Организация W3C совместно с FIDO Alliance представили новый метод авторизации пользователей два года назад. Новый стандарт аутентификации WebAuthn предлагает упрощенный и более безопасный способ входа в свою учетную запись на веб-сайте. Несколько дней назад, 4 марта 2019 года, этот стандарт был утвержден
Стандарт уже поддерживается в последней версии браузера Firefox, и в ближайшем будущем поддержка WebAuthn также будет добавлена в Chrome и Edge. Opera добавит поддержку WebAuth в свой браузер в ближайшем будущем. Остается Safari, но пока от Apple нет информации по этому вопросу.
Технология позволит активно развивать современные методы аутентификации на сайтах. Это методы, использующие, например, биометрические функции и USB-ключи. Новый стандарт также уменьшит фишинг, что является еще одним положительным моментом.
Как работает новая технология?
Регистрация на сайте с смартфона:
- Пользователь заходит на веб-сайт http://example.com и входит в свою учетную запись, используя традиционные методы (например, пароли), или создает новую учетную запись.
- На смартфоне появится сообщение «Вы хотите зарегистрировать устройство на http://example.com».
- Пользователь принимает заявку.
- Смартфон просит пользователя подтвердить личность, используя предварительно настроенный метод аутентификации (PIN-код, биометрические символы и т. Д.). Пользователь выполняет этот шаг.
- Отображается сообщение «регистрация завершена» на веб-сайте.
Аутентификация на странице с ноутбука или ПК:
- Пользователь переключается на страницу example.com в браузере и видит опцию «Войти с помощью смартфона».
- Пользователь выбирает эту опцию и получает сообщение из браузера «Пожалуйста, завершите операцию на вашем смартфоне»
На смартфоне делаем следующие шаги:
- На экране смартфона пользователь видит приложение или уведомление «Перейти на example.com?».
- Пользователь выбирает это приложение / приложение.
- Отображается список всех учетных записей пользователя для example.com.
- Пользователь выбирает учетную запись, после чего смартфон запрашивает подтверждение личности, используя измененный метод аутентификации (PIN-код, биометрические символы и т. д.). Пользователь выполняет это действие.
Вернемся к ноутбуку или ПК:
Веб-сайт показывает, что пользователь успешно вошел в систему и перенаправляет его на веб-сайт авторизованного пользователя.