Быть или не быть паролям? Новый подход идентификации пользователей - стандарт FIDO2

28 ноября 2019
ТОВ 'Датавей Сек’юриті'

Каждый день мы используем пароль идентифицируя себя при входе на тот или иной веб-ресурс – социальные сети, банковские и почтовые приложения, облачные хранилища, а также множество интернет ресурсов требующие регистрации и ввода пароля. Зачастую мы используем один и тот же пароль, этим самым упрощая себе и злоумышленникам доступ к нашим персональным данным и кредитным картам. Одним словом, мы стали уязвимы к фишингу и взлому. Как быть спросите вы? Беспарольная проверка подлинности поможет решить эту проблему.

Протоколы FIDO используют стандартные методы криптографии с открытым ключом обеспечивая более строгую аутентификацию. При регистрации в онлайн-сервисах токен ePass Fido создает новую пару ключей. Токен сохраняет закрытый ключ и регистрирует открытый ключ в онлайн-сервисах. Аутентификация выполняется токеном ePass Fido, подтверждающим владение секретным ключом службы, подписывая запрос. Закрытые ключи клиента могут использоваться только после того, как они будут разблокированы пользователем на устройстве локально. Локальная разблокировка выполняется с помощью удобных и безопасных действий, таких как биометрия, ввод PIN-кода или нажатие кнопки.

Протоколы FIDO разработаны с нуля для защиты конфиденциальности пользователей. Протоколы не предоставляют информацию, которая может использоваться различными онлайн-сервисами для совместной работы и отслеживания пользователей по всем сервисам. Биометрическая информация, если она используется, никогда не покидает устройство пользователя.

Как это работает: 

- Онлайн-сервис предлагает пользователю войти в систему с ранее зарегистрированного токена, который соответствует политике принятия сервиса.
- Пользователь разблокирует токен ePass FIDO тем же способом, что и во время регистрации.
- ePass FIDO использует идентификатор учетной записи пользователя, предоставленный сервисом, чтобы выбрать правильный ключ и подписать вызов сервиса.
- ePass FIDO отправляет подписанный запрос обратно в службу, которая проверяет его с помощью сохраненного открытого ключа и регистрирует пользователя.

graphic_Registration