева, в России исчезли после введения санкций.
Кроме собственно базовой модели JaCarta U2F, планируется выпускать и более сложные варианты, например токены с генератором одноразовых паролей, для работы с электронной подписью или сочетающие перечисленные технологии.
Всего в 2016 году, как надеются в «Аладдин Р.Д.», будет продан примерно миллион U2F-токенов компании.