Консорциум World Wide Web (W3C) и FIDO Alliance объявили, что спецификация Web Authentication (WebAuthn) теперь является официальным веб-стандартом. Как сказано в совместном пресс-релизе, «это улучшение является важным шагом вперед в деле повышения безопасности и удобства использования Интернета для пользователей по всему миру».
Рекомендация W3C WebAuthn, являющаяся основным компонентом набора спецификаций FIDO2, подготовленного FIDO Alliance, призвана обеспечить более простую и надежную аутентификации. Он уже поддерживается в Windows 10, Google Android и Chrome, Mozilla Firefox, Microsoft Edge и Apple Safari. Другими словами, речь идет о придании официального статуса стандарту де-факто. Набор FIDO2 состоит из спецификации веб-аутентификации W3C (WebAuthn) и соответствующего протокола FIDO Alliance CTAP (Client-to-Authenticator Protocol).
WebAuthn позволяет пользователям входить в свои учетные записи в Интернете, используя предпочитаемое устройство. Веб-сервисы и приложения могут и должны включать эту функцию, чтобы дать пользователям возможность более легкого и более защищенного по сравнению с паролями варианта входа в систему с помощью биометрических данных, мобильных устройств и/или ключей безопасности FIDO.
Спецификации FIDO2 устраняют все проблемы, связанные с традиционной аутентификацией. В частности, поскольку криптографические учетные данные FIDO2 уникальны для каждого веб-сайта, биометрические данные и другие секреты, такие как пароли, никогда не покидают устройство пользователя и никогда не хранятся на сервере. Эта модель безопасности устраняет риски фишинга, всех форм кражи паролей и атак повторного воспроизведения. Кроме того, в силу уникальности для каждого интернет-сайта, данные FIDO2 нельзя использовать для отслеживания пользователя на разных сайтах. Пользователи входят в систему с помощью удобных методов, таких как устройства считывания отпечатков пальцев, камеры, ключи безопасности FIDO или персональное мобильное устройство. Наконец, привлекательной чертой является простота масштабируемости: веб-сайты могут включать FIDO2 с помощью простого вызова API во всех поддерживаемых браузерах и платформах «на миллиардах устройств, используемых пользователями каждый день».
Для поставщиков услуг и поставщиков, готовых начать работу со спецификациями FIDO2 и поддержкой браузеров и платформ, организация FIDO Alliance подготовила необходимые инструменты тестирования и запустила программу сертификации. Дополнительная информация по этой теме доступна на веб-сайте FIDO Alliance.