Комментарии 26
Перевожу с маркетинговского на технический: вы запилили WebAuthn. Это как раз протоколы и browser API, связанные с FIDO2, который расширение U2F. Это очень-очень классно, вы молодцы, что делаете современную и безопасную аутентификацию, но это ни черта не соотносится с заголовком.
Про WebAuthn, кстати, упомянуто в посте.
Обычно принято ругать Mail.ru, но тут следует вполне обоснованно похвалить
Хранится публичный ключ, передаются подписанные credentials
Я ниже отписался в #comment_20742624.
Раньше можно было войти по паролю, теперь по паролю и webauth. С чего это улучшает безопасность?
Даже если webauth гарантирует, что отпечаток (пальца/ключа) не передаётся в мейл.ру через браузер, то кто гарантирует что что он не передаётся китайцам/гуглу(через родную прошивку телефона), мелкософту(для винды), эппл(айос), любому через уязвимости(в тч для остальных систем)? Как мне сменить отпечаток пальца после компрометации?
А вообще — использование отпечатка (или токена, кстати) позволяет не светить паролем лишний раз.
На чужом устройстве не поможет, конечно, раз надо каждый браузер привязывать отдельно, но если вдруг ваш ПК заразит страшный троян или кто-то поставит кейлогер, то пароль не утечет.
кто гарантирует что что он не передаётся китайцам/гуглу(через родную прошивку телефона), мелкософту(для винды), эппл(айос), любому через уязвимости(в тч для остальных систем)
Пользуйтесь железными решениями, вроде Yubikey
WebAuthn не передаёт ваш отпечаток. Это вообще криптографическая аутентификация по схеме запрос-ответ. Ваше устройство должно сделать хитрую операцию с запросом на основе приватного ключа, который докажет, что вы это вы. У сервиса ваш публичный ключ, его можно хоть на заборе написать.
Теперь вопрос: как этот ключ хранить? Например, в защищённом чипе, к которому ваша ОС (Windows 10 вроде умеет) пустит только если вы вошли в систему, и доказали, что вы прямо рядом. Например, отпечаток пальца дали — статья вот это упоминает. Зашли на сайт, войти, ОС предлагает показать палец, успех. Или пароль ещё раз ввели. Кстати, из такого чипа приватный ключ обычно достать нельзя — можно туда его положить, можно попросить его самому создать, можно попросить дать ответ.
Или — тот же ключ у вас на внешнем железном решении, как упомянутый Yubikey или аналогичные. Он, кстати, может просить пароль для разблокировки. Или чтобы его погладили. Или и то, и другое. Но эти пароли не покидают вашу машину! Тем более отпечаток пальца.
Плюс WebAuthn (ещё со времени U2F) в том, что к запросу сайта подмешивается отпечаток самого сайта. Это очень мощная защита от фишинга — Googel получит ответ, который отличается от ответа для Google.
Конечно, всё это упирается в доверие локальной машине, но тут что отпечаток, что пароль, простите.
Так что использование WebAuthn вместе с паролем или без него, в целом, очень классная вещь для защиты своих аккаунтов. Пока именно его не внедрили, схема с нормальным паролем + U2F аналогична (но не было полного API готового).
Но какой в этом смысл. Я включаю комп, прикладываю палец и у меня загружается винда, где уже установленны все эти приложения и произведён вход с запомненным паролем. В чём новизна-то?
Теперь в Почту и Облако Mail.ru можно войти по отпечатку пальца