Компания «Аладдин Р.Д.» представила новое устройство JaCarta U2F, предназначенное для аутентификации пользователей при их обращении к онлайновым ресурсам.
Устройство выполнено в форм-факторе USB-токена, конкретно с использованием токена JaCarta в корпусе Nano, защищенном от возможности взлома и клонирования (подтверждено сертификатом EMVCo), с поддержкой проверки подлинности устройства. Функционируя как USB Human Interface Device (клавиатура), JaCarta U2F не требует установки дополнительных драйверов и распознается широким спектром программных платформ и устройств.
JaCarta U2F позволяет пользователю проводить двухфакторную аутентификацию сразу к нескольким аккаунтам только по предъявлению самого токена и упрощенного пароля (ПИН-кода). Поскольку новое устройство поддерживает стандартный протокол U2F, разработанный альянсом Fast IDentity Online (FIDO, образован в 2013 г.) для безопасной строгой аутентификации пользователя без ручного ввода паролей, оно может выполнять свои функции при обращении к любому онлайновому ресурсу, на стороне которого развернут сервер, поддерживающий стандарты FIDO.
Функционал данного сервера может быть (программно) встроен непосредственно в приложение, с которым взаимодействует пользователь . Сервер поддерживает это взаимодействие, обеспечивает хранение данных о всех зарегистрированных пользователях (токенах) приложения, проверку аутентификационных данных при обращении. Его можно настроить на работу не с любыми токенами, а только с конкретным типом.
В настоящее время можно приобрести готовые решения серверной части поддержки протокола U2F или разработать ее самостоятельно с помощью предлагаемых FIDO готовых компонентов.
Важно отметить, что на сегодняшний день FIDO объединяет ведущие технологические компании-разработчики (Google, Microsoft, RSA, Samsung и др.), крупные финансовые и платёжные структуры (Bank of America, MasterCard, VISA, PayPal и др.), поставщиков популярных онлайновых услуг (Google, Microsoft, Alibaba и др.).
Как было отмечено выше, токен JaCarta U2F обеспечивает безопасную аутентификацию владельца к нескольким (более полутысячи) онлайн-ресурсам. При первом обращении к ресурсу пользователь должен пройти регистрацию, введя логин и пароль (можно упрощенный
Если пользователь захочет подключиться к ресурсу, где его U2F-токен уже зарегистрирован, после ввода логина и (упрощенного) пароля (единых для всех ресурсов, с которыми взаимодействует пользователь) U2F-сервер ресурса cформирует дополнительный запрос, который содержит идентификатор ресурса и идентификатор ключевой пары, сформированной на токене при регистрации. После этого, нажав на кнопку токена, пользователь должен подтвердить обращение к ресурсу. По идентификатору ресурса U2F-токен выбирает нужную ключевую пару, на закрытом ключе подписывает запрос и отправляет его U2F-серверу, который проверяет подпись под запросом и предоставляет (или запрещает) доступ.
Представители «Аладдин Р.Д» подчеркивают, что новое средство аутентификации не является средством криптозащиты информации (СКЗИ), что избавляет пользователя от необходимости оформления лицензии ФСБ и одновременно упрощает и удешевляет работу со средством. В то же время технология U2F защищает от фишинга и атак «человек посередине». Кроме того, поскольку каждая ключевая пара связана с URL онлайн-ресурса, то при попытке подмены идентификатора ресурса не пройдёт проверка подписи запроса на сервере.
«С началом производства и выпуска в продажу токена JaCarta U2F наша компания переходит из разряда value-added distributor в категорию полностью самостоятельных российских вендоров со своей разработкой, тестированием и производством», — заявил генеральный директор компании «Аладдин Р.Д.» Сергей Груздев.
В «Аладдин Р.Д.» предполагают, что объем продаж нового устройства за ближайший календарный год может достичь миллиона штук. Компания намерена продвигать инфраструктуру аутентификации U2F на российском (и не только) рынке, предлагая её всем заинтересованным потенциальным заказчикам, среди которых она в первую очередь видит владельцев самого широкого спектра онлайновых ресурсов, заинтересованных в безопасном доступе своих клиентов, а также те компании, которые захотят предлагать онлайн-аутентификацию как сервис.