Správa pověření - Credential Management
Správa pověření, Systém správy pověření (CMS), je zavedená forma softwaru, který se používá k vydávání a správě pověření jako součást infrastruktura veřejného klíče (PKI).
Software CMS používají vlády a podniky, které vydávají silné zprávy dvoufaktorové ověřování (2FA) zaměstnancům a občanům. CMS se integruje s komponentami PKI a poskytuje jedno společné řešení pro IT oddělení, která vydávají a spravují přihlašovací údaje k širokému výběru zařízení, včetně čipových karet, USB klíčů, smartphonů, notebooků a stolních počítačů.[1]
Navrhuje se také správa pověření aplikační programovací rozhraní (API) ve vývoji World Wide Web Consortium pro standardizaci aspektů jak správci hesel používá web uživatelské agenty (internetové prohlížeče a další aplikace) kromě správy „vytvářet, ukládat, používat a upravovat kombinace přihlašovacích údajů a hesel pro přihlášení“federované "pověření (např jednotné přihlášení tokeny) agenty uživatelů. API je vyvíjeno W3C Pracovní skupina pro zabezpečení webových aplikací, a ve stavu Pracovní návrh je od dubna 2016. Jedná se o návrh sledující doporučení, od kterého se očekává, že se stane akceptovaným standardem, ale než k němu dojde, může projít významnými změnami.[2][3] Rozhraní API pro správu pověření již bylo rozšířeno o WebAuthn Návrh (Web Authentication), který dosáhl stavu Doporučení kandidátů v dubnu 2018 a přidává schopnost zpracovávat ověřování pomocí veřejného klíče.[4]
Je běžné, že moderní webové prohlížeče mohou ukládat a automaticky vstoupit uživatelská jména a hesla pro přihlášení na web, i když jsou často používána neoptimálně heuristika za hádání které formulář pole a data mají být vyplněna / uložena, což má za následek nekonzistentní a někdy chybné chování. Prohlížeče mohou mít také potíže s vyplňováním přihlašovacích formulářů pro federované identity, například když uživatel, který se připojuje k webu, používá účet pro webovou službu třetí strany (například Facebook, Google nebo Cvrlikání ) k ověření a poskytnutí informací o totožnosti. Specifikace správy pověření má také za cíl zefektivnit proces změny hesel, aby bylo možné lokálně uložené heslo v klientovi aktualizovat současně s jeho úpravou na serveru.
Google Chrome zahrnoval nějakou podporu pro správu pověření od verze 51,[5] vydáno v květnu 2016,[6] a Opera obsahuje podporu od verze 44,[5] vydáno v dubnu 2017.[7] Mozilla Firefox zahrnuje podmnožinu API pro podporu WebAuthn od verze 60, vydané v květnu 2018.[8]
API
K pracovnímu návrhu ze srpna 2017[9] agenti uživatelů podporující rozhraní Credential Management API musí implementovat „úložiště pověření“ pro trvalé ukládání objektů pověření a měli by také obsahovat „výběr pověření“, který uživatelům umožní interakci s objekty a povolí nebo zamítne jejich použití pro přihlášení. Pověření budou mít v ideálním případě jméno a favicon přidružené k nim, možná spolu s dalšími souvisejícími informacemi, aby pomohly rozlišit, pro který web nebo službu se používají, a také schopnost rozlišovat pověření pro více účtů na stejném webu.
API definuje čtyři hlavní JavaScript metody, které vystavují CredentialsContainer
rozhraní: navigator.credentials.create ()
, navigator.credentials.store ()
, navigator.credentials.get ()
, a navigator.credentials.preventSilentAccess ()
. Určuje také nejvyšší úroveň Pověření
objekt rozhraní, s potomkem Heslo
a FederatedCredential
typy objektů. (WebAuthn také definuje a PublicKeyCredential
objekt rozhraní.) API je k dispozici, pouze pokud je uživatelský agent připojen k zabezpečenému (HTTPS ) webová stránka. Prohlížeče mohou i nadále implementovat automatické vyplňování přihlašovacích údajů na nezabezpečených webech, ale nesmí těmto webům umožnit těžit z automatizace, kterou poskytuje API, protože by to mohlo vést k náhodnému odhalení hesel nebo jiných pověření. Kromě toho je přístup k rozhraní API povolen pouze v oknech nejvyšší úrovně, nikoli v rámci <iframe>
prvky nebo jiné vnořené kontexty procházení.
The navigator.credentials.create ()
metoda se používá pro konstrukci objektů pověření v paměti a obchod()
spouští zápis objektu do úložiště pověření po úspěšném přihlášení. dostat()
požaduje od úložiště potenciálně relevantní pověření, která mohou být uživateli předána ve výběru pověření. Když jsou zadány požadavky na načítání, jsou agenti uživatelů povinni ve výchozím nastavení vyzvat uživatele k autorizaci, i když uživatelské rozhraní může povolit nastavení příznaku, který umožňuje „tichou“ autorizaci bez zobrazení výzvy. Web může tento příznak resetovat pomocí preventSilentAccess ()
metoda, doporučená pro použití při odhlášení.
Viz také
Reference
- ^ „Systém pro správu pověření - MyID CMS“. Zakročit. Citováno 2019-07-31.
- ^ West, Mike, ed. (2017-08-04). „Úroveň správy pověření 1“. W3C. Citováno 2018-05-12.
- ^ „Pracovní skupina pro zabezpečení webových aplikací W3C“. Citováno 2018-05-12.
- ^ Balfanz; et al. (2018-03-20). „Web Authentication: API for accessing Public Key Credentials Level 1“. W3C. Citováno 2018-05-12.
- ^ A b „Credential Management API“. Webové dokumenty MDN. Mozilla. 20. 2. 2018. Citováno 2018-05-13.
- ^ „Stabilní aktualizace kanálu“. Verze Chrome. 2016-05-25. Citováno 2018-05-13.
- ^ Mielczarczyk, Kornelia (04.04.2017). „Stabilní aktualizace Opera 44.0.2510.1159“. Blogy opery. Citováno 2018-05-13.
- ^ „Firefox - Notes (60.0) - Mozilla“. Mozilla. 9. 5. 2018. Citováno 2018-05-13.
- ^ West, Mike, ed. (2017-08-04). „Credential Management Level 1, W3C Working Draft, 4. srpna 2017“. Citováno 2018-05-12.