WebAuthn


WebAuthn (вебавтентифікація) — це вебстандарт, оприлюднений консорціумом World Wide Web (W3C).[1][2] WebAuthn є основним складником проєкту FIDO2 під керівництвом Альянсу FIDO[en].[3] Метою проєкту є стандартизація інтерфейсу для автентифікації користувачів до вебзастосунків і служб за допомогою криптографії з публічним ключем (асиметричну криптосистему).

Портативне криптографічне апаратне посвідчення з USB інтерфейсом

На стороні клієнта підтримка WebAuthn може бути реалізована різними способами. Основні криптографічні операції виконуються за допомогою автентифікатора,[4] який є абстрактною функціональною моделлю, яка в основному агностична стосовно того, як керується ключовий матеріал. Це дозволяє реалізувати підтримку WebAuthn виключно в програмному забезпеченні, використовуючи довірене середовище виконання[en] процесорів або модуль Trusted Platform Module (TPM). Чутливі криптографічні операції також можуть бути вивантажені на апаратний портативний автентифікатор, до якого, своєю чергою можна звертатися через USB, Bluetooth з низьким енергоспоживанням або Near-field communication (NFC). Апаратний автентифікатор роумінгу відповідає протоколу FIDO Client to Authenticator (CTAP)[en],[5] робить WebAuthn дієво зворотно суміснісним зі стандартом FIDO Universal 2nd Factor (U2F).[6]

Подібно застарілому U2F, Web Authentication є стійким до «верифікатора-перевертня» (англ. verifier impersonation), тобто стійким до атаки «людина посередині»,[7], але на відміну від U2F, WebAuthn не вимагає традиційного пароля. Крім того, автентифікатор апаратного забезпечення для роумінгу стійкий до зловмисного програмного забезпечення, оскільки матеріал приватного ключа не доступний у будь-який час для програмного забезпечення, що працює на хост-машині.

Стандарт WebAuthn Level 1 був опублікований як «Рекомендація W3C» від 4 березня 2019.[8][9] Специфікація 2-го рівня знаходиться на стадії розробки.[10]

Примітки

  1. Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Liao, Angelo; Lindemann, Rolf; Lundberg, Emil (ред.). Web Authentication: An API for accessing Public Key Credentials Level 1. World Wide Web Consortium (W3C). Архів оригіналу за 14 березня 2019. Процитовано 4 березня 2019.
  2. Web Authentication Working Group. World Wide Web Consortium (W3C). Архів оригіналу за 15 травня 2016. Процитовано 11 травня 2018.
  3. FIDO2 Project. FIDO Alliance. Архів оригіналу за 22 квітня 2018. Процитовано 11 травня 2018.
  4. Stenius, Petteri (20 лютого 2019). Introduction to FIDO (Fast IDentity Online). Ubisecure. Архів оригіналу за 31 березня 2019. Процитовано 30 квітня 2019.
  5. Brand, Christiaan; Czeskis, Alexei; Ehrensvärd, Jakob; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Powers, Adam; Verrept, Johan, ред. (30 січня 2019). Client to Authenticator Protocol (CTAP). FIDO Alliance. Архів оригіналу за 8 березня 2019. Процитовано 7 березня 2019. [Архівовано 2019-03-08 у Wayback Machine.]
  6. WebAuthn / CTAP: Modern Authentication (PDF). World Wide Web Consortium (W3C). 10 грудня 2018. Архів оригіналу (PDF) за 4 грудня 2020. Процитовано 11 березня 2019.
  7. Kan, Michael (7 березня 2019). Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise. PC Magazine. Архів оригіналу за 8 березня 2019. Процитовано 8 березня 2019.
  8. Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Liao, Angelo; Lindemann, Rolf; Lundberg, Emil (ред.). Web Authentication: An API for accessing Public Key Credentials Level 1 (latest). World Wide Web Consortium (W3C). Архів оригіналу за 14 березня 2019. Процитовано 4 березня 2019.
  9. W3C and FIDO Alliance Finalize Web Standard for Secure, Passwordless Logins. World Wide Web Consortium (W3C). 4 березня 2019. Архів оригіналу за 4 березня 2019. Процитовано 4 березня 2019.
  10. Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Lundberg, Emil (ред.). Web Authentication: An API for accessing Public Key Credentials Level 2. World Wide Web Consortium (W3C). Архів оригіналу за 4 червня 2019. Процитовано 6 червня 2019.

Посилання