Что такое доверяющая сторона в WebAuthn?

• Доверяющая сторона в контексте WebAuthn или ключей доступа — это сущность, которая запрашивает аутентификацию пользователя. Обычно это веб-сервер или сервис, который полагается на аутентификатор для проверки личности пользователя. Этот процесс аутентификации обеспечивает безопасный доступ для пользователя, а также бесшовный пользовательский опыт.
• Термин «доверяющая сторона» происходит от ее зависимости от внешних аутентификаторов (таких как аппаратные ключи безопасности, ноутбуки или смартфоны) для аутентификации пользователя. Процесс аутентификации включает использование уникального идентификатора, известного как идентификатор доверяющей стороны (rpId), который помогает различать разные доверяющие стороны.

---

Доверяющая сторона является неотъемлемой частью экосистемы WebAuthn / ключей доступа. Рассмотрим подробнее:

• Цель доверяющей стороны: Ее основная роль — инициировать процесс аутентификации, отправляя пользователю запрос (challenge) на подтверждение его личности. Этот механизм «запрос-ответ» гарантирует, что неавторизованные сущности не получат доступ.
• Взаимодействие с аутентификаторами: Доверяющая сторона тесно взаимодействует с аутентификаторами. Как только пользователь предоставляет свои учетные данные, аутентификатор проверяет их и отправляет обратно подписанный ответ. Затем доверяющая сторона проверяет этот ответ для завершения процесса аутентификации.
• Важность идентификатора доверяющей стороны (rpId): rpId имеет решающее значение, поскольку он определяет область действия учетных данных. Убедившись, что rpId соответствует ожидаемому домену или источнику, доверяющая сторона повышает безопасность, предотвращая потенциальные атаки, такие как атаки «человек посередине» (man-in-the-middle).

Узнайте больше о rpId и других аспектах доверяющей стороны в соответствующей статье блога.

• Повышенная безопасность: Благодаря использованию внешних аутентификаторов и привязке к области действия через rpId, модель доверяющей стороны в WebAuthn обеспечивает дополнительный уровень безопасности.
• Улучшенный пользовательский опыт: Пользователям не нужно запоминать пароли, что снижает количество взломов, связанных с паролями, и обеспечивает более плавный процесс входа в систему.
• Универсальность: Модель поддерживает широкий спектр аутентификаторов, предоставляя пользователям гибкость в выборе предпочтительного метода.

---

rpId — это уникальный идентификатор доверяющей стороны, который гарантирует, что учетные данные привязаны к правильной сущности. Он играет ключевую роль в обеспечении безопасности, связывая процесс аутентификации с ожидаемым доменом или источником. Таким образом предотвращаются фишинговые атаки.

Доверяющая сторона инициирует аутентификацию, отправляя запрос пользователю, в то время как аутентификатор — это устройство или метод, который проверяет учетные данные пользователя и отвечает на этот запрос.

Модель доверяющей стороны в WebAuthn использует внешние аутентификаторы и механизм rpId, что затрудняет злоумышленникам возможность выдавать себя за пользователей или перехватывать процесс аутентификации.