Жизнь без пароля
Представлена новая система аутентификации
Протокол без пароля называется WebAuth, его предложили органы по стандартизации FIDO и W3C. Согласно ему, при открытии компьютера и запроса пароля можно просто нажать на кнопку на телефоне, и система автоматически введет данные за пользователя.
Основные разработчики браузеров, включая Google, Mozilla и Microsoft, согласились включить окончательную версию протокола. Это позволит веб-сайтам обходить пароль в пользу внешнего аутентификатора, такого как ключ безопасности или мобильный телефон. Эти устройства будут напрямую связываться с веб-сайтом через Bluetooth, USB или NFC. Маркер аутентификации будет работать только до тех пор, пока требуется аутентификация пользователя.
По данным органов по стандартизации, без паролей пользователи смогут устранить многие распространенные угрозы безопасности, включая фишинг, атаки «человек в середине» и общее злоупотребление украденными учетными данными.
Стив Уилсон, аналитик компании Constellation Research, считает, что это важный шаг: «Это ускорит принятие современной аутентификации без пароля». По его словам, это поможет сделать биометрические и высоконадежные персональные аутентификаторы, такие как Yubikey, легче для использования на разных платформах.
Господин Уилсон также утверждает, что WebAuth имеет широкие возможности. «Веб-разработчики смогут использовать стандартные API для вызова возможностей FIDO. Для банка или службы здравоохранения будет возможность регистрировать клиентов на своих существующих страницах клиентов, производя чистую учетную запись в браузере. Веб-сайт сможет проверить, есть ли у пользователя аутентификатор FIDO и запросить его, для плавного входа в систему»,— говорит аналитик.
WebAuth еще не совсем готов к окончательному выпуску, но он достиг стадии «рекомендация кандидата», что означает, что ее рекомендуют органам по стандартизации для окончательного утверждения.
|
Линейный вид
