Логин и пароль на протяжении многих лет были общепринятой формой подтверждения личности. Однако с увеличением числа атак и утечек данных модель с паролями больше не соответствует требованиям безопасности и удобства для пользователей. Одним из наиболее развитых решений для отказа от паролей является стандарт WebAuthn (FIDO2). О его архитектуре, плюсах и минусах рассказал IT Speaker, руководитель продукта «Газпром ID» в компании ООО «Оператор Газпром ИД» Вадим Иванков.
Привлекательная цель для хакеров
С точки зрения безопасности информации, аутентификация с помощью паролей имеет свои уязвимости. Пароль – это секрет, который пользователь передает через сеть, что делает его уязвимым для перехвата уже на этапе ввода.
Даже при правильной реализации на серверной стороне сервис хранит данные, связанные с паролем, создавая тем самым поверхность для атак: в случае компрометации инфраструктуры злоумышленник получает возможность для офлайн-взлома и подбора учетных данных.
Пользователи часто используют одни и те же пароли на различных сервисах, что приводит к большим утечкам. Кроме того, модель с паролями остается уязвимой к фишингу и социальной инженерии – пользователь может случайно передать его злоумышленнику.
Усложнение требований к паролям ухудшает пользовательский опыт, но не решает проблему. Даже с современными алгоритмами хеширования и многофакторной аутентификацией пароль остается слабым звеном, так как компрометация часто происходит до криптографической проверки на сервере.
Архитектура без секретов
Стандарт Web Authentication использует асимметричную криптографию и защищенное аппаратное хранение данных. Вместо передачи общего секрета между клиентом и сервером система основывается на индивидуальных ключах, которые генерируются на стороне пользователя.
Для каждого сервиса создается уникальная пара ключей. Закрытый ключ остается на устройстве пользователя и не отправляется в сеть или на сервер. Сервер хранит лишь открытый ключ и проверяет криптографическую подпись. Вход осуществляется через подпись случайного challenge-сообщения, что исключает возможность повторного использования данных. Даже при полной компрометации инфраструктуры сервер не имеет информации для прямого входа в аккаунт.
Портативные против платформенных
WebAuthn поддерживает несколько типов аутентификаторов, что позволяет гибко комбинировать безопасность и удобство.
Портативные аутентификаторы – это внешние аппаратные ключи (USB, NFC, Bluetooth). Эти устройства работают на различных платформах, операции с закрытым ключом выполняются внутри устройства.
Платформенные аутентификаторы интегрированы непосредственно в операционную систему или аппаратную платформу пользователя. Они используют локальные механизмы подтверждения – биометрические данные смартфона (Face ID, Touch ID) или PIN-код – и жестко привязаны к конкретному устройству.
Минцифры введет штрафы за нарушения на объектах КИИ
Для массового применения удобнее использовать платформенные аутентификаторы, тогда как аппаратные ключи подойдут для сценариев с повышенными требованиями к безопасности.
Интеграция без иллюзий
На практике WebAuthn чаще всего используется как дополнительный метод аутентификации, а не как полное замещение паролей. Это сохраняет совместимость с устаревшими устройствами и браузерами, позволяет постепенно вовлекать пользователей, снижать риски при потере аутентификаторов и предусматривать резервные сценарии доступа.
При интеграции Web Authentication API в веб-приложение важно учитывать строгую привязку криптографических ключей к origin (источнику/домену), различия в реализации между браузерами и операционными системами, а также ограниченные возможности автотестирования. Восстановление доступа и управление жизненным циклом аутентификаторов требуют отдельного внимания.
Список побед
Применение WebAuthn позволяет устранить или существенно снизить эффективность следующих типов атак:
-
фишинг (ключ не сработает на другом домене);
-
перебор и подмена учетных данных;
-
перехват данных во время ввода;
-
атаки на серверные базы паролей.
Безопасность также зависит от защиты клиентского устройства, правильной серверной логики и резервных методов восстановления доступа.
Темная сторона безпарольного будущего
Пока WebAuthn не может полностью заменить пароль: недостаточная поддержка платформ, зависимость от аппаратных возможностей устройств, сложность пользовательского опыта в нестандартных сценариях. Внедрение Web Authentication API требует обучения пользователей и повышения квалификации служб поддержки – возникают новые сценарии восстановления доступа.
На данный момент WebAuthn – это инструмент для повышения уровня безопасности и снижения рисков компрометации, но не универсальное решение.
Антихрупкость для избранных
WebAuthn эффективен там, где требуется повышенная безопасность: как второй фактор, для защиты критичных операций, беспарольного доступа для ограниченных групп пользователей, в корпоративных и B2B-системах, а также для аккаунтов с высоким риском.
По мере развития экосистемы и увеличения поддержки в браузерах и операционных системах Web Authentication имеет потенциал стать основой для массовых беспарольных решений.
WebAuthn представляет собой зрелый и криптографически обоснованный стандарт, который может значительно повысить безопасность веб-сервисов. Однако его внедрение требует тщательной архитектуры, готовности к особенностям и понимания поведения пользователей. Отказ от паролей – это эволюционный процесс, и WebAuthn сегодня является одним из самых перспективных стандартов для его основы.
B2B не резиновый: где ИИ реально ускоряет, а где только тормозит
