Пароли сломаны. WebAuthn — новый стандарт аутентификации

Опубликовано: 2022-09-22

Недавно iThemes Security Pro добавила ключи доступа в качестве основного метода аутентификации для сайтов WordPress. Этот новаторский выпуск является первым в своем роде в пространстве WordPress, и вам следует о нем знать. В очередной раз iThemes Security продемонстрировала лидерство в обеспечении исключительных функций безопасности для пользователей WordPress.

В этом посте мы рассмотрим проблему с паролями, что такое WebAuthn и почему вы начнете повсеместно использовать эту технологию. Если вы являетесь владельцем сайта WordPress и хотите улучшить функциональность входа и безопасности для своих конечных пользователей, теперь у вас есть передовой стандарт для беспрепятственного входа в систему.

Понимание проблемы с паролями, которую решает WebAuthn

Наша онлайн-жизнь, включая учетные записи пользователей, используемые WordPress, основана на доступе с помощью имени пользователя и пароля. Какое-то время это было нормально. Но затем повторное использование паролей, атаки методом перебора по словарю и обмен взломанными данными учетной записи злоумышленниками сделали нашу систему безопасности на основе паролей неэффективной.

Фактически, в отчете Verizon DBIR за 2022 год сообщается, что более 80% нарушений могут быть связаны с украденными учетными данными, и украденные учетные данные в качестве основного вектора вторжения увеличились на 30% по сравнению с использованием уязвимостей.

Учетные данные относятся к комбинации имени пользователя и пароля. И данные Verizon говорят нам об одном: пароли взломаны. Добавление двухфакторной аутентификации (2FA) было полезным, но, к сожалению, добавленные трения и сложности привели к тому, что ее приняли только 28% пользователей. Мы получим это; 2FA добавляет еще один уровень трения для злоумышленников, но также усложняет вход в систему для пользователей. А в случае двухфакторной аутентификации на основе SMS она недостаточно безопасна. Истории об атаках портов SIM-карты для важных целей не являются обычным явлением, но когда они происходят, они имеют катастрофические последствия.

Альянс FIDO (Fast Identity Online) работает над устранением этих проблем, и WebAuthn — это спецификация, появившаяся в результате этой работы.

На данном этапе нашей цифровой жизни пароли взломаны. К счастью, есть новый и лучший способ аутентификации — WebAuthn.

Что такое WebAuthn?

WebAuthn — это сокращение от Web Authentication API. Это спецификация, написанная W3C и FIDO при участии Apple, Google, Mozilla, Microsoft, Yubico и других. WebAuthn API позволяет серверам регистрировать и аутентифицировать пользователей, используя криптографию с открытым ключом вместо пароля. С января 2019 года WebAuthn поддерживается в Chrome, Firefox, Microsoft Edge и Safari. На момент написания этой статьи WebAuthn поддерживается более чем 90 % устройств и их браузеров.

WebAuthn является частью структуры FIDO2, которая представляет собой набор технологий, обеспечивающих беспарольную аутентификацию между серверами, браузерами и аутентификаторами. WebAuthn был стандартизирован консорциумом World Wide Web.

Теперь, когда многие наши устройства используют биометрическую аутентификацию, такую ​​как FaceID на вашем iPhone или распознавание отпечатков пальцев на вашем MacBook, Windows Hello и многие другие, у нас есть новый метод определения того, действительно ли попытка входа в систему является действительным пользователем. а не атака грубой силой.

Как работает WebAuthn?

WebAuthn использует криптографию с открытым ключом для защиты соединений между пользователями и используемыми ими системами. Используя WebAuthn, вы можете использовать один метод аутентификации, например биометрию на ваших устройствах или YubiKey, на любом сайте, который поддерживает этот стандарт. Таким образом, как пользователь, вам не нужно иметь пароли для каждого сайта, который вы посещаете, только надежный аутентификатор, который работает с WebAuthn.

Используя эту строгую аутентификацию вместо пароля, мы можем создать пару закрытый-открытый ключ для веб-сайта. Закрытый ключ надежно хранится на вашем устройстве (например, на вашем телефоне или компьютере), а открытый ключ и случайно сгенерированные учетные данные отправляются на веб-сервер для хранения. Веб-сервер и, в случае паролей безопасности iThemes, ваш сайт WordPress могут использовать открытый ключ для проверки личности пользователя.

Как работает WebAuthn

Этот открытый ключ не является секретным. Таким образом, если веб-сервер или сайт WordPress когда-либо будут взломаны, учетные данные, хранящиеся в открытом ключе, будут бесполезны для злоумышленника. Открытый ключ просто не может быть использован без закрытого ключа.

Чтобы понять, как на самом деле работает WebAuthn, в проекте FIDO2 есть отличные ресурсы.

WebAuthn меняет ландшафт безопасности

WebAuthn действительно новатор в мире безопасности. Базы данных уже не так привлекательны для хакеров, потому что открытые ключи для них бесполезны. Кроме того, WebAuthn затрудняет кражу учетных данных.

А конечным пользователям WebAuthn избавляет от необходимости запоминать несколько имен пользователей и паролей. Например, все, что нужно пользователю на MacBook, — это его отпечаток пальца, чтобы войти на свой сайт с ключами безопасности iThemes.

Apple, внедрившая WebAuthn, также отмечает, что WebAuthn защищает от фишинговых атак. Фишинговая атака, которая отправляет пользователям электронные письма со ссылками на поддельные экраны входа в систему, не будет эффективной без паролей. Пользователь, использующий ключи доступа для входа в учетную запись, даже не будет иметь пароля для предоставления вредоносной фишинговой форме. Аутентификация полностью обрабатывается закрытым ключом, хранящимся на их устройстве, который взаимодействует с открытым ключом, хранящимся на веб-сервере. WebAuthn эффективно делает как случайные фишинговые атаки, так и целевые фишинговые атаки совершенно неэффективными.

Игра в области безопасности изменилась с WebAuthn. Хотя может пройти некоторое время, прежде чем атаки методом грубой силы и кража паролей станут менее привлекательными для злоумышленников, активные владельцы сайтов, решившие внедрить WebAuthn, станут лидерами в обеспечении того, чтобы их сайты больше не были частью игры.

Беспроблемный вход в систему делает клиентов более счастливыми

Эти владельцы сайтов также предоставляют дополнительную ценную функцию для своих пользователей, клиентов, студентов или тех, кто входит на их сайты WordPress. Вместо того, чтобы требовать наличия сложных протоколов многофакторной аутентификации для обеспечения безопасности сайта WordPress, WebAuthn, реализованный iThemes Security, позволяет владельцам сайтов обеспечивать беспрепятственный вход в систему без пароля, делая их сайт менее привлекательным для хакеров.

Ожидаются новые реализации WebAuthn

Вы можете посмотреть, как меняет жизнь эта технология, и удивиться, почему все больше сайтов, сервисов и приложений не используют WebAuthn. Хотя эта технология является новаторской, она также является очень новой. Добавление WebAuthn к устаревшим службам потребует некоторого рефакторинга. Но, как мы видели со многими новыми технологиями, которые меняют ландшафт, это грядет. Необходимость выйти за рамки паролей является определенным драйвером. И по мере того, как все больше пользователей будут пользоваться беспрепятственными возможностями входа в систему, мы начнем видеть запросы пользователей на расширение входа без пароля.

Таким образом, iThemes Security зарекомендовала себя как лидер в области безопасности WordPress, изменив подход пользователей к входу в систему WordPress. iThemes Security Passkeys — это первая реализация WebAuthn в пространстве WordPress, и она, безусловно, станет стандартом в будущем.

Чтобы получить пароли iThemes Security для вашего сайта WordPress сейчас, вам понадобится iThemes Security Pro. К счастью, в настоящее время вы можете получить это по сниженной цене. Однако вы не увидите таких низких цен долго. Распродажа заканчивается 30 сентября 2022 года.

Получите пароли безопасности iThemes для своего сайта