Сейчас уже ясно почти всем, что пароль - это слабая и откровенно бессмысленная форма аутентификации, но большинство из нас все еще живет под гипнозом пароля. Это, несмотря на то, что он добавляет лишних хлопот пользователю, а также может быть легко украден и в основном он неэффективен для нас. Ну и вот сегодня, два органа по стандартизации под названием FIDO и W3C объявили о более эффективном способе захода на сайты в Сети без ввода физического пароля пользователем - это новый протокол без физического ввода паролей под названием "WebAuthn".
Сообщается, что основные разработчики браузеров, включая Google, Mozilla и Microsoft, уже согласились запустить у себя окончательную версию этого протокола, позволяющую веб-сайтам обойти надоедливый пароль в пользу внешнего аутентификатора, что подразумевает введение ключа безопасности через своё устройство или заход в Сеть помощью своего сотового телефона. В будущем эти девайсы будут напрямую связываться с веб-сайтом через Bluetooth, USB или NFC. Вышеназванные органы по стандартизации назвали такой способ обхода паролей "фишинговым подтверждением".
Перейдя на новый способ аутентификации, вы не только избавитесь от необходимости введения паролей, а также их нового придумывания раз в несколько недель, чтобы угодить требованиям "богов безопасности", но и вся причина такого фарса с безопасностью для вас просто исчезнет. Поэтому не имея паролей как таковых, мы сможем ликвидировать многие распространенные ныне угрозы безопасности, включая фишинг, "атаки посредника" (это вид атаки в криптографии) и злоупотребление ранее украденными учетными данными. Это потому, что, используя такую систему, просто злоумышленникам будет уже нечего красть. Дело в том, что маркер аутентификации будет работать только до тех пор, пока требуется аутентификация пользователя и не секундой больше и плюс для аутентификации вам потребуется иметь у себя определенный внешний девайс.
Техническое описание протокола WebAuth предлагает несколько примеров того, как это всё в дальнейшем будет работать. Так, в одном из примеров описывается, как скажем вы работаете на ноутбуке и получаете доступ к веб-сайту, на который вам нужно войти. Вместо логина и пароля вы получаете запрос на проверку своего телефона. Вы нажимаете подсказки на своем телефоне, и вуаля - вот вы и вошли в систему без необходимости вводить что-либо ещё.
На настоящий момент протокол WebAuthn еще не совсем готов к окончательному запуску в работу, но он достиг стадии "Рекомендация кандидата (CR)", что означает, что этот протокол рекомендуют органам по стандартизации для его окончательного утверждения.
И разумеется, никакой способ защиты пока не является безупречным, и, вероятно, не займет много времени, когда кто-то "умный" найдет дыру и в этом новом способе захода на сайты без пароля, но по крайней мере это шаг в правильном направлении. Ведь на самом деле мы давно уже мы придумали новую технологию аутентификации без пароля, а протокол WebAuthn просто может быть ответом на давнюю проблему паролей.
Перевод специально для mmgp.ru
источник
https://text.ru/antiplagiat/5accd933ee45d