В последнее время компаниям по всему миру приходится учитывать возросшие угрозы, связанные с потерей данных в результате действий мошенников. Это заставляет их искать новые способы для решения вопросов идентификации пользователей, активней применять криптографию взамен двойной аутентификации.
Рост внедрений новых технологий спровоцирован жесткой позицией регуляторов рынка, которые требуют от компаний реализации дополнительных мер защиты от мошенничества и краж данных в рамках внедряемых политик AML («предотвращение использования услуг с целью отмывания денежных средств, финансирования терроризма или другой преступной деятельности») и KYC («Знай своего клиента»).
Недавно исследовательская компания Javelin Research выпустила отчет «Уровень развития строгой аутентификации 2019». В нем сообщается, что утечка данных и фишинговые атаки становятся в последнее время все более изощренными и продолжают приводить к компрометации учетных записей в Интернете и финансовым потерям.
В то же время, по данным отчета, 2/3 бизнес-компаний продолжают предоставлять своим пользователям доступ, имеющий только парольную защиту. Более того, многие продолжают считать пароли «вполне достаточным средством» для обеспечения безопасности.
Однако эксперты Javelin Research отмечают, что парольная форма защиты плохо противостоит в нынешних условиях угрозам взлома методами социальной инженерии, незаконного подключения к телефону жертвы или установки вредоносных программ. Как показывает статистика, 81% утечек данных в 2016 году были связаны с использованием простых паролей, паролей по умолчанию или украденных паролей. Каждая восьмая проведенная в 2017 году фишинг-атака достигла своей цели. Число зарегистрированных утечек данных за 2017 год выросло на 45% по сравнению с 2016 годом.
В отчете Javelin Research отмечаются и другие бреши современных систем парольной защиты. Например, 51% используемых внутри компаний паролей применяются там многократно. Согласно статистике обращений в службы технической поддержки, 20-50% запросов связаны именно с заменой пароля, что отражает частые случаи угрозы потери или кражи паролей, когда пользователи стремятся заменить их, даже невзирая на платность оказываемой услуги (около $70).
В этой связи многие компании рассматривают сегодня необходимость перехода с традиционной двойной аутентификации на внедрение новых методов криптографии через многофакторную строгую аутентификацию пользователей. Такая форма аутентификации, как утверждают эксперты Javelin Strategy & Research, не подвержена фишинговым атакам, атакам типа «человек посередине», или другим атакам, нацеленным на учетные данные пользователей и использующих уязвимости одноразовых и постоянных паролей.
Беспарольная аутентификация на сайтах, в мобильных приложениях и веб-сервисах также требует использования новых стандартов для прикладных систем, активно внедряемых сейчас по всему миру. Их разработал консорциум Fast IDentity Online (FIDO) Alliance.
Консорциум FIDO Alliance был основан в 2013 году компаниями Agnitio, Infineon Technologies, Lenovo, Nok Nok Labs, PayPal и Validity, которые разработали стандарт беспарольной идентификации UAF. Чуть позже к ним присоединились Google, Yubico и NXP, которые работали тогда над его предшественником – стандартом U2F. Замыслом новой разработки стала задача защиты интернет-пользователей от фишинга, решения проблемы удобства использования паролей, а также развития доступности и безопасности биометрических технологий.
Отличие традиционной и строгой аутентификации. Источник: Javelin
Новая система защиты FIDO2, разработанная консорциумом FIDO Alliance, выстроена на базе двух стандартов: WebAuthn и CTAP2 (Client-to-Authenticator Protocol 2). WebAuthn представляет собой JS-реализацию API для менеджмента учетных записей на публичных ключах; CTAP2 — это стандарт, описывающий CBOR протокол для общения с аутентификатором по USB, NFC и BLE.
Архитектура новой системы защиты FIDO2 состоит из трех частей: сервера, клиента (браузер) и аутентификатора. Сервер посылает вызов клиенту, клиент передает вызов аутентификатору, который его подписывает и возвращает клиенту, а тот — уже серверу.
Чтобы сервер мог пользоваться аутентификацией FIDO2, в клиентах есть WebAuthn JS API. С аутентификаторами клиент общается с помощью низкоуровневого протокола CTAP2.
Протокол обмена данными WebAuthn уже стал стандартом W3C, который будет обязателен в будущем для всех браузеров. Разработчики Chrome, Firefox, Edge, Microsoft IE и Hello уже публично заявили о его поддержкой. Прошли сертификацию в FIDO2 также экосистемы Sony, LG, Samsung, Huawei, Lenovo, Sharp, Intel, Microsoft, Android, Windows, Google, RSA, Ledger, Feitan, OneSpan и другие.
Процедура аутентификации на базе FIDO. Источник: FIDO Alliance
Как отмечают разработчики нового стандарта FIDO2, его принципы хорошо согласуются с новым Генеральным регламентом о защите персональных данных в рамках ЕС (GDPR). Даже в двухфакторном режиме его применение делает аутентификацию фишинг-безопасной. Если говорить о беспарольной сложной аутентификации, то в этом случае передача паролей вообще отсутствует.
По оценкам разработчиков, переход с существующих решений двухфакторной аутентификации (например, с OTP) на FIDO2 займет около 10 лет.
Варианты применения FIDO. Источник: FIDO Alliance
FIDO2 уже сейчас активно используется в Bank of America, Bank of China, eBay, Intuit, Docomo, PayPal, SoftBank, Dropbox, Facebook, GitHub, Google, Gov.UK, Salesforce, U2F и др.
В долгосрочной перспективе консорциум планирует заняться внедрением стандартов в сфере интернета вещей, чтобы повысить безопасность IoT-гаджетов. Также в планах разработка государственных систем аутентификации, eID, паспортов и децентрализованных систем идентификации.