Защита от фишинга: Passkey, WebAuthn/FIDO2 и беспарольный вход в компании

В сфере искусственного интеллекта произошло заметное событие. Romashine 13 минут назад Защита от фишинга: Passkey, WebAuthn/FIDO2 и беспарольный вход в компании 10 мин 390 NestJS * TypeScript * ВведениеРазговоров про беспарольный вход сейчас очень много, но я по-прежнему часто сталкиваюсь с тем, что люди не до конца понимают, как это работает на практике и какие данные реально хранятся в системе. Последней каплей к написанию этой статьи стала фраза знакомого: «Я пользуюсь паролем, потому что я не хочу, чтобы мои пальчики хранились в каком-то сервисе»... Вдох, выдох и погнали от простого понимания к реализации в коде.

Что такое беспарольный входСперва определимся, что такое беспарольный вход и какие варианты существуют. Из самого названия понятно, что во время входа не участвует пароль, но нужно понимать, что именно в данном случае подразумевается под паролем. А именно в этом контексте подразумевается статичный пароль, который не меняется на протяжении какого-то времени.

Технические детали

В современном мире какой бы сложности ни был пароль, он остается уязвимым. Мы не будем разбирать механики его угона, но поверьте: в интернете на эту тему тонны информации, и вывод всегда один — пароль и безопасность теперь по разные стороны баррикад. Так какие же методы беспарольной авторизации существуют?

Если отвечать техническим языком, то это способы входа, основанные на OTP, WebAuthn и mTLS. В корпоративной среде еще используется протокол Kerberos, но он немного для другого предназначен, и по нему я, пожалуй, потом напишу отдельную статью. А с точки зрения обычного пользователя это вход через Яндекс Ключ и аналоги, почту, звонок, СМС, пуш, а также при помощи различных девайсов или сертификатов.

OTP — это идея, концепция входа по одноразовым паролям. Она так и переводится: one time password — одноразовый пароль. Такой способ считается достаточно безопасным и широко распространен, но не всегда удобен, так как под рукой должен быть девайс с установленным приложением.

Отраслевые последствия

По личным наблюдениям, социальные гиганты уже увели этот способ входа на второй план. WebAuthn — это стандарт (часть экосистемы FIDO2) для входа через девайс, который мы и рассмотрим более подробно, так как именно он используется для входа по пальчикам и Face ID. В последнее время этот подход приобретает наибольшую популярность, так как его активно продвигают смартфоны и различные мобильные приложения, он достаточно удобен в использовании и действительно надежен.

Более того, в свете обилия фишинговых ресурсов этот способ входа хорошо защищает пользователя от попадания на них. FIDO2 — это набор технологий (включающий WebAuthn как компонент и протокол CTAP для связи с внешними аутентификаторами), который позволяет провести аналогичную авторизацию, в том числе через внешний USB-ключ. В этой статье мы рассматриваем его в рамках работы WebAuthn, так как с точки зрения кода эти компоненты интегрируются через одну и ту же библиотеку.

mTLS — это вход по сертификатам.

Этот прогресс даёт важные сигналы о будущем отрасли, и технологический мир внимательно наблюдает.