WebAuthn
Что такое WebAuthn?
WebAuthnСтандартный JavaScript-API W3C, позволяющий веб-приложениям регистрировать и аутентифицировать пользователей по учётным данным с открытым ключом на платформенных или внешних аутентификаторах.
Web Authentication (WebAuthn) — это браузерная часть FIDO2. Она предоставляет два метода — navigator.credentials.create() и navigator.credentials.get(), — с помощью которых проверяющая сторона генерирует новую пару ключей в аутентификаторе пользователя и впоследствии запрашивает ассерцию (подписанный вызов), чтобы убедиться во владении ключом. Стандарт поддерживает платформенные аутентификаторы (Touch ID, Windows Hello, Android), внешние (USB-, NFC- и Bluetooth-ключи) и синхронизируемые passkey. Поскольку подпись привязана к origin проверяющей стороны, WebAuthn устойчив к фишингу, атакам MITM и повторному использованию учётных данных. Стандарт широко поддерживается основными браузерами и поставщиками удостоверений и служит основой для беспарольной и устойчивой к фишингу MFA в вебе.
● Примеры
- 01
Страница входа банка вызывает navigator.credentials.get(), чтобы аутентифицировать клиента с помощью его passkey.
- 02
Регистрация аппаратного ключа в консоли разработчика через поток регистрации WebAuthn.
● Частые вопросы
Что такое WebAuthn?
Стандартный JavaScript-API W3C, позволяющий веб-приложениям регистрировать и аутентифицировать пользователей по учётным данным с открытым ключом на платформенных или внешних аутентификаторах. Относится к категории Идентификация и доступ в кибербезопасности.
Что означает WebAuthn?
Стандартный JavaScript-API W3C, позволяющий веб-приложениям регистрировать и аутентифицировать пользователей по учётным данным с открытым ключом на платформенных или внешних аутентификаторах.
Как защититься от WebAuthn?
Защита от WebAuthn обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия WebAuthn?
Распространённые альтернативные названия: Web Authentication.