Управление учетными данными
Управление учетными данными, также называемое системой управления учетными данными (CMS), представляет собой установленную форму программного обеспечения, которое используется для выдачи учетных данных и управления ими как часть инфраструктуры открытых ключей (PKI) .
Программное обеспечение CMS используется правительствами и предприятиями, предоставляющими надежную двухфакторную аутентификацию (2FA) сотрудникам и гражданам. CMS интегрируется с компонентами PKI, предоставляя ИТ-отделам единое решение для выдачи учетных данных и управления ими для широкого спектра устройств, включая смарт-карты, USB-ключи, смартфоны, ноутбуки и настольные компьютеры. [ 1 ]
Управление учетными данными также представляет собой предлагаемый интерфейс прикладного программирования (API), разрабатываемый Консорциумом World Wide Web для стандартизации аспектов того, как менеджеры паролей, используемые веб- агентами пользователей ( веб-браузерами и другими приложениями), создают, хранят, используют и изменяют имя пользователя и пароль. комбинации для входа в систему, а также управление « федеративными » учетными данными (такими как токены единого входа ) с помощью пользовательских агентов. API разрабатывается рабочей группой W3C по безопасности веб-приложений и находится в статусе рабочего проекта с апреля 2016 года. Это предложение, предназначенное для рекомендации, которое, как ожидается, станет принятым стандартом, но до того, как это произойдет, могут претерпеть значительные изменения. [ 2 ] [ 3 ] API управления учетными данными уже был расширен предложением WebAuthn (веб-аутентификация), которое достигло статуса кандидата в рекомендации в апреле 2018 года и добавляет возможность обрабатывать аутентификацию с открытым ключом . [ 4 ]
Современные веб-браузеры обычно имеют возможность сохранять и автоматически вводить имена пользователей и пароли для входа на веб-сайты, хотя они часто используют неоптимальную эвристику для угадывания того, какие поля формы и данные должны быть заполнены/сохранены, что приводит к непоследовательному, а иногда и ошибочному поведению. . У браузеров также могут возникнуть проблемы с заполнением форм входа для федеративных удостоверений, например, когда пользователь, подключающийся к веб-сайту, использует учетную запись стороннего веб-сервиса (например, Facebook , Google или Twitter ) для аутентификации и предоставления идентификационной информации. Спецификация управления учетными данными также направлена на оптимизацию процесса смены паролей, чтобы локально сохраненный пароль на клиенте мог обновляться одновременно с его изменением на сервере.
В Google Chrome включена некоторая поддержка управления учетными данными, начиная с версии 51. [ 5 ] выпущен в мае 2016 года, [ 6 ] и Opera включила поддержку с версии 44, [ 5 ] выпущен в апреле 2017 года. [ 7 ] Mozilla Firefox включает подмножество API для поддержки WebAuthn, начиная с версии 60, выпущенной в мае 2018 года. [ 8 ]
API
[ редактировать ]По состоянию на август 2017 года рабочий проект: [ 9 ] Пользовательские агенты, поддерживающие API управления учетными данными, должны реализовать «хранилище учетных данных» для постоянного хранения объектов учетных данных, а также должны включать «средство выбора учетных данных», позволяющее пользователям взаимодействовать с объектами и разрешать или запрещать их использование для входа в систему. В идеале учетные данные должны иметь имя и значок, связанный с ними, возможно, вместе с другой сопутствующей информацией, чтобы помочь определить, для какого веб-сайта или службы они используются, а также возможность различать учетные данные для нескольких учетных записей на одном сайте.
API определяет четыре основных метода JavaScript , которые раскрывают CredentialsContainer
интерфейс: navigator.credentials.create()
, navigator.credentials.store()
, navigator.credentials.get()
, и navigator.credentials.preventSilentAccess()
. Он также определяет верхний уровень Credential
объект интерфейса с потомком PasswordCredential
и FederatedCredential
типы объектов. (WebAuthn также определяет PublicKeyCredential
объект интерфейса.) API доступен только в том случае, если пользовательский агент подключен к защищенному ( HTTPS ) веб-сайту. Браузеры по-прежнему могут реализовывать автоматическое заполнение информации для входа на незащищенные сайты, но не должны позволять таким сайтам пользоваться преимуществами автоматизации, обеспечиваемой API, поскольку это может привести к случайному раскрытию паролей или других учетных данных. Кроме того, доступ к API разрешен только в окнах верхнего уровня, а не внутри <iframe>
элементы или другие вложенные контексты просмотра.
The navigator.credentials.create()
метод используется для создания объектов учетных данных в памяти, и store()
запускает запись объекта в хранилище учетных данных после успешного входа в систему. get()
запрашивает потенциально соответствующие учетные данные из хранилища, которые могут быть представлены пользователю в средстве выбора учетных данных. При выполнении запросов на получение пользовательские агенты по умолчанию должны запрашивать у пользователя авторизацию, хотя пользовательский интерфейс может разрешить установку флага, который разрешает «тихую» авторизацию без отображения запроса. Веб-сайт может сбросить этот флаг с помощью preventSilentAccess()
метод, рекомендуемый для использования при выходе из системы.
См. также
[ редактировать ]Ссылки
[ редактировать ]- ^ «Система управления учетными данными — MyID CMS» . Заступитесь . Проверено 31 июля 2019 г.
- ^ Уэст, Майк, изд. (04 августа 2017 г.). «Управление учетными данными уровня 1» . W3C . Проверено 12 мая 2018 г.
- ^ «Рабочая группа W3C по безопасности веб-приложений» . Проверено 12 мая 2018 г.
- ^ Бальфанц; и др. (20 марта 2018 г.). «Веб-аутентификация: API для доступа к учетным данным открытого ключа уровня 1» . W3C . Проверено 12 мая 2018 г.
- ^ Jump up to: а б «API управления учетными данными» . Веб-документы MDN . Мозилла. 20 февраля 2018 г. Проверено 13 мая 2018 г.
- ^ «Стабильное обновление канала» . Релизы Chrome . 25 мая 2016 г. Проверено 13 мая 2018 г.
- ^ Мельчарчик, Корнелия (5 апреля 2017 г.). «Опера 44.0.2510.1159 Стабильное обновление» . Блоги оперы . Проверено 13 мая 2018 г.
- ^ «Firefox — Заметки (60.0) — Mozilla» . Мозилла. 09.05.2018 . Проверено 13 мая 2018 г.
- ^ Уэст, Майк, изд. (04 августа 2017 г.). «Управление учетными данными, уровень 1, рабочий проект W3C, 4 августа 2017 г.» . Проверено 12 мая 2018 г.