28 апреля 2020

Пароли должны остаться в прошлом

FIDO2 теперь доступен на Trezor Model T

По данным веб-сайта Have I Been Pwned (Меня взломали?), собирающего данные о взломах учетных записей, всего в мире имеется 8,5 миллиарда взломанных учетных записей. Как будто этого было недостаточно, «Лаборатории Касперского» сообщили об увеличении количества случаев фишинга на 21% только во втором квартале 2019 года; количество попыток фишинга, по прогнозам, в ближайшие годы продолжит неуклонно расти.

Хакеры в полной мере осознали преимущества информационно-психологических атак, которые являются более эффективными и доступными по сравнению с другими методами, используемыми для кражи пользовательских данных; теперь они отдают предпочтение именно фишингу. Независимо от того, насколько эффективными и безопасными становятся брандмауэры, VPN-сервисы или антивирусное программное обеспечение, люди (и их пароли) по-прежнему остаются самым слабым звеном в цепочке кибербезопасности.

Стандарты аутентификации FIDO2 для TrezorModel T – единственного в мире ключа безопасности с сенсорным дисплеем.

Мы в SatoshiLabs работаем не только над безопасностью биткоина, мы глубоко заинтересованы в развитии кибербезопасности в целом. Наша цель – защитить вас от всех потенциальных рисков, включая попытки фишинга. На протяжении более чем шести лет мы находимся в поиске идеального баланса между удобством использования и безопасностью, и считаем, что это последнее дополнение к Model T на шаг приблизило нас к достижению желаемого баланса.

Что такое FIDO2?

Новый веб-протокол аутентификации под названием FIDO2 был разработан FIDO Alliance и предоставляет широкой общественности доступ к аутентификации, не требующей пароля и защищенной от фишинга.

Протокол FIDO2 включает три типа аутентификации:

  • Логин без использования пароля
  • Двухфакторная аутентификация (2FA)
  • Многофакторная аутентификация

Первой и самой инновационной частью FIDO2 является аутентификация без использования пароля. Мы реализовали эту функцию таким образом, чтобы пользователи могли с легкостью аутентифицировать логины к своим основным сервисам на TrezorModel T без необходимости вводить какие-либо конфиденциальные учетные данные. Благодаря этим новым функциям, разработанным FIDO Alliance, вы можете заходить в свои учетные записи на различных веб-сервисах без необходимости запоминать или вручную вводить пароль.

При регистрации Model T для входа в учетные записи без использования паролей на устройстве сохраняются специальные идентификационные данные. Эти идентификационные данные содержат информацию о вашей учетной записи, благодаря чему вы можете войти в систему без необходимости вводить имя пользователя или пароль. Это означает, что, если ваш ключ безопасности будет стерт или утрачен, все учетные данные также будут потеряны, и вам придется входить в свой аккаунт с помощью традиционной аутентификации. С Trezor Model Т все иначе. Model T позволяет создать резервную копию хранящихся на устройстве идентификационных данных. Затем, восстанавливая свой кошелек при помощи seed-фразы или одной из ее долей по схеме Шамира, вы также сможете загрузить идентификационные данные на свое аппаратное устройство. В целом процесс восстановления идентификационных данных в случае кражи или потери кошелька Trezor становится более простым и быстрым.

Второй тип аутентификации –двухфакторная аутентификация (2FA), которая представляет собой новую версию устаревшей U2F. Эта функция добавляет второй уровень проверки подлинности к используемому процессу аутентификации. Вы вводите свои учетные данные и подтверждаете логин на дисплее Model T.

Третий тип – многофакторная аутентификация. Сочетание второго фактора (устройство Trezor Model T) с дополнительным фактором (PIN-кодом устройства) способно удовлетворить даже тех пользователей, которые предъявляют к безопасности своей идентификационной информации самые высокие требования. Trezor Model T по умолчанию представляет собой многофакторный ключ безопасности.

Однако удобство использования FIDO2 зависит от уровня онлайн-услуг, предоставляемых соответствующим провайдером. На момент выхода этой статьи логин без использования пароля был возможен только на платформах Microsoft Azure и Live, однако мы ожидаем, что FIDO Alliance продолжит процесс адаптации. Это связано исключительно с тем, что FIDO2 вышел в начале этого года, а внедрение новых стандартов занимает некоторое время.

Зачем использовать FIDO2 с Trezor Model T?

FIDO2 в сочетании с Model T делает ваши онлайн-аккаунты еще более безопасными. Используя Model T в качестве ключа безопасности, вы ограждаете свои учетные данные от доступа злоумышленников в случае потенциального взлома. Каким образом это становится возможным? При каждом входе в систему онлайн-сервис будет запрашивать вашу идентификационную информацию. Затем вы должны будете подтвердить логин при помощи своего ключа безопасности (Model T). Чтобы подтвердить логин, вам нужно будет разблокировать устройство с помощью PIN-кода, а затем подтвердить подлинность входа. Все эти операции выполняются на Trusted Display, что предотвращает утечку данных на сторонние или потенциально зараженные компьютеры. Экран Trezor Model T также позволяет проверить сервис, к которому вы пытаетесь подключиться, и учетную запись, которую вы используете для входа в систему, быстро выявляя любую подозрительную активность.

Как работает FIDO2?

FIDO2 – улучшенная версия устаревшего протокола двухфакторной аутентификации FIDO Universal 2nd Factor (U2F). Он сохранил все преимущества U2F; при этом его основным отличием является тот факт, что аутентификатор FIDO2 также может использоваться в качестве многофакторного аутентификатора. TrezorModel T по умолчанию работает как многофакторный ключ безопасности, потому что для подтверждения запроса на вход на экране Model T необходимо ввести PIN-код устройства.

FIDO2 имеет две спецификации: веб-аутентификация (WebAuthn) и протокол ClienttoAuthenticator (CTAP).

WebAuthn предоставляет онлайн-сервисам стандартный Web API, благодаря которому FIDO Authentication встраивается в браузеры и другие веб-платформы. Таким образом, пользователи могут входить в свои интернет-аккаунты, используя свой ключ безопасности FIDO, например, TrezorModel T.

Как использовать FIDO2

Для начала вам нужно обновить ПО на Trezor Model T до последней версии (не ранее 2.1.8, в которой по умолчанию включен протокол FIDO2). Все, что вам нужно сделать – это найти сервис, поддерживающий аутентификацию FIDO2, и установить Model T в качестве ключа безопасности. В SatoshiLabs мы используем FIDO2 с кошельком Trezor Model T для некоторых из наших самых любимых сервисов, таких как Binance, Dropbox и GitHub.

FIDO2 – революционный тип аутентификации, который позволяет как физическим лицам, так и предприятиям использовать Trezor Model T в качестве дополнительного фактора безопасности для защиты самой важной информации. Ваши учетные данные и конфиденциальная информация, хранящаяся на ваших любимых онлайн-сервисах, заслуживают самой надежной защиты, а сочетание FIDO2 и Model T делает высочайшие стандарты безопасности доступными для всех пользователей.

Хотите узнать больше о FIDO2?

Посетите веб-сайт FIDO Allianceили TrezorWikiи узнайте, как FIDO может повысить вашу безопасность.