WebAuthn

WebAuthn (вебавтентифікація) — це вебстандарт, оприлюднений консорціумом World Wide Web (W3C).^[1]^[2] WebAuthn є основним складником проєкту FIDO2 під керівництвом Альянсу FIDO^[en].^[3] Метою проєкту є стандартизація інтерфейсу для автентифікації користувачів до вебзастосунків і служб за допомогою криптографії з публічним ключем (асиметричну криптосистему).

На стороні клієнта підтримка WebAuthn може бути реалізована різними способами. Основні криптографічні операції виконуються за допомогою автентифікатора,^[4] який є абстрактною функціональною моделлю, яка в основному агностична стосовно того, як керується ключовий матеріал. Це дозволяє реалізувати підтримку WebAuthn виключно в програмному забезпеченні, використовуючи довірене середовище виконання^[en] процесорів або модуль Trusted Platform Module (TPM). Чутливі криптографічні операції також можуть бути вивантажені на апаратний портативний автентифікатор, до якого, своєю чергою можна звертатися через USB, Bluetooth з низьким енергоспоживанням або Near-field communication (NFC). Апаратний автентифікатор роумінгу відповідає протоколу FIDO Client to Authenticator (CTAP)^[en],^[5] робить WebAuthn дієво зворотно суміснісним зі стандартом FIDO Universal 2nd Factor (U2F).^[6]

Подібно застарілому U2F, Web Authentication є стійким до «верифікатора-перевертня» (англ. verifier impersonation), тобто стійким до атаки «людина посередині»,^[7], але на відміну від U2F, WebAuthn не вимагає традиційного пароля. Крім того, автентифікатор апаратного забезпечення для роумінгу стійкий до зловмисного програмного забезпечення, оскільки матеріал приватного ключа не доступний у будь-який час для програмного забезпечення, що працює на хост-машині.

Стандарт WebAuthn Level 1 був опублікований як «Рекомендація W3C» від 4 березня 2019.^[8]^[9] Специфікація 2-го рівня знаходиться на стадії розробки.^[10]

Примітки

↑ Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Liao, Angelo; Lindemann, Rolf; Lundberg, Emil (ред.). Web Authentication: An API for accessing Public Key Credentials Level 1. World Wide Web Consortium (W3C). Архів оригіналу за 14 березня 2019. Процитовано 4 березня 2019.
↑ Web Authentication Working Group. World Wide Web Consortium (W3C). Архів оригіналу за 15 травня 2016. Процитовано 11 травня 2018.
↑ FIDO2 Project. FIDO Alliance. Архів оригіналу за 22 квітня 2018. Процитовано 11 травня 2018.
↑ Stenius, Petteri (20 лютого 2019). Introduction to FIDO (Fast IDentity Online). Ubisecure. Архів оригіналу за 31 березня 2019. Процитовано 30 квітня 2019.
↑ Brand, Christiaan; Czeskis, Alexei; Ehrensvärd, Jakob; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Powers, Adam; Verrept, Johan, ред. (30 січня 2019). Client to Authenticator Protocol (CTAP). FIDO Alliance. Архів оригіналу за 8 березня 2019. Процитовано 7 березня 2019.
↑ WebAuthn / CTAP: Modern Authentication (PDF). World Wide Web Consortium (W3C). 10 грудня 2018. Архів оригіналу (PDF) за 4 грудня 2020. Процитовано 11 березня 2019.
↑ Kan, Michael (7 березня 2019). Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise. PC Magazine. Архів оригіналу за 8 березня 2019. Процитовано 8 березня 2019.
↑ Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Liao, Angelo; Lindemann, Rolf; Lundberg, Emil (ред.). Web Authentication: An API for accessing Public Key Credentials Level 1 (latest). World Wide Web Consortium (W3C). Архів оригіналу за 14 березня 2019. Процитовано 4 березня 2019.
↑ W3C and FIDO Alliance Finalize Web Standard for Secure, Passwordless Logins. World Wide Web Consortium (W3C). 4 березня 2019. Архів оригіналу за 4 березня 2019. Процитовано 4 березня 2019.
↑ Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Lundberg, Emil (ред.). Web Authentication: An API for accessing Public Key Credentials Level 2. World Wide Web Consortium (W3C). Архів оригіналу за 4 червня 2019. Процитовано 6 червня 2019.

Посилання

Вебавтентифікація: API для доступу до облікових даних відкритого ключа 1-го рівня [Архівовано 3 грудня 2020 у Wayback Machine.]
Робоча група вебперевірки автентичності [Архівовано 10 грудня 2020 у Wayback Machine.]
API вебавтентифікації на MDN [Архівовано 28 листопада 2020 у Wayback Machine.]

[W3C-WebAuthn-1] Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Liao, Angelo; Lindemann, Rolf; Lundberg, Emil (ред.). Web Authentication: An API for accessing Public Key Credentials Level 1. World Wide Web Consortium (W3C). Архів оригіналу за 14 березня 2019. Процитовано 4 березня 2019.

[2] Web Authentication Working Group. World Wide Web Consortium (W3C). Архів оригіналу за 15 травня 2016. Процитовано 11 травня 2018.

[fido2-3] FIDO2 Project. FIDO Alliance. Архів оригіналу за 22 квітня 2018. Процитовано 11 травня 2018.

[4] Stenius, Petteri (20 лютого 2019). Introduction to FIDO (Fast IDentity Online). Ubisecure. Архів оригіналу за 31 березня 2019. Процитовано 30 квітня 2019.

[FIDO-CTAP-5] Brand, Christiaan; Czeskis, Alexei; Ehrensvärd, Jakob; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Powers, Adam; Verrept, Johan, ред. (30 січня 2019). Client to Authenticator Protocol (CTAP). FIDO Alliance. Архів оригіналу за 8 березня 2019. Процитовано 7 березня 2019.

[6] WebAuthn / CTAP: Modern Authentication (PDF). World Wide Web Consortium (W3C). 10 грудня 2018. Архів оригіналу (PDF) за 4 грудня 2020. Процитовано 11 березня 2019.

[7] Kan, Michael (7 березня 2019). Google: Phishing Attacks That Can Beat Two-Factor Are on the Rise. PC Magazine. Архів оригіналу за 8 березня 2019. Процитовано 8 березня 2019.

[W3C-WebAuthn-Level-1-8] Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Liao, Angelo; Lindemann, Rolf; Lundberg, Emil (ред.). Web Authentication: An API for accessing Public Key Credentials Level 1 (latest). World Wide Web Consortium (W3C). Архів оригіналу за 14 березня 2019. Процитовано 4 березня 2019.

[W3C-WebAuthn-announce-9] W3C and FIDO Alliance Finalize Web Standard for Secure, Passwordless Logins. World Wide Web Consortium (W3C). 4 березня 2019. Архів оригіналу за 4 березня 2019. Процитовано 4 березня 2019.

[W3C-WebAuthn-Level-2-10] Balfanz, Dirk; Czeskis, Alexei; Hodges, Jeff; Jones, J.C.; Jones, Michael B.; Kumar, Akshay; Lindemann, Rolf; Lundberg, Emil (ред.). Web Authentication: An API for accessing Public Key Credentials Level 2. World Wide Web Consortium (W3C). Архів оригіналу за 4 червня 2019. Процитовано 6 червня 2019.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]