Пароли больше будут не нужны? Что стоит за технологией WebAuthn и почему это важно для бизнеса?
«Я забыл пароль. Сейчас переберу все пароли, которые вспомню»
«Заблокирует ли меня система, если я введу неверный пароль и в третий раз? »
«Почему меня не пускает в систему, если ввожу верный пароль?»
Наверняка такие ситуации знакомы каждому из нас. Пароли, как «древний» стандарт аутентификации пользователей уже прочно вошли в нашу жизнь. А если посчитать сколько времени мы тратим на идентификацию себя в веб, то можем, мягко говоря, удивиться.
Так, международная компания Yubice, занимающаяся производством безопасных ключей опубликовало исследование, в котором говорится, что около 11 часов в год пользователи тратят время на то, чтобы вспомнить или восстановить свой пароль. Это время обходится компаниям приблизительно в 5 млн. долларов в год.
Однако в скором времени все может измениться. 4 марта 2019 года Консорциум Всемирной паутины (World Wide Web Consortium, W3C) — организация, которая занимается разработкой и внедрением единых стандартов для Интернета официально объявила о поддержке нового старндарта WebAuthn.
Что такое WebAuthn?
Новый стандарт веб-аутентификации WebAuthn предлагает упрощенный и более безопасный способ для входа в свой аккаунт на сайте.
Преимущество WebAuthn состоит в том, что ни логины, ни пароли, ни другие конфиденциальные сведения не покидают браузер и тем самым оставляют «похитителей данных» ни с чем. Попытки фишинга, атаки посредника или атаки повторного воспроизведения проходят впустую.
Как работает новая технология
Последовательность действий пользователя при аутентификации с помощью нового стандарта следующая:
Пользователь через компьютер или ноутбук заходит на сайт example.ru и видит опцию «Войти с помощью телефона».
Пользователь выбирает эту опцию и получает сообщение от браузера «Пожалуйста, выполните вход на своем телефоне».
На телефон приходит уведомление «Войти на сайт example.ru».
При нажатии на уведомление появляется список аккаунтов, из которого выбирается нужный.
Далее, идет запрос авторизации (отсканировать палец, ввести PIN-код и т. д.), и в случае успеха сайт открывается на компьютере/ноутбуке.
Данные входа принадлежат пользователю, а управляются аутентификатором, с которым через браузер и ОС взаимодействует сервис, использующий WebAuthn. С помощью скриптов выполняются операции создания новых данных для входа или реализуется аутентификация по уже существующим. Скрипты не имеют доступа к данным пользователя, а только получают информацию о них в виде объектов
Почему это важно для бизнеса?
Некоторые маркетологи, продавцы, владельцы бизнесов справедливо могут спросить: «Новая технология — это, конечно, хорошо, но мы то тут причем?»
Дело в том, что новый стандарт уже сейчас начнет оказывать влияние на так называемый опыт взаимодействия (user eXperience, UX).
Природа человека такова, что пользователи очень быстро привыкают к хорошему. Учитывая сколько мучений приносило возня с доступом на любимые ресурсы, пользователи неприменно начнут требовать более удобные для них способы регистрации и аутентификации.
Да, безусловно, останется и старый способ идентификации на сайте. И можно пользователей заставить использовать устаревшую технологию. Но это будет примерно то же самое, когда потребитель будет использовать смартфон без сенсора, или стиральную машину с ручным отжимом.
Негативный опыт взаимодействия неизбежно увеличивает коэффициент отказа на сайта. А это, в свою очередь, влияет также и на ранжирование в поисковых системах.
Поэтому уже сейчас важно, как минимум, задумываться о том, как начать использовать технологию WebAuthn..
Протестировать возможности WebAuthn можно на сайте webauthn.org