Если вы один из тех, кому сложно вспомнить миллион паролей для доступа к веб-сайтам, есть хорошие новости. Ибо новые стандарты спецификаций веб-аутентификации, объявленные ранее на этой неделе, гарантируют, что аутентификация пользователей может выполняться биометрическими или пользовательскими устройствами.
Эксперты по безопасности давно утверждают, что пароли пережили свою эффективность. Они могут быть украдены, вызвать утечку данных из-за слабых паролей или паролей по умолчанию и являются пустой тратой времени и ресурсов, особенно интеллектуальных ресурсов – мозга! Пользователи Интернета боролись с паролями и регулярными изменениями с тех пор, как начались интернет-преступления.
Недавнее исследование Юбико показало, что средний пользователь Интернета тратит около 11 часов в год, просто вводя, повторно вводя или переустанавливая пароли. По оценкам, только эта деятельность обходится компаниям в среднем в 5,2 миллиона долларов в год. Более того, традиционные решения многофакторной аутентификации, такие как коды SMS, добавляют еще один уровень безопасности, но не гарантируют защиту от фишинговых атак. И они вряд ли просты в использовании!
Две организации – Консорциум World Wide Web (W3C) и Альянс Fast Identity Online (FIDO) – в течение нескольких лет работают вместе над решением этих проблем и тем самым делают Интернет более безопасным. Ранее на этой неделе они выпустили «Рекомендацию WebAuthn», которая представляет собой не что иное, как стандарт браузера или платформы для более простой и надежной аутентификации личности пользователя.
WebAuthn, уже поддерживаемый Windows 10, Android, Google Chrome, Mozilla Firefox, Microsoft Edge и Apple Safari, позволяет пользователям входить в свои учетные записи с использованием предпочитаемого ими устройства. Это означает, что веб-сервисы и приложения, которые включают эту функцию, дают пользователям возможность войти через биометрические данные, мобильные устройства или ключи безопасности FIDO.
В совместном заявлении для прессы цитировалось, что главный исполнительный директор W3C Джефф Джаффе сказал: «Сейчас настало время для веб-сервисов и предприятий внедрить WebAuthn, чтобы выйти за пределы уязвимых паролей и помочь пользователям сети повысить безопасность своего онлайн-взаимодействия. В заявлении W3C изложено руководство по обеспечению совместимости в Интернете, которое дает согласованные ожидания для пользователей и посещаемых веб-сайтов.
В своем выступлении Бретт Макдауэлл, исполнительный директор FIDO Alliance, заявил, что веб-аутентификация как официальный веб-стандарт является вершиной многолетнего сотрудничества в отрасли для разработки практического решения для более надежной аутентификации в Интернете. «С этой вехой мы вступаем в новую эру повсеместной аппаратной защиты аутентификации FIDO для всех, кто пользуется Интернетом», – сказал он.
Дело в том, что WebAuthn был стандартом де-факто для веб-входа без паролей. Есть несколько технологических специальностей, уже использующих эту форму аутентификации. После обновления в октябре прошлого года до Windows 10 Microsoft предложила пользователям возможность входа в свои личные учетные записи с помощью браузера Edge или с помощью Windows Hello или любого другого устройства на основе FIDO2, такого как Yubico YubiKey 5.
Microsoft утверждала, что пользователям не нужно будет запоминать кучу паролей каждый раз, когда кто-то пытается проверить почту или купить что-то на онлайн-рынке. Более того, решение защитит от фишинговых атак и вредоносных программ, поскольку аутентификация основана на локальном присутствии с помощью жеста или устройства.
Другими словами, можно использовать биометрические данные, такие как отпечатки пальцев или распознавание лиц, ключи безопасности USB или даже локально размещенные мобильные устройства, такие как телефоны или смартфоны, для доступа к своим защищенным учетным записям в Интернете. Эта технология связывает уникальные зашифрованные данные для входа на каждый веб-сайт, снижая риски входа с помощью нажатия клавиш и других кибератак, которые отслеживают ввод данных пользователем с клавиатуры.
Итак, где обычный пользователь может найти применение для такого сложного протокола безопасности?
Для начала, тем, кто получает доступ к своим банковским счетам онлайн, не нужно проходить несколько уровней аутентификации. Простое распознавание отпечатков пальцев или лица помогло бы, как и через смартфон или умные часы. Наркоман, совершающий покупки, тоже выиграет, так как их кредитные и дебетовые карты будут безопаснее, учитывая одноточечную аутентификацию.
Самое главное, они не должны были бы помнить пароли!