WebAuthn (биометрия и ключи)

ℹ️ О разделе

В этом разделе описывается аутентификация через WebAuthn — современный стандарт безопасности, позволяющий использовать биометрию и аппаратные ключи безопасности для входа без пароля.

Что такое WebAuthn

WebAuthn (Web Authentication API) — это современный веб-стандарт для безопасной аутентификации пользователей без использования паролей. Он разработан W3C и FIDO Alliance и поддерживается всеми современными браузерами.

🔐 Преимущества WebAuthn
  • Высокая безопасность — невозможен фишинг, так как криптографические ключи привязаны к домену
  • Удобство — вход одним касанием или взглядом, без ввода паролей
  • Скорость — аутентификация происходит за секунды
  • Универсальность — работает на разных устройствах и платформах
  • Устойчивость к атакам — защита от перехвата паролей и повторных атак
🔑 Типы устройств WebAuthn

Биометрические устройства:

  • Отпечаток пальца (Touch ID, сканеры на Android)
  • Распознавание лица (Face ID, Windows Hello)
  • Сканер радужной оболочки глаза

Аппаратные ключи безопасности:

  • USB токены (YubiKey, Google Titan, Token2)
  • NFC устройства
  • Bluetooth ключи

Системные требования

⚠️ Требования для использования WebAuthn
  • Современный браузер с поддержкой WebAuthn API (Chrome 67+, Firefox 60+, Safari 13+, Edge 18+)
  • HTTPS соединение (работает только по защищенному протоколу)
  • Устройство с поддержкой биометрии или аппаратный ключ безопасности
  • WebAuthn должен быть включен в настройках системы IDENTYX

Регистрация устройства WebAuthn

Перед использованием WebAuthn для входа необходимо зарегистрировать (привязать) устройство к своей учетной записи.

Пошаговая инструкция по регистрации

📝 Регистрация через профиль пользователя
  1. Войдите в систему IDENTYX под своей учетной записью
  2. Перейдите в раздел Профиль пользователя (иконка пользователя в правом верхнем углу)
  3. Прокрутите страницу до раздела "Биометрия и аппаратные ключи"
  4. Нажмите кнопку "Привязать"
  5. В открывшемся диалоге "Название устройства" введите понятное название (например, "iPhone 13", "YubiKey работа", "Windows Hello") или оставьте поле пустым для автоматической генерации
  6. Нажмите кнопку "Продолжить"
  7. Следуйте инструкциям браузера:
    • Для биометрии — приложите палец или посмотрите в камеру
    • Для USB ключа — вставьте ключ и коснитесь его кнопки
  8. После успешной регистрации устройство появится в списке привязанных устройств

Информация об устройстве

При регистрации система автоматически сохраняет следующую информацию об устройстве:

  • Имя устройства — заданное вами название или автоматически сгенерированное
  • Тип устройства — мобильное устройство, компьютер или планшет
  • Браузер — в каком браузере произошла регистрация
  • Операционная система — OS устройства
  • Дата регистрации — когда устройство было зарегистрировано
  • Уникальный ID ключа — криптографический идентификатор
ℹ️ Автоматическое название устройства

Если вы не укажете имя устройства, система автоматически сгенерирует его на основе информации об устройстве. Например: "Мобильное устройство (Chrome на iOS)" или "Компьютер (Firefox на Windows)".

Вход через WebAuthn

После регистрации устройства вы можете использовать его для быстрого и безопасного входа в систему.

Как войти через WebAuthn

🔓 Вход через биометрию или ключ
  1. Откройте страницу входа IDENTYX
  2. Нажмите на кнопку с иконкой ключа (кнопка WebAuthn в разделе альтернативных методов входа)
  3. Браузер запросит аутентификацию:
    • Для биометрии — приложите палец или посмотрите в камеру
    • Для USB ключа — вставьте ключ и коснитесь его кнопки
  4. Система автоматически распознает ваше устройство и выполнит вход

Автоматический вход через WebAuthn

IDENTYX запоминает ваш предпочтительный метод входа. Если вы последний раз входили через WebAuthn, система автоматически попытается выполнить вход этим методом при следующем открытии страницы входа.

✅ Отключение автоматического входа

Если вы хотите отключить автоматический вход через WebAuthn и войти другим способом, на странице входа появится кнопка "Отключить автоматический вход через ключ/биометрию". Нажмите на нее, чтобы отключить автоматический запуск WebAuthn.

Управление устройствами WebAuthn

Вы можете управлять всеми зарегистрированными устройствами WebAuthn из своего профиля.

Просмотр списка устройств

📋 Как посмотреть список устройств
  1. Перейдите в раздел Профиль пользователя
  2. Найдите раздел "Биометрия и аппаратные ключи"
  3. Под названием метода отображается количество привязанных устройств
  4. Нажмите кнопку "Управление" для просмотра списка
  5. Откроется окно со списком всех ваших устройств

Для каждого устройства отображается:

  • Имя устройства
  • Тип устройства (мобильное, компьютер, планшет)
  • Браузер и операционная система
  • Сокращенный ID ключа
  • Дата регистрации

Удаление конкретного устройства

Вы можете удалить любое зарегистрированное устройство, если больше не используете его или если устройство было утеряно.

🗑️ Как удалить устройство
  1. Перейдите в раздел Профиль пользователя
  2. Найдите раздел "Биометрия и аппаратные ключи"
  3. Нажмите кнопку "Управление"
  4. В открывшемся окне найдите устройство, которое хотите удалить
  5. Нажмите на красную кнопку с иконкой корзины рядом с устройством
  6. Подтвердите удаление
🚫 Важно

После удаления устройства вы не сможете использовать его для входа до повторной регистрации. Убедитесь, что у вас есть альтернативные способы входа (пароль или другие устройства WebAuthn), прежде чем удалять устройство.

Удаление всех устройств

Вы можете удалить все зарегистрированные устройства WebAuthn одним действием.

⚠️ Удаление всех устройств
  1. Перейдите в раздел Профиль пользователя
  2. Найдите раздел "Биометрия и аппаратные ключи"
  3. Нажмите кнопку "Удалить все"
  4. Подтвердите удаление

После этого действия вход через WebAuthn будет полностью отключен до регистрации нового устройства.

WebAuthn без двухфакторной аутентификации

WebAuthn сам по себе является очень надежным методом аутентификации, поскольку требует физического доступа к устройству. Поэтому система может быть настроена так, чтобы пропускать требование двухфакторной аутентификации (2FA) при входе через WebAuthn.

Включение пропуска 2FA

ℹ️ Настройка на уровне системы

Возможность пропуска 2FA при использовании WebAuthn должна быть включена администратором в параметрах системы. Если эта опция недоступна в вашем профиле, обратитесь к администратору.

Если функция включена администратором, вы можете настроить ее для своей учетной записи:

⚙️ Как включить пропуск 2FA
  1. Перейдите в раздел Профиль пользователя
  2. Найдите раздел "Биометрия и аппаратные ключи"
  3. Под информацией о методе найдите переключатель "Биометрия без 2FA"
  4. Установите переключатель в положение "Включено"
  5. Нажмите кнопку "Сохранить" внизу страницы
⚠️ Безопасность

Включая пропуск 2FA для WebAuthn, вы повышаете удобство использования, но полностью полагаетесь на безопасность вашего устройства. Убедитесь, что:

  • Ваше устройство защищено PIN-кодом или паролем
  • Биометрические данные надежно сохранены (только ваши отпечатки/лицо зарегистрированы)
  • Аппаратный ключ хранится в безопасном месте

Безопасность WebAuthn

Как это работает

WebAuthn использует криптографию с открытым ключом для обеспечения безопасности:

  1. Регистрация: При регистрации устройство генерирует пару криптографических ключей — приватный и публичный. Приватный ключ остается на устройстве и никогда не передается по сети. Публичный ключ сохраняется в системе IDENTYX.
  2. Аутентификация: При входе система отправляет запрос (challenge) устройству. Устройство подписывает этот запрос своим приватным ключом. Система проверяет подпись с помощью публичного ключа.
  3. Привязка к домену: Ключи привязаны к конкретному доменному имени IDENTYX, что делает невозможным фишинг — даже если злоумышленник создаст поддельный сайт, ваше устройство не будет работать с ним.

Преимущества перед паролями

Угроза Пароль WebAuthn
Фишинг Уязвим — пользователь может ввести пароль на поддельном сайте Защищен — ключи привязаны к домену, не работают на других сайтах
Перехват Уязвим — пароль передается по сети и может быть перехвачен Защищен — приватный ключ никогда не покидает устройство
Повторные атаки Уязвим — перехваченный пароль можно использовать повторно Защищен — каждая аутентификация использует уникальную подпись
Утечки баз данных Уязвим — даже хешированные пароли могут быть взломаны Защищен — публичный ключ бесполезен без приватного
Социальная инженерия Уязвим — пользователя можно обмануть и выманить пароль Защищен — нечего выманивать, устройство требует физического доступа

Решение проблем

Браузер не поддерживает WebAuthn

⚠️ Проблема

При попытке регистрации или входа появляется сообщение "Функция недоступна на данном устройстве".

Решение:

  • Убедитесь, что используете современный браузер (Chrome 67+, Firefox 60+, Safari 13+, Edge 18+)
  • Обновите браузер до последней версии
  • Проверьте, что страница открыта по HTTPS (WebAuthn не работает по HTTP)
  • Попробуйте другой браузер

Устройство не отвечает

⚠️ Проблема

При попытке аутентификации ничего не происходит или появляется ошибка.

Решение:

  • Для USB ключа: Убедитесь, что ключ плотно вставлен в USB порт и индикатор на нем горит. Попробуйте другой USB порт
  • Для биометрии: Убедитесь, что сканер отпечатков пальцев чистый, или что камера не закрыта
  • Для NFC/Bluetooth: Убедитесь, что NFC или Bluetooth включены на устройстве
  • Перезагрузите браузер и попробуйте снова

Устройство не распознается

⚠️ Проблема

При попытке входа система не распознает ваше устройство.

Возможные причины и решения:

  • Устройство не зарегистрировано: Проверьте в профиле, зарегистрировано ли устройство. Если нет — зарегистрируйте
  • Устройство было удалено: Возможно, администратор удалил устройство. Зарегистрируйте его заново
  • Используется другой браузер/устройство: Некоторые ключи привязаны к конкретному браузеру или устройству. Попробуйте войти с того же устройства и браузера, где регистрировали ключ
  • Очищены данные браузера: Если вы очистили данные браузера (cookies, local storage), информация о ключах могла быть удалена. Попробуйте зарегистрировать устройство заново

Потерял устройство WebAuthn

🚫 Проблема

Вы потеряли устройство с зарегистрированным WebAuthn ключом или оно было украдено.

Действия:

  1. Немедленно войдите в систему IDENTYX другим способом (по паролю или через другое устройство)
  2. Перейдите в Профиль пользователя
  3. Откройте управление устройствами WebAuthn
  4. Удалите утерянное устройство из списка
  5. Если не можете войти другим способом — обратитесь к администратору системы для сброса WebAuthn

Настройки для администраторов

Администраторы системы могут управлять доступностью WebAuthn на уровне системы.

Включение WebAuthn

WebAuthn должен быть включен в параметрах системы:

  1. Перейдите в раздел Параметры системы
  2. Откройте раздел с параметрами безопасности и аутентификации
  3. Найдите параметр "webauthn_auth_enabled"
  4. Установите значение в 1 (включено) или 0 (выключено)
  5. Сохраните изменения

Разрешение пропуска 2FA

Чтобы разрешить пользователям пропускать двухфакторную аутентификацию при использовании WebAuthn:

  1. Перейдите в раздел Параметры системы
  2. Найдите параметр "allow_webauthn_without_2fa"
  3. Установите значение в 1 (разрешено) или 0 (запрещено)
  4. Сохраните изменения
ℹ️ Примечание

По умолчанию оба параметра имеют значение 0 (выключено). Администратор должен явно включить их, если требуется использование WebAuthn.

Журналирование событий

Все события, связанные с WebAuthn, записываются в журнал событий безопасности:

Событие Описание
Инициирована регистрация нового устройства Webauthn Пользователь начал процесс регистрации нового WebAuthn устройства
Успешно зарегистрировано новое устройство Webauthn WebAuthn устройство успешно зарегистрировано и привязано к пользователю
Пользователь успешно аутентифицирован через электронный ключ Пользователь успешно вошел в систему через WebAuthn
Пользователь аутентифицирован через WebAuthn без запроса второго фактора Пользователь вошел через WebAuthn с пропуском 2FA (если включено в настройках)
Пользователю не разрешено входить через электронный ключ Попытка входа через WebAuthn была отклонена (устройство отключено для пользователя)
Пользователь удалил привязку конкретного WebAuthn устройства Пользователь удалил одно из зарегистрированных устройств
Пользователь удалил привязку учетной записи к webauthn Пользователь удалил все WebAuthn устройства (через кнопку "Удалить все")

Рекомендации по использованию

✅ Лучшие практики
  • Регистрируйте несколько устройств — зарегистрируйте как минимум два устройства WebAuthn на случай потери одного из них
  • Используйте понятные имена — давайте устройствам описательные названия, чтобы легко их идентифицировать
  • Комбинируйте методы — держите пароль как запасной способ входа, даже если используете WebAuthn
  • Аппаратные ключи для критичных операций — для высокозащищенных учетных записей используйте отдельные USB ключи безопасности вместо биометрии устройства
  • Регулярно проверяйте список устройств — периодически просматривайте зарегистрированные устройства и удаляйте неиспользуемые
  • Удаляйте устройства при смене оборудования — при продаже или передаче устройства обязательно удалите его из списка
⚠️ Что НЕ следует делать
  • Не регистрируйте чужие биометрические данные — на устройстве должны быть зарегистрированы только ваши отпечатки пальцев или лицо
  • Не одалживайте USB ключи — физический ключ безопасности предоставляет полный доступ к вашей учетной записи
  • Не храните все ключи в одном месте — разместите резервный ключ отдельно от основного
  • Не игнорируйте безопасность устройства — даже с WebAuthn держите устройство защищенным PIN-кодом
  • Не удаляйте все методы входа — оставьте хотя бы один альтернативный способ входа на случай проблем с WebAuthn
✅ Готовы продолжить?

Вы изучили современный метод аутентификации через WebAuthn. Переходите к разделу Обзор двухфакторной аутентификации (2FA) для изучения дополнительных уровней защиты вашей учетной записи.