Протокол без пароля называется WebAuth, его предложили органы по стандартизации FIDO и W3C. Согласно ему, при открытии компьютера и запроса пароля можно просто нажать на кнопку на телефоне, и система автоматически введет данные за пользователя.
Фото: Михаил Гребенщиков, Коммерсантъ / купить фото
Основные разработчики браузеров, включая Google, Mozilla и Microsoft, согласились включить окончательную версию протокола. Это позволит веб-сайтам обходить пароль в пользу внешнего аутентификатора, такого как ключ безопасности или мобильный телефон. Эти устройства будут напрямую связываться с веб-сайтом через Bluetooth, USB или NFC. Маркер аутентификации будет работать только до тех пор, пока требуется аутентификация пользователя.
По данным органов по стандартизации, без паролей пользователи смогут устранить многие распространенные угрозы безопасности, включая фишинг, атаки «человек в середине» и общее злоупотребление украденными учетными данными.
Стив Уилсон, аналитик компании Constellation Research, считает, что это важный шаг: «Это ускорит принятие современной аутентификации без пароля». По его словам, это поможет сделать биометрические и высоконадежные персональные аутентификаторы, такие как Yubikey, легче для использования на разных платформах.
Господин Уилсон также утверждает, что WebAuth имеет широкие возможности. «Веб-разработчики смогут использовать стандартные API для вызова возможностей FIDO. Для банка или службы здравоохранения будет возможность регистрировать клиентов на своих существующих страницах клиентов, производя чистую учетную запись в браузере. Веб-сайт сможет проверить, есть ли у пользователя аутентификатор FIDO и запросить его, для плавного входа в систему»,— говорит аналитик.
WebAuth еще не совсем готов к окончательному выпуску, но он достиг стадии «рекомендация кандидата», что означает, что ее рекомендуют органам по стандартизации для окончательного утверждения.
«Просто нашли очередную дыру, которую быстро устранят»
В октябре 2017 года сообщалось, что хакеры взломали протокол безопасности Wi-Fi. Под угрозой оказались сотни миллионов устройств по всему миру. Специалисты обнаружили критические проблемы, из-за которых любую сеть Wi-Fi можно взломать и получить доступ к информации пользователей. Сообщение об этом появилось на популярном интернет-ресурсе Ars Technica.