Єдиний шлях — змінити всю модель безпеки. Як ми створили застосунок для безпарольної багатофакторної автентифікації

💡 Усі статті, обговорення, новини про Mobile — в одному місці. Приєднуйтесь до Mobile спільноти!

Вітаю, я Олег Науменко, СЕО Hideez та серійний підприємець із глибоким досвідом у сфері кібербезпеки. Як сертифікований член FIDO Alliance співпрацюю з урядовими, фінансовими та медичними організаціями, щоб замінити застарілі методи входу безпечним та безперебійним доступом до робочих станцій та облікових записів.

Кілька років тому я на власному прикладі відчув наслідки кібератаки. Мої акаунти були зламані, з картки зникли кошти, а доступ до електронної пошти я втратив. Це не просто засмутило, це змусило задуматись. Я зрозумів, наскільки крихким є наше цифрове життя, і як багато залежить від однієї простої речі: паролів.

Тоді я вирішив, що хочу змін. Не просто полагодити систему, а повністю її переосмислити. Що, якби ми могли позбутися паролів взагалі?

Як виникла ідея створити безпарольний автентифікатор

Зламані облікові записи в наш час зʼявляються через встановлення простих і повторюваних паролів. Зазвичай кожен має десятки облікових записів на різних сайтах, і запам’ятати унікальний складний пароль для кожного майже неможливо. Саме ця проблема викликала ініціативу щодо переосмислення архітектури цифрової безпеки: не для латання системи, а для заміни її найголовніших елементів.

Це не був мій перший досвід у створенні техніки. У 2007 році я заснував Pocketbook. Це компанія, де ми розробляли електронні книги, що підтримували 19 форматів файлів без потреби у конвертації та мали зручний інтерфейс, у той час, коли інші змушували користувачів конвертувати файли, щоб просто прочитати завантажену книгу. Цей досвід навчив мене, що технології повинні бути зручними. Вони повинні розв’язувати проблеми й спрощувати наше життя.

Згодом я з Денисом Залізняком та кількома інженерами з PocketBook заснували Hideez. Маючи великий досвід у криптографії та розробці прошивок, ми почали з простої ідеї: створити пристрій, який безпечно зберігатиме паролі. Так з’явився Hideez Key, наш перший продукт — фізичний токен, який забезпечував користувачам безпечний доступ до їхніх акаунтів без необхідності памʼятати та вводити свої паролі. Ми запустили його на краудфандинговій платформі, зібрали стартовий капітал та отримали чудові відгуки.

Ключ Hideez об’єднав технологію апаратного шифрування та вбудовану пам’ять для зберігання паролів під рукою. Він працював сам по собі та не потребував безперервного підключення до хмари. Це дозволяло нам триматися якомога далі від звичайних небезпек, пов’язаних зі збереженням усіх облікових даних в одному місці. Саме з цього почалося наше бажання створити повністю децентралізовані способи довести, хто ви є.

Чому саме безпарольна автентифікація

Річ була не тільки в тому, де зберігати паролі. Проблема полягала в самих паролях. Незалежно від того, наскільки безпечно ви їх зберігаєте, люди все одно використовують ті самі паролі. Ці паролі доволі просто підібрати або перехопити. Хакерам за допомогою фішингових атак або методів соціальної інженерії вдається їх дізнатися і навіть звичайна двофакторна аутентифікація не рятує.

У 2018 році наша команда пройшла профільну акселераційну програму з кібербезпеки — Mach37 у Вірджинії. Ми були єдиним стартапом з України. Цей досвід змусив переосмислити наш продукт і цільову аудиторію. Ми переорієнтувалися зі споживчого ринку на B2B, зосередившись на кібербезпеці для підприємств, державних установ та критичної інфраструктури.

Після розробили рішення для автентифікації без паролів на основі FIDO2 — відкритого стандарту, покликаного усунути необхідність використання паролів.

FIDO2 (Fast IDentity Online 2) — це дуже відомий відкритий стандарт автентифікації, що забезпечує надійніші та зручніші методи входу в систему, й зазвичай не потребує введення паролів. Його створено для того, щоб зберегти від різних кібератак, таких як фішинг, крадіжка облікових даних та атаки повторного відтворення (replay attacks).

Основна сила FIDO2 полягає в його використанні криптографії з відкритим ключем (public-key cryptography), що кардинально відрізняється від традиційної парольної системи. Розкажу вам ключові механізми захисту, бо це важливо для розуміння того, як працює Hideez:

1. Криптографія з відкритим ключем (Public-Key Cryptography)

Замість пароля FIDO2 використовує пару ключів: приватний та публічний:

• Приватний ключ. Генерується і надійно зберігається на пристрої користувача (автентифікаторі) і ніколи не залишає його. Це може бути вбудований апаратний модуль (наприклад, у вашому смартфоні чи комп’ютері) або зовнішній пристрій (наприклад, USB-ключ безпеки, такі дуже часто використовують підприємства).
• Публічний ключ. При реєстрації користувача на вебсервісі (що називається «Relying Party» або RP), публічний ключ передається та зберігається на сервері цього сервісу.

Коли ви намагаєтесь увійти, сервер надсилає «виклик» вашому пристрою. Пристрій використовує свій приватний ключ для криптографічного підпису цього виклику. Підписаний виклик надсилається назад на сервер, який перевіряє його за допомогою збереженого публічного ключа. Якщо підпис дійсний, вітаю — автентифікація успішна.

Оскільки приватний ключ ніколи не покидає пристрій, а автентифікація відбувається лише через криптографічний підпис, тобто зловмисникам буквально неможливо викрасти «пароль» або перехопити його. Кожен ключ FIDO2 прив’язаний до конкретного домену, що робить фішингові сайти недієвими, бо їхній домен не збігатиметься з тим, на який розрахований ключ.

2. Відсутність спільних «секретів» на сервері

На відміну від паролів, які зберігаються (хоч й у хешованому вигляді) на серверах, FIDO2-ключі ніколи не зберігаються на сервері. Це суттєво зменшує ризик масових витоків ваших даних, оскільки викрадення бази даних сервера не дасть зловмисникам можливості увійти в ваші акаунти.

3. Захист від атак повторного відтворення

Використання унікальних «викликів» (challenges) при кожній спробі автентифікації гарантує, що перехоплений раніше підписаний запит не може бути використаний повторно зловмисником.

4. Стійкість до «Man-in-the-Middle» атак

Завдяки прив’язці ключів до доменів та криптографічній перевірці FIDO2 ефективно запобігає атакам, де зловмисник намагається перехопити та змінити комунікацію між вами як користувачем та сервером.

5. Локальне підтвердження користувача

Для доступу до приватного ключа на пристрої користувач має виконати локальну дію, яка підтверджує його присутність. Це можуть бути відомі нам: TouchID, PIN-код, Натискання кнопки.

6. Унікальні ключі для кожного сайту

FIDO2 генерує унікальні пари ключів для кожного вебсайту чи сервісу. Це означає, що скомпрометований ключ на одному сайті не може бути використаний для доступу до облікових записів на інших сайтах, підвищуючи приватність користувачів. І тут вже відпадає проблема багатьох з нас — один пароль на всі сайти.

Але на базі чого побудовані механізми FIDO2?

FIDO2 — це результат співпраці FIDO Alliance та World Wide Web Consortium (W3C). Він складається з двох основних компонентів:

1. Web Authentication API (WebAuthn)

• Це вебстандарт, розроблений W3C.
• WebAuthn — це інтерфейс прикладного програмування (API), який дозволяє вебзастосункам і браузерам взаємодіяти з автентифікаторами FIDO2 для реєстрації та аутентифікації користувачів.
• Саме WebAuthn забезпечує взаємодію між веббраузером (або цілою операційною системою) і вебсервісом, надсилаючи виклики, отримуючи відповіді та безпечно передаючи дані.

• Це протокол, розроблений FIDO Alliance.
• CTAP визначає, як клієнт (браузер або операційна система) спілкується з автентифікатором FIDO (наприклад, зовнішнім USB-ключем безпеки, смартфоном або вбудованим біометричним модулем).
• Існують дві версії: CTAP1 (колишній FIDO U2F). В основному використовується як другий фактор автентифікації. CTAP2. Підтримує як другий фактор, так і безпарольну аутентифікацію з локальною верифікацією користувача (PIN, біометрія).

Отже, FIDO2 = WebAuthn + CTAP.

Таким чином FIDO2 являє собою потужний та гнучкий стандарт, який дозволяє створювати набагато безпечніші та зручніші системи аутентифікації, переходячи від вразливих паролів до надійних криптографічних методів.

Які технології/алгоритми криптографії ми обрали

Ми створили власне серверне програмне забезпечення, Hideez Server, і об’єднали його з безпечними апаратними токенами та мобільним застосунком. Приватний ключ генерується безпосередньо на пристрій та ніколи його не залишає. Жодні дані не передаються, жодні паролі не зберігаються.

Тобто, простими словами, у нашому застосунку Hideez Authenticator для підтвердження транзакції або входу використовується біометрична автентифікація користувача. Це всім вже знайомий Face ID або сканер відбитків пальців. При цьому це робить застосунок не просто «ключем», а невіддільним елементом криптографічного ланцюжка. Він може працювати як автентифікатор FIDO2 у системах безпеки Zero Trust, пропонуючи інтеграцію з такими платформами, як Azure AD, Okta тощо.

Azure Active Directory та Okta — це хмарні платформи управління ідентифікацією та доступом, перша відома також як Microsoft Entra ID. Вони дозволяють організаціям керувати користувачами, їх доступом до ресурсів та забезпечувати безпеку в хмарних та локальних середовищах.

Тож завдяки підтримці WebAuthn і можливості локального шифрування даних ця програма дозволяє організаціям швидко масштабувати автентифікацію без пароля без потреби у фізичних маркерах.

Користувацький досвід безперервний: потрібно відкрити систему, наприклад CRM, та підтвердити вхід одним кліком за допомогою електронного ключа Hideez або біометричного сенсора на телефоні. Ось і все. Нічого не потрібно вводити, ризику фішингу немає. Навіть якщо хтось заволодіє вашим телефоном або електронним ключем, без додаткової верифікації він не зможе отримати доступ.

Ми впровадили це рішення у клієнтів у сфері охорони здоров’я, виробництва, фінансового та державного сектору — галузях, де дотримання вимог та захист даних мають критичне значення. Наприклад, один із наших клієнтів у сфері медицини скоротив час входу в систему для персоналу до 5 секунд, що дуже важливо, коли ви маєте справу з десятками пацієнтів і наданням невідкладної допомоги.

На базі апаратних ключів Hideez Key ми реалізували сценарії автентифікації по відстані (Proximity Authentication). Так на виробничій лінії, що знаходиться в чистій кімнаті, люди можуть за допомогою торкання Hideez Key авторизуватися в системі та запустити або змінити технологічний процес. А після того, як користувач відходить від терміналу керування, він автоматично блокується.

Які були основні вимоги до нового рішення

У процесі роботи ми зрозуміли важливу річ: кібербезпека — це не тільки технологія. Це про людей. Ми розробили Hideez з урахуванням людської поведінки — моментів, коли щось йде не так, наприклад, втрата токена або забуття даних. Наша система має резервні методи автентифікації, гнучкі опції відновлення та аналітику на рівні адміністратора для відстеження того, як, коли та якими методами користувачі проходять автентифікацію.

Крім того, розуміючи реальні умови впровадження, ми зробили наше рішення максимально універсальним з погляду моделі мобільного телефону та версії операційної системи.

Для корпоративного сегмента ми також впровадили підтримку політик доступу на основі контексту — з урахуванням часу, геолокації, типу пристрою або профілю користувача. Це дозволяє адміністраторам виявляти нестандартні сценарії доступу. Тобто усі дії фіксуються, що забезпечує прозорість відповідно до вимог стандартів GDPR, HIPAA та NIST SP 800-63B.

Ми також подбали про те, щоб рішення легко інтегрувалося в реальні середовища — чи то Microsoft Active Directory, Entra ID, Google Workspace, чи гібридні інфраструктури. Навіть якщо система не підтримує стандарт FIDO2 та не працює з SAML або OIDC, Hideez може з нею працювати.

Сьогодні я щиро вірю, що майбутнє належить автентифікації без паролів. Ми живемо в епоху, коли фішингові атаки відбуваються щосекунди, а кіберзлочинність приносить більше прибутку, ніж наркоторгівля. Єдиний шлях вперед — це змінити всю модель безпеки, не вимагаючи від користувачів запам’ятовувати більше, а навпаки менше.

Ми запустили Hideez з ідеєю, що цифрова безпека має бути легкою. Не просто безпечною, а невидимою, якщо все зроблено правильно. Це — мета, до якої ми все ще прагнемо. І для мене, як для людини, яка колись втратила все через кілька викрадених паролів, це особисте.

У найближчі роки ми плануємо розширити наші технології до повного впровадження моделі Passwordless Enterprise — архітектури, в якій кожен вхід до будь-якої системи або сервісу в організації здійснюється без використання паролів. Ми також активно досліджуємо потенціал постквантової криптографії та нових методів біометричної верифікації, зокрема на основі поведінкових патернів.

Оскільки вже скоро виникне потреба у захисті даних від зламу, коли квантові комп’ютери стануть потужнішими. Вони використовуватимуть кодові криптосистеми, граткові криптосистеми, многочленні та ізогенійні криптосистеми та геш-підпис.

Світ змінюється, і ми прагнемо, щоб цифрова безпека змінювалася разом із ним — стаючи не обтяжливою, а невидимою, природною частиною цифрового повсякдення.