W ostatniej dekadzie każda witryna, do której mamy dostęp, aby dokonać zakupu, niezależnie od tego, czy mamy dostęp do sieci społecznościowej, forów itp. Zawsze prosi nas o zalogowanie się za pomocą nazwy użytkownika lub adresu e-mail, a także odpowiedniego hasła, za pomocą którego rejestrujemy konto. Główny problem przy korzystaniu z tej metody logowania, czyli naszego logowania do serwisu, polega na tym, że bardzo łatwo jest ukraść nasze dane lub znaleźć hasło do logowania. Dzieje się tak zwykle dlatego, że go nie używasz silne hasła bo może być trudniej zapamiętać.
Ze względu na wszystkie te obawy dotyczące bezpieczeństwa, FIDO Alliance i World Wide Web Consortium, lepiej znane jako W3C, opracowały znacznie bezpieczniejszy i wygodniejszy system łączy internetowych. Rozwój ten zakończył się stworzeniem FIDO2 i WebAuthn, o których już mówiliśmy w Strefie Redes, ale innym równie lub ważniejszym mechanizmem, o którym większość użytkowników nie zdaje sobie sprawy, jest CTAP ( Protokół uwierzytelniania klienta ).
Co to jest CTAP?
Pierwszą rzeczą, którą należy wiedzieć, jest to, że FIDO2 i WebAuthn to systemy zaprojektowane w celu zastąpienia systemu haseł używanego obecnie przez wszystkich użytkowników. Dzięki FIDO2 i WebAuthn możesz wykorzystać dane biometryczne do połączenia, masz prosty przykład na laptopach, telefonach i innych urządzeniach, które np. mają wbudowany czytnik linii papilarnych. Dzięki odciskowi palca możemy uczynić nasze hasło tym samym odciskiem palca. Bardzo ważne jest, aby nie pomylić go z systemami, które aktualnie znajdują się na różnych urządzeniach, dzięki czemu masz hasło, które pamiętasz podczas logowania (menedżer haseł). Ten system nie jest FIDO2 ani WebAuthn,
Inną opcją, która istnieje i jest coraz częściej stosowana w firmach, jest urządzenie, które łączy się z naszym komputerem jako klucz USB, gdzie wewnętrznie integruje sprzęt w celu uwierzytelnienia i uzyskania bezpiecznego połączenia.
Po zapoznaniu się z poprzednim punktem chcielibyśmy wyjaśnić, jak działa CTAP. CTAP w tym poprzednim przypadku będzie protokołem odpowiedzialnym za kontrolę komunikacji pomiędzy kluczem USB a tokenem uwierzytelniającym. Oznacza to, że CTAP będzie protokołem odpowiedzialnym za bezpieczną komunikację między dwiema stronami, tak aby mogły się komunikować jako pierwsze, weryfikować drugą i wreszcie rozpocząć sesję.
Publikacje CTAP
Po zobaczeniu, czym jest CTAP i jak działa, ważne jest, aby wiedzieć, że obecnie istnieją dwie zupełnie różne wersje CTAP, którym przyjrzymy się poniżej:
- U2F (uniwersalne 2 n / a Czynnik) : Utworzono Pierwsza wersja CTAP jest dokładnie pierwszą wersją utworzonego protokołu i jest lepiej znana jako U2F, co oznacza „Universal 2 n / a Czynnik „. Ta wersja odnosi się do uwierzytelniania dwuskładnikowego lub, jak wielu z was wie na pewno, uwierzytelniania dwuskładnikowego, które stało się tak modne w ostatnich latach.
- CTAP2 : Druga utworzona wersja CTAP to CTAP2. CTAP2 jest używany z WebAuthn i sprawia, że FIDO2 działa. Oznacza to, że podczas gdy WebAuth zarządza połączeniem między komputerem użytkownika a stroną internetową, protokół CTAP2 jest odpowiedzialny za połączenie między komputerem użytkownika a stroną internetową poprzez uwierzytelnianie tokenem. Oznacza to, że WebAuthn zarządza połączeniem, a CTAP2 zarządza połączeniem z uwierzytelnianiem.
Jak działa protokół CTAP
Pierwszą rzeczą, którą musimy wyjaśnić, jest to, że CTAP i WebAuthn muszą współpracować, aby umożliwić FIDO2.
Wszyscy wiemy, że aby móc połączyć się z dowolną stroną internetową, aplikacją internetową itp. To musi mieć system uwierzytelniania, aby móc rozpocząć sesję FIDO2, odbywa się to za pośrednictwem urządzenia zewnętrznego, jak na przykład skomentowaliśmy powyżej klucza USB na plakietce, użytkownik, który jest właścicielem tego urządzenia, a więc może rozpoznać Cię na stronie , aplikacja itp. Dzięki odznace unikamy konieczności używania hasła, które bardzo łatwo byłoby ukraść lub odkryć.
Metody połączenia Authenticator
Obecnie istnieją różne metody łączenia urządzenia uwierzytelniającego z naszym zespołem. Chociaż urządzenie podłączone do portu USB jest obecnie najczęściej używane, ponieważ było jednym z pierwszych zaprojektowanych, mogliśmy również podłączyć urządzenie, które dałoby nam nasz bezpieczny token połączenia za pośrednictwem połączenia NFC lub Bluetooth.
Co jest potrzebne do obsługi naszego bezpiecznego urządzenia łączącego
Aby móc wykorzystać urządzenie do uwierzytelniania, musimy posiadać co najmniej jedną przeglądarkę internetową zgodną z nowymi standardami CTAP, WebAuthn i FIDO2. Na razie, jeśli mamy zaktualizowaną przeglądarkę, Google Chrome i Mozilla Firefox są kompatybilne z FIDO2 w jego najnowszych wersjach.
Inny rodzaj uwierzytelniania:
Jak już powiedzieliśmy, smartfony z odciskiem palca, rozpoznawaniem tęczówki, a nawet rozpoznawaniem twarzy, można utożsamiać z różnymi usługami. Te metody uwierzytelniania, wbudowane w sprzęt, nie wymagają komponentów zewnętrznych, a zatem nie wymagają oddzielnego protokołu komunikacyjnego dla urządzeń, co robi CTAP.
Jak działa komunikacja CTAP
Komunikacja CTAP działa w następujący sposób:
- Najpierw : przeglądarka internetowa łączy się z urządzeniem uwierzytelniającym i żąda informacji.
- Po drugie : Po skomunikowaniu się z urządzeniem, urządzenie wysyła do przeglądarki informacje o oferowanej przez nią metodzie uwierzytelniania.
- Po trzecie : w zależności od informacji otrzymanych przez przeglądarkę, wyśle autorowi polecenie, które może być uruchomieniem sesji lub błędem.
Gdy zobaczymy, jak działa komunikacja CTAP, możemy lepiej zrozumieć, jak działają systemy używane przez producentów takich jak Apple. Ponieważ sprzęt uwierzytelniający jest wbudowany w fizyczny sprzęt urządzenia, dane logowania, takie jak nasz odcisk palca lub twarz, nigdy nie opuszczają urządzenia, tj. przeglądarka internetowa wysyła tylko potwierdzenie logowania za pośrednictwem WebAuthn, ale nigdy nie weryfikuje, czy nasz odcisk palca lub obraz twarzy jest prawdziwy, ponieważ to właśnie obsługuje urządzenie, łącząc wszystko w ten sam materiał.
Za pomocą CTAP, WebAuthn i FIDO2 można wreszcie wyeliminować kradzież haseł typu man-in-the-middle i ataki typu phishing, ponieważ użytkownicy nie muszą wprowadzać hasła, aby rozpocząć sesję.