Выбираем аппаратный ключ FIDO2 для защиты рабочих аккаунтов
Парольная аутентификация — это устаревший контракт с неопределённой ответственностью. Сервер хранит хэш. Пользователь хранит секрет. Атакующий перехватывает оба. Каждый год рынок теряет миллиарды записей через credential stuffing, SIM-свопинг и AiTM-прокси.
Анатомия стандарта: WebAuthn, CTAP2 и роль защищённого элемента
FIDO2 — не один протокол, а связка двух спецификаций:
- WebAuthn — API на стороне браузера или операционной системы. Описывает, как relying party (сервер) формулирует challenge, как клиент передаёт данные токену, как обрабатывается ответ.
- CTAP2 — протокол между клиентом и аутентификатором. Определяет канал связи (USB, NFC, BLE), формат команд, обработку PIN, расширения (HMAC, FIDO2.1 Enterprise).
Без WebAuthn токену не с чем говорить. Без CTAP2 клиент не знает, как с токена снять подпись. Разрыв в любой части стека — мёртвая инвестиция в железо.
CTAP2 вводит отдельный механизм — User Verification (UV). Это подтверждение присутствия владельца: PIN-код на устройстве с кнопкой, отпечаток пальца в моделях с биометрическим сенсором. UV обязателен для операций, чувствительных к компрометации самого токена — иначе украденный носитель открывает любую зарегистрированную на него учётку.
Архитектура ролей:
| Роль | Функция | Где живёт приватный ключ |
|---|---|---|
| Relying Party (RP) | Хранит публичный ключ, верифицирует подпись | Серверная сторона |
| Client (браузер, ОС) | Передаёт challenge и origin токену | На стороне пользователя |
| Authenticator (токен) | Генерирует ключевую пару, подписывает challenge | Защищённый элемент токена |
Приватный ключ никогда не покидает чип токена. Это не софтверное хранилище, которое можно выгрузить дампом, а отдельный secure element с аппаратной защитой от извлечения. Любой токен, где приватный ключ экспортируем, — не FIDO2, а декорация.
Криптографическая привязка к домену: почему это убивает фишинг
Главная уязвимость TOTP и SMS-кодов — relay-атаки. Атакующий ставит прокси между пользователем и легитимным сайтом, пересылает challenge в реальном времени. Пользователь вводит код — прокси ретранслирует его. Бренд-нейтральный фактор становится бесполезным.
FIDO2 решает это через origin binding. При регистрации токен подписывает не только challenge, но и origin — канонический домен. При аутентификации origin подписывается снова. Если пользователь на фишинговом домене `corp-login-verify.com`, подпись привязана к этому origin. Легитимный сервер видит несовпадение и отклоняет запрос.
Сравнение векторов:
| Вектор | TOTP/SMS | FIDO2 |
|---|---|---|
| Фишинговый сайт (origin spoofing) | Код ретранслируется, атака успешна | Origin не совпадает, подпись отклонена |
| AiTM-прокси | Код перехватывается в реальном времени | Origin подмены отсутствует в подписи |
| Replay (повтор challenge) | Возможен в узком окне | Подпись одноразовая, challenge уникален |
| Credential Stuffing | Пароль подходит к десяткам сервисов | Приватного ключа нет в утечках — нечему подходить |
Origin binding — не дополнительная опция. Это основной механизм FIDO2, отличающий стандарт от классических OTP-факторов.
Интерфейсы и форм-факторы: подгоняем ключ под парк устройств
Выбор интерфейса — не косметика, а вопрос совместимости. Если у парка машин только USB-C, а у сотрудника — токен с USB-A, на столе появится переходник. Переходник — лишняя точка отказа и потеря контакта в неподходящий момент.
Базовые интерфейсы:
- USB-A — legacy-десктопы, док-станции, KVM-среды. Медленно уходит.
- USB-C — стандарт для современных ноутбуков и планшетов. Доминирующий интерфейс в новых закупках.
- NFC — бесконтактная работа с Android-смартфонами и некоторыми ноутбуками. Не требует физического подключения.
- Lightning — устаревший разъём Apple, актуален для парка iPhone до 15-й серии. Производители токенов сворачивают поддержку.
- BLE — Bluetooth Low Energy. Поддерживается ограниченным числом устройств, добавляет зависимость от батареи токена.
Форм-фактор:
| Тип | Плюсы | Минусы |
|---|---|---|
| Ключ-брелок | Портативен, заметен, не теряется в кармане | Нужно носить с собой |
| Nano (втыкается в порт) | Не забывается, всегда с сотрудником | Риск кражи, повреждения, потери при переноске ноутбука |
| Карта | Совместима с бесконтактными считывателями, влезает в слот пропуска | Требует NFC на стороне клиента |
Рекомендация для корпоративного парка: основной ключ — USB-C с поддержкой NFC. USB-C закрывает десктопы и ноутбуки, NFC — мобильные сценарии. Если в парке есть Lightning-устройства, добавляется второй ключ или переходник — но не отказ от стандарта.
Гибридные протоколы: FIDO2 + OTP, PIV, OpenPGP
FIDO2 — не панацея. Есть системы, которые его не поддерживают: legacy VPN, терминальные серверы с устаревшим софтом, специализированные СКУД. На этот случай токен несёт дополнительные протоколы.
Распространённые комбинации:
- FIDO2 + TOTP (HOTP) — резервный одноразовый код для систем без WebAuthn. Слабее FIDO2, но закрывает критический сценарий, когда второй фактор нужен здесь и сейчас.
- FIDO2 + PIV (смарт-карта) — вход в Windows через Smart Card Logon, доступ к корпоративным системам с PKI. Актуально для сред с PKI-инфраструктурой.
- FIDO2 + OpenPGP — подпись и шифрование почты, работа с Git-коммитами через GPG. Нишево, но критично для разработчиков и крипто-чувствительных ролей.
- FIDO2 + Biometric (UV) — отпечаток пальца как замена PIN. Удобство выше, устойчивость к подбору PIN — аналогичная, но добавляется зависимость от качества сенсора.
Сравнение гибридных токенов:
| Модельный ряд | FIDO2 | NFC | TOTP/HOTP | PIV | OpenPGP |
|---------------|-------|-----|-----------|-----|---------|
| YubiKey 5 Series | Да | Да (NFC-версии) | Да | Да | Да