Рутокен MFA

Устройства линейки Рутокен MFA работают по стандарту FIDO2 (CTAP2). Это открытый стандарт универсальной пользовательской аутентификации, разработанный международным консорциумом FIDO Alliance. Он является улучшенной версией стандарта U2F (CTAP1).

В стандарте реализованы следующие улучшения в области безопасности:

• добавлена проверка PIN-кода устройства перед аутентификацией Пользователя.
• добавлен режим беспарольной (passwordless) аутентификации, позволяющий полностью отказаться от паролей в веб-сервисах и обеспечивающий удобную, быструю и безопасную аутентификацию. В данном режиме конфиденциальная информация об учетных записях хранится не на сервере, а на пользовательском устройстве.

В основе стандарта лежит использование технологий ассиметричной криптографии и электронной подписи. Ключи на устройствах являются неизвлекаемыми во избежание утечки через интернет. Одно устройство Рутокен MFA может использоваться для защиты доступа к нескольким аккаунтам на различных сервисах.

Стек технологий FIDO2 включает в себя два протокола:

• Требования к аутентификаторам — Client to Authenticator Protocol (CTAP);
• Требования к браузеру и серверу — W3C WebAuthn.

Основные компоненты FIDO2:

• Аутентификатор FIDO2 — ключ безопасности, подключается по интерфейсам USB\BLE\NFC.
• Клиент FIDO2 — браузер, взаимодействующий с аутентификатором и сервером FIDO2.
• Сервер FIDO2 — веб-сервер, поддерживающий спецификацию WebAuthn, реализует процедуры регистрации и аутентификации пользователя согласно спецификации

Процедура привязки Рутокен МFA к учетной записи пользователя состоит из следующих этапов:

1. Вход пользователя в учетную запись;
2. Регистрация устройства: Рутокен MFA при помощи браузера отправляет на сервер открытый ключ и подписывает всю «переписку» своим закрытым ключом;
3. Сохранение сайтом открытого ключа и его связывание с конкретной учетной записью. В будущем сайт с помощью этого открытого ключа будет проверять подписи, сделанные закрытым ключом пользователя, и определять, к какой учетной записи давать доступ.

Безопасность

Устройства Рутокен MFA обеспечивают надежную аутентификацию за счет применения неизвлекаемых ключей, технологии ассиметричной криптографии, защиты от атак вида Man-in-the-middle (MiTM) и защиты от подмены сервера. Сервер, в свою очередь, производит проверку ключа безопасности на подмену или копирование. Беспарольный режим аутентификации позволяет полностью отказаться от использования ненадежных паролей.

Универсальность

Один ключ Рутокен MFA может использоваться для аутентификации в большом количестве внутренних и внешних сервисов. Рутокен MFA не требуется установки драйверов на устройства пользователя. Поддержка стандарта WebAuthn (FIDO2) внедряется в различные сервисы. Устройство имеет обратную совместимость с предыдущим стандартом Рутокен U2F.

Простота аутентификации

Для аутентификации в веб-ресурс пользователю необходимо ввести PIN-код от устройства Рутокен MFA и нажать на кнопку на нем. Внедрение аутентификации по стандартам FIDO существенно проще, чем использование инфраструктуры открытых ключей (PKI).

Отечественная разработка

Аутентификаторы Рутокен MFA разработаны и произведены в России. Благодаря этому обеспечивается полный контроль всех этапов производства, гарантируются высокая скорость поставки и возможность кастомизации внешнего вида устройства.