Пароли больше не нужны. В Chrome и Android появилась авторизация нового типа.
Google создала систему Passkeys для авторизации на сайтах и в сервисах без пароля. Это до нуля снижает риск утечки пароля, так как криптотокены Passkeys являются одноразовыми, но работают пока лишь в Android и только в браузере Chrome. В разработке участвовали Apple и Microsoft – скоро Passkeys может появиться и на их платформах.
Корпорация Google реализовала новый способ авторизации в различных сервисах, позволяющий навсегда забыть о паролях. В своем блоге она сообщила о внедрении нововведения в мобильную ОС Android, а также в свой браузер Chrome.
Новый проект Google носит название Passkeys. Интернет-гигант позиционирует его непосредственно как новый стандарт аутентификации и действительно преподносит его в качестве замены паролей.
По словам разработчиков, Passkeys или «парольные ключи» в разы безопаснее обычных паролей ввиду того, что они одноразовые. Это сразу лишает злоумышленников выудить столь ценную информацию путем фишинга, социальной инженерии или классического брутфорса.
В Google уверяют, что Passkeys нельзя не только использовать повторно, но и перехватить при вводе.
Принцип работы.
Passkeys – это уникальные (потому что одноразовые) криптографические токены, генерируемые непосредственно на устройстве. Затем они передаются веб-сайтам для авторизации вместо паролей.
Для пользователя это означает, что ему больше не придется держать в голове пароли от десятков сервисов, хранить их в менеджерах паролей и постоянно переживать, что хакеры могут добраться до этих менеджеров. Такое за последние годы происходило не раз – сервисы хранения паролей, основанные на облачных технологиях, наглядно продемонстрировали всему миру свою ненадежность.
Так выглядит окно отправки Passkey на экране Android-смартфона
Пользоваться Passkeys можно исключительно при наличии физического доступа к смартфону, что ещё сильнее снижает вероятность получения доступа к аккаунту. Существует дополнительная степень защиты – перед отправкой парольного слова на сайт Android попросит ввести код разблокировки устройства или коснуться сканера отпечатков пальцев.
Доступ пока ограничен
Чтобы заменители паролей работали, владельцам сайтов и сервисов нужно задействовать WebAuthn API для Chrome. Если этого не сделать, система Passkeys работать не будет. В этом случае пользователь сможет авторизоваться по старой схеме – при помощи своего пароля.
На момент выхода материала оценить работу Passkeys могли не все пользователи Android. Функция работает исключительно в мобильной версии браузера Chrome, и к тому же в сборке Canary для бета-тестеров. Также потребуется перейти на использование бета-версии Google Play Services.
Команда в сборе.
Когда Google планирует открыть более широкий доступ к Passkeys, неизвестно. Однако над данной технологией она работала при посильно участии альянса FIDO, а также корпораций Apple и Microsoft, что увеличивает вероятность ее появления в их браузерах и операционных системах.
На то, что и Apple и Google в очень скором будущем тоже внедрят Passkeys указывает ещё один важный факт. Ежегодно 5 мая отмечается всемирный день паролей. В этот день в 2022 г. все три корпорации заявили о скором отказе от паролей в своих сервисах.
Как сообщал CNews, они говорили именно о едином стандарте авторизации, который позволит идентифицировать пользователя при помощи распознавания лица или отпечатка пальца или же при помощи PIN-кода. Все это в точности совпадает с описанием Passkeys.
Следует отметить, что Google пытается сделать пароли пережитком прошлого как минимум с 2016 г. На сегодняшний день только Passkeys является наиболее значимым шагом в этом направлении. Однако на повсеместное внедрение технологии могут уйти годы.
Что не так с паролями.
Пароль – это классический способ защиты от несанкционированного доступа к информации. Пользователи, использующие разные сложные пароли для разных ресурсов, а также хранящие их в офлайновых менеджерах и не переходящие по сомнительным ссылкам, крайне редко сталкиваются со взломом своих аккаунтов.
Но никогда не стоит забывать, что владельцы сервисов, где у пользователя есть профиль, тоже могут допустить утечку. Например, летом 2021 г. в свободном доступе в Интернете оказался файл с 8,2 млрд паролей. Это больше всего населения Земли и почти вдвое больше суммарного количества пользователей интернета, что сделало данную утечку крупнейшей в истории.
Также в сентябре 2022 г. CNews писал, что Google и Microsoft сами годами воруют пароли пользователей, особо при этом не скрываясь.
Источник: Cnews.