Что такое CDA (Cross-Device Authentication) в WebAuthn?
Узнайте о CDA (Cross-Device Authentication) — методе аутентификации на разных устройствах с использованием ключей доступа.
Эта страница переведена автоматически. Прочитайте оригинальную версию на английском здесь.
Что такое CDA (Cross-Device Authentication)?#
CDA (Cross-Device Authentication, кросс-девайс аутентификация) позволяет пользователям использовать ключ доступа (passkey) с одного устройства для аутентификации на другом, обеспечивая беспрепятственный доступ на различных платформах. Этот инновационный подход опирается на протокол FIDO Client-to-Authenticator Protocol (CTAP), который использует «гибридный» механизм передачи. CTAP является неотъемлемой частью процесса CDA и реализуется аутентификаторами и клиентскими платформами, а не проверяющими сторонами (relying parties), обеспечивая безопасную и эффективную аутентификацию.
Вы также можете прочитать подробный отчет о кросс-девайс аутентификации в этой статье блога.
Ключевые выводы#
- CDA повышает удобство для пользователей, позволяя использовать ключ доступа на различных устройствах и платформах.
- CDA отличается от синхронизации ключей доступа между устройствами через облачные учетные записи.
- Он использует протокол CTAP от FIDO с «гибридным» механизмом передачи для безопасной аутентификации.
- CDA использует сканирование QR-кодов для сопряжения устройств и Bluetooth для проверки близости.
CDA (Cross-Device Authentication) играет важную роль в обеспечении пользователям удобного доступа к сервисам на нескольких устройствах. Он основан на двух ключевых компонентах: CDA Client и CDA Authenticator.
- CDA Client (клиент CDA) — это устройство, с которого осуществляется доступ к сервису (например, ноутбук, настольный компьютер или смартфон).
- CDA Authenticator (аутентификатор CDA) — это устройство, предоставляющее ключ доступа и генерирующее утверждение FIDO (обычно это смартфон или планшет). Эта двойственность гарантирует, что процессы аутентификации остаются безопасными и удобными для пользователя.
Глубокое погружение в механизмы CDA#
Cross-Device Authentication (CDA) объединяет QR-коды и Bluetooth для обеспечения универсального и безопасного механизма аутентификации. QR-коды облегчают инициируемые пользователем процессы аутентификации, позволяя быстро их сканировать для создания запросов на аутентификацию. Bluetooth добавляет уровень безопасности, гарантируя физическую близость между участвующими устройствами. Этот двойной подход сочетает в себе простоту использования с надежными мерами безопасности, удовлетворяя различным пользовательским средам и сценариям.
Аутентификация по QR-коду#
- Инициация: на устройстве, требующем аутентификации, генерируется уникальный QR-код, закодированный идентификатором сеанса.
- Процесс: пользователи сканируют QR-код с помощью устройства, на котором хранится их ключ доступа, запуская процесс безопасной аутентификации через зашифрованное интернет-соединение.
- Функции безопасности: QR-код предназначен для одноразового использования и шифрует все данные для защиты от несанкционированного доступа.
Подпишитесь на наш Passkeys Substack, чтобы получать новости.
Аутентификация по Bluetooth (caBLE)#
- Роль: подтверждает физическую близость между аутентифицируемыми устройствами, добавляя дополнительный уровень безопасности.
- Проверка близости: гарантирует, что процесс аутентификации выполняется только тогда, когда устройства находятся рядом друг с другом, сводя к минимуму риск удаленных атак.
- Конфиденциальность и безопасность: не предполагает обмен конфиденциальными данными аутентификации, вместо этого фокусируясь на подтверждении близости как фактора многофакторной аутентификации.
Туннельное соединение через интернет#
- Активация: активируется после сканирования QR-кода или установления Bluetooth-соединения.
- Назначение: облегчает безопасную передачу данных аутентификации, включая криптографические вызовы (challenges) и ответы.
- Безопасность: гарантирует, что вся связь через туннель зашифрована, повышая безопасность на нескольких устройствах.
Синхронизированные ключи доступа в сравнении с Cross-Device Authentication#
Ключи доступа обычно синхронизируются между устройствами через облачные учетные записи (например, Apple iCloud Keychain), что гарантирует их доступность для аутентификации независимо от используемого устройства. Эта синхронизация обеспечивается надежным шифрованием и защищена биометрическими данными или PIN-кодами с механизмами, предотвращающими несанкционированный доступ, такими как ограничение частоты попыток входа.
Хотя синхронизированные ключи доступа обеспечивают удобство, они не всегда могут быть доступны на новых или неосновных устройствах. Cross-Device Authentication решает эту проблему, предоставляя безопасный мост для ключей доступа между устройствами без необходимости синхронизации с облачной учетной записью. Этот метод использует QR-коды для запуска аутентификации и Bluetooth для проверки близости устройств, обеспечивая безопасный и удобный интерфейс. Пример использования кросс-девайс аутентификации — вход в учетную запись на устройстве друга, где невозможно использовать синхронизированные ключи доступа.
Доступность в операционных системах#
Вы можете использовать эту таблицу, чтобы увидеть текущую поддержку Cross-Device Authentication в различных операционных системах. Аутентификатор означает, что устройство может служить устройством, на котором хранится ключ доступа (обычно смартфон). Клиент — это устройство, которое создает QR-код и на котором пользователь пытается войти в систему (обычно настольный компьютер).
Экспериментируйте с passkey-флоу в Passkeys Debugger.
Поведение на разных устройствах#
Важно учитывать различное поведение устройств в контексте CDA. Процесс аутентификации может различаться в зависимости от аппаратных возможностей устройства, таких как наличие камеры для сканирования QR-кода или Bluetooth для проверки близости. Кроме того, операционные системы могут реализовывать CDA по-разному, влияя на то, как пользователи инициируют и завершают процесс аутентификации. Разработчики, внедряющие CDA, должны учитывать эти различия, обеспечивая плавный и безопасный пользовательский опыт на всех устройствах. Подробный отчет о различном поведении устройств можно найти в этой статье блога.
Часто задаваемые вопросы о Cross-Device Authentication (CDA)#
Безопасно ли делиться ключами доступа между устройствами?#
При совместном использовании ключей доступа применяются надежные меры безопасности для защиты данных. Этот подход имеет важное значение для замены паролей более безопасной и удобной альтернативой, что соответствует миссии FIDO по улучшению процессов входа в систему в аспектах скорости, удобства и безопасности.
Какова доступность CDA на различных платформах ОС?#
Cross-Device Authentication (CDA) быстро становится доступным в широком спектре операционных систем и браузеров по мере внедрения поддержки ключей доступа. Обзор доступности можно найти на этом веб-сайте.
Как ключи доступа становятся доступными на устройствах пользователя?#
Ключи доступа синхронизируются между устройствами с помощью механизмов сквозного шифрования, привязанных к учетной записи пользователя на платформе (например, Apple ID, учетная запись Google). Это гарантирует, что ключи доступа, созданные на одном устройстве, легко доступны на всех других устройствах, вошедших в ту же учетную запись, обеспечивая простой и безопасный доступ ко всей цифровой экосистеме пользователя.
CDA и синхронизированные ключи доступа — в чем разница?#
Гибридный транспорт обеспечивает безопасную аутентификацию между устройствами без необходимости синхронизации ключей доступа через облачную учетную запись, предлагая гибкость и сохраняя целостность ключей доступа исключительно у пользователя.
Igor Gjorgjioski
Head of Digital Channels & Platform Enablement, VicRoads
We hit 80% mobile passkey activation across 5M+ users without replacing our IDP.
See how VicRoads scaled passkeys to 5M+ users — alongside their existing IDP.
Read the case studyПочему CDA использует как QR-коды, так и Bluetooth?#
CDA использует QR-коды и Bluetooth для повышения безопасности и удобства. QR-коды упрощают инициацию аутентификации, а Bluetooth обеспечивает физическую близость устройств, добавляя дополнительный уровень безопасности.
Может ли CDA работать без подключения к интернету?#
Хотя CDA требует подключения к интернету для первоначальной настройки и процесса аутентификации, проверка близости Bluetooth для аутентификации не зависит от интернет-соединения, что повышает универсальность метода.
Каковы аппаратные требования для использования CDA?#
Устройства должны поддерживать WebAuthn, иметь камеру для сканирования QR-кода, поддерживать Bluetooth 4.0 или выше для caBLE и поддерживать стабильное подключение к интернету для эффективной работы процесса CDA.
О Corbado
Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →
Посмотрите, как Corbado вписывается во внедрение passkeys и текущий стек аутентификации.
Открыть Console
Поделиться статьей
Содержание
Похожие термины
Похожие статьи
