Спецпроекты

Безопасность Стратегия безопасности Пользователю Интернет Веб-сервисы Техника

Пароли больше не нужны. В Chrome и Android появилась авторизация нового типа

Google создала систему Passkeys для авторизации на сайтах и в сервисах без пароля. Это до нуля снижает риск утечки пароля, так как криптотокены Passkeys являются одноразовыми, но работают пока лишь в Android и только в браузере Chrome. В разработке участвовали Apple и Microsoft – скоро Passkeys может появиться и на их платформах.

Эпоха паролей близится к завершению

Корпорация Google реализовала новый способ авторизации в различных сервисах, позволяющий навсегда забыть о паролях. В своем блоге она сообщила о внедрении нововведения в мобильную ОС Android, а также в свой браузер Chrome.

Новый проект Google носит название Passkeys. Интернет-гигант позиционирует его непосредственно как новый стандарт аутентификации и действительно преподносит его в качестве замены паролей.

По словам разработчиков, Passkeys или «парольные ключи» в разы безопаснее обычных паролей ввиду того, что они одноразовые. Это сразу лишает злоумышленников выудить столь ценную информацию путем фишинга, социальной инженерии или классического брутфорса.

g600.jpg
Google явно пытается выставить пароли как средство безопасности в неблагоприятном свете

В Google уверяют, что Passkeys нельзя не только использовать повторно, но и перехватить при вводе.

Принцип работы

Passkeys – это уникальные (потому что одноразовые) криптографические токены, генерируемые непосредственно на устройстве. Затем они передаются веб-сайтам для авторизации вместо паролей.

Для пользователя это означает, что ему больше не придется держать в голове пароли от десятков сервисов, хранить их в менеджерах паролей и постоянно переживать, что хакеры могут добраться до этих менеджеров. Такое за последние годы происходило не раз – сервисы хранения паролей, основанные на облачных технологиях, наглядно продемонстрировали всему миру свою ненадежность.

g601.jpg
Так выглядит окно отправки Passkey на экране Android-смартфона

Пользоваться Passkeys можно исключительно при наличии физического доступа к смартфону, что еще сильнее снижает вероятность получения доступа к аккаунту. Существует дополнительная степень защиты – перед отправкой парольного слова на сайт Android попросит ввести код разблокировки устройства или коснуться сканера отпечатков пальцев.

Доступ пока ограничен

Чтобы заменители паролей работали, владельцам сайтов и сервисов нужно задействовать WebAuthn API для Chrome. Если этого не сделать, система Passkeys работать не будет. В этом случае пользователь сможет авторизоваться по старой схеме – при помощи своего пароля.

На момент выхода материала оценить работу Passkeys могли не все пользователи Android. Функция работает исключительно в мобильной версии браузера Chrome, и к тому же в сборке Canary для бета-тестеров. Также потребуется перейти на использование бета-версии Google Play Services.

Команда в сборе

Когда Google планирует открыть более широкий доступ к Passkeys, неизвестно. Однако над данной технологией она работала при посильно участии альянса FIDO, а также корпораций Apple и Microsoft, что увеличивает вероятность ее появления в их браузерах и операционных системах.

На то, что и Apple и Google в очень скором будущем тоже внедрят Passkeys указывает еще один важный факт. Ежегодно 5 мая отмечается всемирный день паролей. В этот день в 2022 г. все три корпорации заявили о скором отказе от паролей в своих сервисах.

Как сообщал CNews, они говорили именно о едином стандарте авторизации, который позволит идентифицировать пользователя при помощи распознавания лица или отпечатка пальца или же при помощи PIN-кода. Все это в точности совпадает с описанием Passkeys.

Следует отметить, что Google пытается сделать пароли пережитком прошлого как минимум с 2016 г. На сегодняшний день только Passkeys является наиболее значимым шагом в этом направлении. Однако на повсеместное внедрение технологии могут уйти годы.

Что не так с паролями

Пароль – это классический способ защиты от несанкционированного доступа к информации. Пользователи, использующие разные сложные пароли для разных ресурсов, а также хранящие их в офлайновых менеджерах и не переходящие по сомнительным ссылкам, крайне редко сталкиваются со взломом своих аккаунтов.

Но никогда не стоит забывать, что владельцы сервисов, где у пользователя есть профиль, тоже могут допустить утечку. Например, летом 2021 г. в свободном доступе в Интернете оказался файл с 8,2 млрд паролей. Это больше всего населения Земли и почти вдвое больше суммарного количества пользователей интернета, что сделало данную утечку крупнейшей в истории.

Также в сентябре 2022 г. CNews писал, что Google и Microsoft сами годами воруют пароли пользователей, особо при этом не скрываясь.

Евгений Черкесов

Короткая ссылка