Управление учетными данными

Управление учетными данными, также называемое системой управления учетными данными (CMS), представляет собой установленную форму программного обеспечения, которое используется для выдачи учетных данных и управления ими как часть инфраструктуры открытых ключей (PKI) .

Программное обеспечение CMS используется правительствами и предприятиями, предоставляющими надежную двухфакторную аутентификацию (2FA) сотрудникам и гражданам. CMS интегрируется с компонентами PKI, предоставляя ИТ-отделам единое решение для выдачи учетных данных и управления ими для широкого спектра устройств, включая смарт-карты, USB-ключи, смартфоны, ноутбуки и настольные компьютеры. ^{[ 1 ]}

Управление учетными данными также представляет собой предлагаемый интерфейс прикладного программирования (API), разрабатываемый Консорциумом World Wide Web для стандартизации аспектов того, как менеджеры паролей, используемые веб- агентами пользователей ( веб-браузерами и другими приложениями), создают, хранят, используют и изменяют имя пользователя и пароль. комбинации для входа в систему, а также управление « федеративными » учетными данными (такими как токены единого входа ) с помощью пользовательских агентов. API разрабатывается рабочей группой W3C по безопасности веб-приложений и находится в статусе рабочего проекта с апреля 2016 года. Это предложение, предназначенное для рекомендации, которое, как ожидается, станет принятым стандартом, но до того, как это произойдет, могут претерпеть значительные изменения. ^{[ 2 ]}^{[ 3 ]} API управления учетными данными уже был расширен предложением WebAuthn (веб-аутентификация), которое достигло статуса кандидата в рекомендации в апреле 2018 года и добавляет возможность обрабатывать аутентификацию с открытым ключом . ^{[ 4 ]}

Современные веб-браузеры обычно имеют возможность сохранять и автоматически вводить имена пользователей и пароли для входа на веб-сайты, хотя они часто используют неоптимальную эвристику для угадывания того, какие поля формы и данные должны быть заполнены/сохранены, что приводит к непоследовательному, а иногда и ошибочному поведению. . У браузеров также могут возникнуть проблемы с заполнением форм входа для федеративных удостоверений, например, когда пользователь, подключающийся к веб-сайту, использует учетную запись стороннего веб-сервиса (например, Facebook , Google или Twitter ) для аутентификации и предоставления идентификационной информации. Спецификация управления учетными данными также направлена на оптимизацию процесса смены паролей, чтобы локально сохраненный пароль на клиенте мог обновляться одновременно с его изменением на сервере.

В Google Chrome включена некоторая поддержка управления учетными данными, начиная с версии 51. ^{[ 5 ]} выпущен в мае 2016 года, ^{[ 6 ]} и Opera включила поддержку с версии 44, ^{[ 5 ]} выпущен в апреле 2017 года. ^{[ 7 ]} Mozilla Firefox включает подмножество API для поддержки WebAuthn, начиная с версии 60, выпущенной в мае 2018 года. ^{[ 8 ]}

API

По состоянию на август 2017 года рабочий проект: ^{[ 9 ]} Пользовательские агенты, поддерживающие API управления учетными данными, должны реализовать «хранилище учетных данных» для постоянного хранения объектов учетных данных, а также должны включать «средство выбора учетных данных», позволяющее пользователям взаимодействовать с объектами и разрешать или запрещать их использование для входа в систему. В идеале учетные данные должны иметь имя и значок, связанный с ними, возможно, вместе с другой сопутствующей информацией, чтобы помочь определить, для какого веб-сайта или службы они используются, а также возможность различать учетные данные для нескольких учетных записей на одном сайте.

API определяет четыре основных метода JavaScript , которые раскрывают CredentialsContainer интерфейс: navigator.credentials.create(), navigator.credentials.store(), navigator.credentials.get(), и navigator.credentials.preventSilentAccess(). Он также определяет верхний уровень Credential объект интерфейса с потомком PasswordCredential и FederatedCredential типы объектов. (WebAuthn также определяет PublicKeyCredential объект интерфейса.) API доступен только в том случае, если пользовательский агент подключен к защищенному ( HTTPS ) веб-сайту. Браузеры по-прежнему могут реализовывать автоматическое заполнение информации для входа на незащищенные сайты, но не должны позволять таким сайтам пользоваться преимуществами автоматизации, обеспечиваемой API, поскольку это может привести к случайному раскрытию паролей или других учетных данных. Кроме того, доступ к API разрешен только в окнах верхнего уровня, а не внутри <iframe> элементы или другие вложенные контексты просмотра.

The navigator.credentials.create() метод используется для создания объектов учетных данных в памяти, и store() запускает запись объекта в хранилище учетных данных после успешного входа в систему. get() запрашивает потенциально соответствующие учетные данные из хранилища, которые могут быть представлены пользователю в средстве выбора учетных данных. При выполнении запросов на получение пользовательские агенты по умолчанию должны запрашивать у пользователя авторизацию, хотя пользовательский интерфейс может разрешить установку флага, который разрешает «тихую» авторизацию без отображения запроса. Веб-сайт может сбросить этот флаг с помощью preventSilentAccess() метод, рекомендуемый для использования при выходе из системы.

См. также

OpenID Connect

Ссылки

^ «Система управления учетными данными — MyID CMS» . Заступитесь . Проверено 31 июля 2019 г.
^ Уэст, Майк, изд. (04 августа 2017 г.). «Управление учетными данными уровня 1» . W3C . Проверено 12 мая 2018 г.
^ «Рабочая группа W3C по безопасности веб-приложений» . Проверено 12 мая 2018 г.
^ Бальфанц; и др. (20 марта 2018 г.). «Веб-аутентификация: API для доступа к учетным данным открытого ключа уровня 1» . W3C . Проверено 12 мая 2018 г.
^ Jump up to: ^а ^б «API управления учетными данными» . Веб-документы MDN . Мозилла. 20 февраля 2018 г. Проверено 13 мая 2018 г.
^ «Стабильное обновление канала» . Релизы Chrome . 25 мая 2016 г. Проверено 13 мая 2018 г.
^ Мельчарчик, Корнелия (5 апреля 2017 г.). «Опера 44.0.2510.1159 Стабильное обновление» . Блоги оперы . Проверено 13 мая 2018 г.
^ «Firefox — Заметки (60.0) — Mozilla» . Мозилла. 09.05.2018 . Проверено 13 мая 2018 г.
^ Уэст, Майк, изд. (04 августа 2017 г.). «Управление учетными данными, уровень 1, рабочий проект W3C, 4 августа 2017 г.» . Проверено 12 мая 2018 г.

Внешние ссылки

[1] «Система управления учетными данными — MyID CMS» . Заступитесь . Проверено 31 июля 2019 г.

[credential-management-2] Уэст, Майк, изд. (04 августа 2017 г.). «Управление учетными данными уровня 1» . W3C . Проверено 12 мая 2018 г.

[3] «Рабочая группа W3C по безопасности веб-приложений» . Проверено 12 мая 2018 г.

[webauthn-4] Бальфанц; и др. (20 марта 2018 г.). «Веб-аутентификация: API для доступа к учетным данным открытого ключа уровня 1» . W3C . Проверено 12 мая 2018 г.

[moz-credential-management-api-5] Jump up to: ^а ^б «API управления учетными данными» . Веб-документы MDN . Мозилла. 20 февраля 2018 г. Проверено 13 мая 2018 г.

[6] «Стабильное обновление канала» . Релизы Chrome . 25 мая 2016 г. Проверено 13 мая 2018 г.

[7] Мельчарчик, Корнелия (5 апреля 2017 г.). «Опера 44.0.2510.1159 Стабильное обновление» . Блоги оперы . Проверено 13 мая 2018 г.

[8] «Firefox — Заметки (60.0) — Mozilla» . Мозилла. 09.05.2018 . Проверено 13 мая 2018 г.

[9] Уэст, Майк, изд. (04 августа 2017 г.). «Управление учетными данными, уровень 1, рабочий проект W3C, 4 августа 2017 г.» . Проверено 12 мая 2018 г.

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]