Технологии: пароли больше не нужны

В Chrome и Android появилась авторизация нового типа.

Google создала систему Passkeys для авторизации на сайтах и в сервисах без пароля. Это до нуля снижает риск утечки пароля, так как криптотокены Passkeys являются одноразовыми, но работают пока лишь в Android и только в браузере Chrome. В разработке участвовали Apple и Microsoft – скоро Passkeys может появиться и на их платформах.

Эпоха паролей близится к завершению

Корпорация Google реализовала новый способ авторизации в различных сервисах, позволяющий навсегда забыть о паролях. В своем блоге она сообщила о внедрении нововведения в мобильную ОС Android, а также в свой браузер Chrome.

Новый проект Google носит название Passkeys. Интернет-гигант позиционирует его непосредственно как новый стандарт аутентификации и действительно преподносит его в качестве замены паролей.

По словам разработчиков, Passkeys или «парольные ключи» в разы безопаснее обычных паролей ввиду того, что они одноразовые. Это сразу лишает злоумышленников выудить столь ценную информацию путем фишинга, социальной инженерии или классического брутфорса.

В Google уверяют, что Passkeys нельзя не только использовать повторно, но и перехватить при вводе.

Принцип работы

Passkeys – это уникальные (потому что одноразовые) криптографические токены, генерируемые непосредственно на устройстве. Затем они передаются веб-сайтам для авторизации вместо паролей.

Для пользователя это означает, что ему больше не придется держать в голове пароли от десятков сервисов, хранить их в менеджерах паролей и постоянно переживать, что хакеры могут добраться до этих менеджеров. Такое за последние годы происходило не раз – сервисы хранения паролей, основанные на облачных технологиях, наглядно продемонстрировали всему миру свою ненадежность.

Пользоваться Passkeys можно исключительно при наличии физического доступа к смартфону, что еще сильнее снижает вероятность получения доступа к аккаунту. Существует дополнительная степень защиты – перед отправкой парольного слова на сайт Android попросит ввести код разблокировки устройства или коснуться сканера отпечатков пальцев.

Доступ пока ограничен

Чтобы заменители паролей работали, владельцам сайтов и сервисов нужно задействовать WebAuthn API для Chrome. Если этого не сделать, система Passkeys работать не будет. В этом случае пользователь сможет авторизоваться по старой схеме – при помощи своего пароля.

На момент выхода материала оценить работу Passkeys могли не все пользователи Android. Функция работает исключительно в мобильной версии браузера Chrome, и к тому же в сборке Canary для бета-тестеров. Также потребуется перейти на использование бета-версии Google Play Services.

Команда в сборе

Когда Google планирует открыть более широкий доступ к Passkeys, неизвестно. Однако над данной технологией она работала при посильно участии альянса FIDO, а также корпораций Apple и Microsoft, что увеличивает вероятность ее появления в их браузерах и операционных системах.

На то, что и Apple и Google в очень скором будущем тоже внедрят Passkeys указывает еще один важный факт. Ежегодно 5 мая отмечается всемирный день паролей. В этот день в 2022 г. все три корпорации заявили о скором отказе от паролей в своих сервисах.

Как сообщал CNews, они говорили именно о едином стандарте авторизации, который позволит идентифицировать пользователя при помощи распознавания лица или отпечатка пальца или же при помощи PIN-кода. Все это в точности совпадает с описанием Passkeys.

Следует отметить, что Google пытается сделать пароли пережитком прошлого как минимум с 2016 г. На сегодняшний день только Passkeys является наиболее значимым шагом в этом направлении. Однако на повсеместное внедрение технологии могут уйти годы.

Что не так с паролями

Пароль – это классический способ защиты от несанкционированного доступа к информации. Пользователи, использующие разные сложные пароли для разных ресурсов, а также хранящие их в офлайновых менеджерах и не переходящие по сомнительным ссылкам, крайне редко сталкиваются со взломом своих аккаунтов.

Но никогда не стоит забывать, что владельцы сервисов, где у пользователя есть профиль, тоже могут допустить утечку. Например, летом 2021 г. в свободном доступе в Интернете оказался файл с 8,2 млрд паролей. Это больше всего населения Земли и почти вдвое больше суммарного количества пользователей интернета, что сделало данную утечку крупнейшей в истории.

Также в сентябре 2022 г. CNews писал, что Google и Microsoft сами годами воруют пароли пользователей, особо при этом не скрываясь.

Понравилась ли Вам статья?