Упрощение аутентификации с помощью проверки локальных данных пользователей на основе FIDO2 для аккаунтов Google
Опубликовано 12 августа 2019 г. источник 👈
Дунцзин Хе, инженер-программист ), и Christiaan Brand, Product Manager ( Кристиан Бренд, менеджер по продуктам )
Пароли в сочетании с автоматизированной защитой Google, помогают защитить миллиарды пользователей по всему миру. Но новые технологии безопасности превосходят пароли как по надёжности, так и по удобству.
Имея это в виду, мы рады объявить, что вы можете подтвердить свою личность, используя ваш отпечаток пальца или экран блокировки вместо пароля при посещении определенных служб Google.
Эта функция доступна сегодня на устройствах Pixel и будет доступна на всех устройствах Android 7 и выше в течение следующих нескольких дней.
Эти усовершенствования построены с использованием стандартов FIDO2 , W3C WebAuthn и FIDO CTAP и предназначены для обеспечения более простой и более безопасной аутентификации. Они являются результатом многолетнего сотрудничества между Google и многими другими организациями в FIDO Alliance и W3C.
Важным преимуществом использования FIDO2 по сравнению с взаимодействием с собственными API-интерфейсами для идентификации по отпечаткам пальцев в Android является то, что эти биометрические возможности впервые доступны в веб-интерфейсе, что позволяет использовать одинаковые учетные данные как для собственных приложений, так и для веб-служб. Это означает, что пользователь может зарегистрировать свой отпечаток пальца в каком-либо сервисе всего один раз, и тогда этот отпечаток будет работать как для собственного приложения, так и для веб-сервиса.
Обратите внимание, что ваш отпечаток пальца не будет отправляться на серверы Google - он надёжно хранится на вашем устройстве, и только криптографическое подтверждение того, что вы правильно отсканировали его, отправляется на серверы Google. То есть - всё хранится только на устройстве, а в Google будет лишь отметка о том, что этот ключ блокировки и доступа уже существует. Это фундаментальная часть дизайна FIDO2 .
Упрощенная проверка подлинности при просмотре сохраненного пароля для веб-сайта passwords.google.com
Эти усовершенствования построены с использованием стандартов FIDO2 , W3C WebAuthn и FIDO CTAP и предназначены для обеспечения более простой и более безопасной аутентификации. Они являются результатом многолетнего сотрудничества между Google и многими другими организациями в FIDO Alliance и W3C.
Важным преимуществом использования FIDO2 по сравнению с взаимодействием с собственными API-интерфейсами для идентификации по отпечаткам пальцев в Android является то, что эти биометрические возможности впервые доступны в веб-интерфейсе, что позволяет использовать одинаковые учетные данные как для собственных приложений, так и для веб-служб. Это означает, что пользователь может зарегистрировать свой отпечаток пальца в каком-либо сервисе всего один раз, и тогда этот отпечаток будет работать как для собственного приложения, так и для веб-сервиса.
Обратите внимание, что ваш отпечаток пальца не будет отправляться на серверы Google - он надёжно хранится на вашем устройстве, и только криптографическое подтверждение того, что вы правильно отсканировали его, отправляется на серверы Google. То есть - всё хранится только на устройстве, а в Google будет лишь отметка о том, что этот ключ блокировки и доступа уже существует. Это фундаментальная часть дизайна FIDO2 .
Вот как это работает
Google использует возможность FIDO2 на Android для регистрации привязанных к платформе учетных данных FIDO. Мы запоминаем учетные данные для этого конкретного устройства Android. Теперь, когда пользователь посещает совместимый сервис, такой как passwords.google.com, мы выполняем вызов WebAuthn «Get», передавая идентификатор учетной записи, который мы получили при создании учетных данных. Результатом является действительная подпись FIDO2.
Высокоуровневая архитектура использования отпечатков пальцев или блокировки экрана на устройствах Android для проверки личности пользователя без пароля
Пожалуйста, следуйте инструкциям ниже, если вы хотите попробовать эти настройки.
Условия настроек
- Телефон работает под управлением ОС Android 7.0 (Nougat) или выше
- Ваш личный аккаунт Google добавлен на ваше устройство Android в разделе : Настройки — Аккаунты — Google — нужный аккаунт
- На вашем устройстве Android активирован способ защиты блокировкой в разделе : Настройки - Безопасность
- Откройте приложение Chrome на устройстве Android
- Перейдите на https://passwords.google.com.
- Выберите сайт для просмотра или управления сохраненным паролем
- Следуйте инструкциям, чтобы подтвердить, что вы пытаетесь войти
Для дополнительной безопасности
Помните, что автоматическая защита Google надежно блокирует подавляющее большинство попыток входа, даже если у злоумышленника есть ваше имя пользователя или пароль. Кроме того, вы можете защитить свои учетные записи с помощью двухэтапной проверки (2SV), включая ключи безопасности Titan и встроенный ключ безопасности телефона Android .
И ключи безопасности, и проверка локального пользователя на основе биометрии используют стандарты FIDO2. Однако эти две защиты относятся к разным случаям использования. Ключи безопасности используются для начальной настройки нового устройства в качестве второго фактора в составе двухэтапной авторизации, чтобы удостовериться, что это владелец аккаунта, который производит эти настройки.
Проверка локального пользователя на основе биометрии происходит после начальной загрузки устройства и может использоваться для повторной проверки подлинности во время сеансов проверки личности уже вошедшего в систему пользователя.
Что мы планируем делать дальше
Эта новая возможность знаменует собой ещё один шаг на пути к тому, чтобы сделать аутентификацию более безопасной и удобной для всех пользователей. Поскольку мы продолжаем придерживаться стандарта FIDO2, вы увидите больше мест, где локальные альтернативы паролям принимаются в качестве механизма аутентификации для сервисов Google и Google Cloud. Посмотрите эту презентацию, чтобы получить представление о вариантах использования, над которыми мы работаем для дальнейшего совершенствования системы безопасности.
