Autentizace podle WebAuthn
SecurityWorld 4/2018 - Přiblíží specifikace WebAuthn konec uživatelských hesel? To je otázka na kterou se ve svém článku snaží odpovědět technický ředitel NEWPS.CZ, David Čečelský
Na úvod tohoto článku bych se rád zmínil o problematice webových útoků, které známe pod pojmem Phishing. Jedná se o snahu počítačových podvodníků získat vaše citlivé osobní informace, jako jsou hesla, údaje o platebních kartách, nebo čísla bankovních účtů. Typicky lze takto podvodný požadavek dostat přímo do mailové schrány, častěji se však dá „naletět“ přesměrováním na falešné webové stránky. Tyto webové stránky se snaží obvykle věrně napodobit prostředí vašeho internetového bankovnictví, služeb typu PayPal, Paysec apod. Jako člověk který rád cestuje, jsem se s podobnými podvody často setkal, v nedávné době mě však zaujal jeden případ, kdy mi jeden kamarád povídal, jak se setkal s touto podvodnou metodou při vyřizování elektronického víza do Indie. Naštěstí měl přesnou informaci, kolik takové vízum stojí, takže když se dostal k placení poplatku za vízum, všimnul si že částka je téměř dvojnásobná. Následně ho telefonicky kontaktovala osoba, která nabídla pomoc při dokončení žádosti (to je samo o sobě a zejména v případě indického velvyslanectví poměrně úsměvné) no a nakonec si všimnul, že URL adresa webové stránky je poněkud neobvyklá.
Bránit se phisingu nemusí být vždy úplně jednoduché a hlavní je samozřejmě obezřetnost uživatelů. Čeho všeho je třeba si všímat zde nebudu rozvádět, důležité je však dbát na svoje přihlašovací údaje – jméno a zejména heslo. Hesla zásadně nikomu nemůžeme zasílat, sdělovat, nebo jinak sdílet, jinak samozřejmě mohou přijít velké problémy.
Uživatelská jména a hesla všichni z nás hojně používáme při přístupu k různým poskytovatelům služeb na internetu. V současné době nás trápí i vyšší požadavky na komplexnost hesla (délka, kombinace různých znaků, čísel apod.) takže každý z nás čas od času používá funkci pro obnovení hesla. Nyní však přichází nová technologie s označením WebAuthn - Web Authentication, která umožní posunout tradiční metody přihlašování jménem a heslem zase o krok dál – konkrétně přidáním dvoufaktorové autentizace. Uživatelé tak mohou pro přihlašování využít například otisk prstu, rozpoznání hlasu, skenu očí/obličeje, (metody jsou dnes dostupné na dražších mobilních telefonech), nebo uživatelé použijí speciální hardwarové zařízení. Používání hardwarových zařízení, které dokáže generovat pár veřejných a privátních klíčů a podepisovat pomocí nich, není na trhu žádnou novinkou. Novinkou jsou však nové autentizační metody, které pocházejí od konsorcia Fast IDentity Online (FIDO) a jsou označovány jako UAF a U2F. Protokol, který je dle U2F využíván pro generování klíčů, zaregistrování a přihlašování se nazývá Client to Authenticator Protocol (CTAP) a tento prokol je právě kompatibilní s technologií WebAuthn. Pro rozšíření těchto metod hovoří i propojení aliance FIDO s konsorciem W3C, které právě stojí za návrhem WebAuthn a aktuálně je již pouze krůček od toho, aby se stalo webovým standardem (v srpnu 2018 byl WebAuthn ve stádiu Candidate Recommendation). Nový standard navíc podporují i velcí hráči na trhu, jako Google, Microsoft, Mozilla a už dnes jsou v posledních verzích webových prohlížečů tyto metody podporovány.
Prakticky tedy bude vypadat uživatelské přihlášení tak, že uživatel vlastní hardwarový prostředek, který bude certifikovaný konsorciem FIDO a toto zařízení komunikuje se SW klientem (podporovaným webovým prohlížečem) pomocí definovaného rozhraní. HW prostředek může být např. mobilní telefon, chytré hodinky, NFC štítky, nebo klíčenka s USB připojením. Při tomto typu přihlašování jsou citlivá data stále na výše uvedeném zařízení, neposílají se nikam na server a nelze je tedy zneužít formou phisingu, nebo útokem typu man-in-the-middle. Příkladem může být například aplikace do mobilních telefonů Authy (https://authy.com/), která dnes poskytuje možnost dvoufaktorového přihlášení ke službám typu Facebook, Yahoo, Gmail, Amazon nebo Twitter. Dalším příkladem může být například přihlašování pomocí Windows Hello, kde v prostředí systému Windows 10 může uživatel využívat biometrické prostředky přihlašování, kterými disponuje dané zařízení (tablet, počítač, mobilní telefon).
Mezi poskytovatele služeb, kteří momentálně poskytují podporu pro přihlašování WebAuthn patří prozatím Google, Facebook, GitHub, Dropbox, nebo Salesforce. Seznam bude jistě postupem času narůstat. Pro uživatel to ovšem neznamená, že zcela opustí přihlašování jménem a heslem. Pouze mají možnost k tomuto tradičnímu způsobu přidat ten druhý bezpečnostní faktor.
Ing. David Čečelský
Delivery Director
NEWPS.CZ
Zdroj: SecurityWorld 4/2018