Управление учетными данными - Credential Management
Управление учетными данными, также называемая системой управления учетными данными (CMS), является установленной формой программного обеспечения, которое используется для выдачи учетных данных и управления ими в рамках инфраструктура открытого ключа (PKI).
Программное обеспечение CMS используется правительствами и предприятиями, выдающими сильные двухфакторная аутентификация (2FA) сотрудникам и гражданам. CMS интегрируется с компонентами PKI, чтобы предоставить ИТ-отделам единое решение для выдачи учетных данных и управления ими для широкого спектра устройств, включая смарт-карты, USB-ключи, смартфоны, ноутбуки и настольные компьютеры.[1]
Управление учетными данными также предлагается интерфейс прикладного программирования (API) в разработке Консорциум World Wide Web для стандартизации аспектов того, как менеджеры паролей используется в сети пользовательские агенты (веб-браузеры и другие приложения) создают, хранят, используют и изменяют комбинации имени пользователя и пароля для входа в систему в дополнение к управлению "федеративный "учетные данные (например, Единая точка входа токены) пользовательскими агентами. API разрабатывается W3C Рабочая группа по безопасности веб-приложений, и находится в статусе рабочего проекта с апреля 2016 года. Это предложение на основе рекомендаций, которое, как ожидается, станет общепринятым стандартом, но может претерпеть значительные изменения до того, как это произойдет.[2][3] API управления учетными данными уже расширен WebAuthn (Веб-аутентификация), которое достигло статуса кандидата в рекомендации в апреле 2018 г. и добавляет возможность обработки аутентификация с открытым ключом.[4]
Современные веб-браузеры могут хранить и автоматически войти имена пользователей и пароли для входа на веб-сайт, хотя они часто использовали неоптимальные эвристика угадать, какой форма поля и данные должны быть заполнены / сохранены, что приводит к непоследовательному, а иногда и неправильному поведению. У браузеров также могут возникнуть проблемы с заполнением форм входа в систему для федеративных удостоверений, например, когда пользователь, подключающийся к веб-сайту, использует учетную запись для сторонней веб-службы (например, Facebook, Google, или же Twitter ) для аутентификации и предоставления идентификационной информации. Спецификация Credential Management также направлена на упрощение процесса изменения паролей, чтобы локально сохраненный пароль на клиенте можно было обновлять одновременно с его изменением на сервере.
Гугл Хром включает некоторую поддержку Credential Management с версии 51,[5] выпущен в мае 2016 г.,[6] и Опера включает поддержку с версии 44,[5] выпущен в апреле 2017 года.[7] Mozilla Firefox включает подмножество API для поддержки WebAuthn, начиная с версии 60, выпущенной в мае 2018 года.[8]
API
По состоянию на рабочий проект августа 2017 г.[9] Пользовательские агенты, поддерживающие API управления учетными данными, должны реализовывать «хранилище учетных данных» для постоянного хранения объектов учетных данных, а также должны включать в себя «средство выбора учетных данных», чтобы пользователи могли взаимодействовать с объектами и разрешать или запрещать их использование для входа в систему. В идеале учетные данные должны иметь имя и фавикон связанных с ними, возможно, вместе с другой связанной информацией, чтобы помочь различить, для какого веб-сайта или службы они используются, а также возможность различать учетные данные для нескольких учетных записей на одном сайте.
API определяет четыре основных JavaScript методы, которые раскрывают CredentialsContainer
интерфейс: navigator.credentials.create ()
, navigator.credentials.store ()
, navigator.credentials.get ()
, и navigator.credentials.preventSilentAccess ()
. Он также определяет верхний уровень Учетные данные
объект интерфейса, с потомком Пароль
и FederatedCredential
типы объектов. (WebAuthn также определяет PublicKeyCredential
интерфейсный объект.) API доступен только тогда, когда пользовательский агент подключен к защищенному (HTTPS ) интернет сайт. Браузеры по-прежнему могут реализовывать автоматическое заполнение регистрационной информации на незащищенных сайтах, но не должны позволять таким сайтам пользоваться преимуществами автоматизации, предоставляемой API, поскольку это может привести к случайному раскрытию паролей или других учетных данных. Кроме того, доступ к API разрешен только в окнах верхнего уровня, а не внутри <iframe>
элементы или другие вложенные контексты просмотра.
В navigator.credentials.create ()
используется для создания объектов учетных данных в памяти, и хранить()
запускает запись объекта в хранилище учетных данных после успешного входа в систему. получать()
запрашивает потенциально релевантные учетные данные из хранилища, которые могут быть представлены пользователю в средстве выбора учетных данных. Когда выполняются запросы на извлечение, пользовательские агенты должны запрашивать у пользователя авторизацию по умолчанию, хотя пользовательский интерфейс может разрешить установку флага, который разрешает «тихую» авторизацию без отображения запроса. Веб-сайт может сбросить этот флаг с помощью preventSilentAccess ()
метод, рекомендуемый для использования при выходе из системы.
Смотрите также
Рекомендации
- ^ «Система управления учетными данными - MyID CMS». Заступиться. Получено 2019-07-31.
- ^ Запад, Майк, изд. (2017-08-04). «Уровень управления учетными данными 1». W3C. Получено 2018-05-12.
- ^ "Рабочая группа W3C по безопасности веб-приложений". Получено 2018-05-12.
- ^ Бальфанц; и другие. (2018-03-20). «Веб-аутентификация: API для доступа к учетным данным открытого ключа уровня 1». W3C. Получено 2018-05-12.
- ^ а б «API управления учетными данными». Веб-документы MDN. Mozilla. 2018-02-20. Получено 2018-05-13.
- ^ «Стабильное обновление канала». Выпуски Chrome. 2016-05-25. Получено 2018-05-13.
- ^ Мельчарчик, Корнелия (2017-04-05). "Opera 44.0.2510.1159 Стабильное обновление". Блоги Opera. Получено 2018-05-13.
- ^ «Firefox - Notes (60.0) - Mozilla». Mozilla. 2018-05-09. Получено 2018-05-13.
- ^ Запад, Майк, изд. (2017-08-04). «Уровень управления учетными данными 1, рабочий проект W3C, 4 августа 2017 г.». Получено 2018-05-12.