Консорціум W3C (World Wide Web Consortium, Консорціум Всесвітньої павутини) і альянс FIDO (Fast IDentity Online) почали роботу над Web Authentication ( WebAuthn ) Ще в 2015 році. Нагадаю, що зокрема цей API дозволяє користувачам входити в Google, Facebook, Dropbox, GitHub і так далі за допомогою апаратних ключів YubiKey .
На базі FIDO 2.0 Web API був розроблений WebAuthn, який володіє більш широкими можливостями і в теорії дозволяє відмовитися від використання паролів взагалі. Так, WebAuthn пропонує використовувати для аутентифікації на сайтах і в додатках апаратні ключі, відбитки пальців, розпізнавання осіб, скани райдужної оболонки ока та іншу біометрії.
Своєрідним «компаньйоном» WebAuthn стане протокол Client to Authenticator (Client to Authenticator Protocol, CTAP ). Як випливає з назви, основна роль CTAP - це встановлення зв'язку між браузером і сторонньої системою аутентифікації, наприклад, NFC або USB-ключем, сканером відбитків пальців в смартфоні або ноутбуці. фахівці W3C пояснюють , Що для забезпечення працездатності нової аутентификационной схеми обидва API повинні працювати спільно.
Так як Google, Microsoft і Mozilla підтримають розробку, очікується, що підтримка WebAuthn API з'явиться в Chrome, Edge і Firefox в найшвидшому часі. Так, WebAuthn запрацює в Chrome 67 і Firefox 60, чий реліз заплановано приблизно на травень 2018 року.
Очікується, що ця розробка допоможе захистити користувачів від фішингу, крадіжок паролів і навіть атак типу «людина посередині» (man-in-the-middle). Адже ІБ-фахівці давно прийшли до висновку, що використання паролів навряд чи можна назвати хорошою практикою.
