Почему будущее без паролей — уже близко (но не совсем)

7197
1

Издание Wired рассказало, каким может стать будущее без паролей, если разработчики браузеров и сайтов примут новый стандарт FIDO2. Благодаря этой технологии можно будет забыть о сложных комбинациях символов и менеджерах паролей. Однако чтобы такой прорыв состоялся, необходима поддержка всех игроков рынка: от Apple до Amazon, Facebook и рядовых разработчиков. AIN.UA приводит сокращенный перевод материала.

Интернет без паролей — давняя мечта исследователей и рядовых пользователей. Индустрия пыталась избавиться от них по разному: с помощью биометрии и бихевиоральных данных для подтверждения личности. Но все эти попытки не привели к нужному итогу. Теперь на реализацию идеи есть еще один шанс — стандарт под названием WebAuthn. Если он будет принят популярными браузерами и сайтами, то единственный отпечаток пальца или устройство-идентификатор позволят логиниться куда угодно.

Что такое WebAuthn и как это работает

WebAuthn — результат совместной работы Консорциума Всемирной паутины и альянса FIDO (Fast Identity Online). Новая технология должна стать продолжением существующих спецификаций FIDO — U2F и UAF. Сейчас они используются для так называемой двухфакторной аутентификации. При ней пользователь, помимо ввода пароля, также должен указать второй, временный код для получения доступа к аккаунту. Чаще всего аутентификация без пароля становится второстепенной опцией, однако если с помощью WebAuthn браузеры будут поддерживать ее нативно, все может измениться. Предпосылки для этого есть: о поддержке WebAuthn уже заявили Google, Mozilla и Microsoft.

Если так и случится, для единого логина во все браузеры и онлайн-аккаунты появятся две опции. Первая — универсальный USB-донгл с поддерджкой нового протокола FIDO. Пример такого Yubikey от компании yubico, который обойдется в $20. Вторая опция — использование биометрического идентификатора (например, с помощью отпечатка пальца). Вначале, возможно, и придется однажды ввести один пароль. Но потом (в теории) все превратится в бесшовный процесс.

Физический ключ Yubikey

Как рассказал в комментарии Wired программный менеджер отдела безопасности Microsoft Дейв Боссио, одним из примеров подобного станет Windows Hello. Эта система идентификации предоставляет три варианта для подтверждения личности (пин-код, сканирование отпечатка пальца или распознавание лица). Боссио заявляет, что браузерная поддержка WebAuthn появится в середине-второй половине 2018-го. Тогда останется только один, последний шаг — сторонним разработчикам потребуется только включить бэкенд-поддержку FIDO2.

Чем хорош WebAuthn

Основатель стартапа Pepperword Живей Ли говорит, что новый стандарт станет «как TouchID, но на шаг впереди». Сам Ли известен тем, что в 2013 году обнаружил уязвимости в популярном менеджере паролей LastPass. Он объясняет:

С TouchID вы используете отпечаток пальца, чтобы войти в локальное устройство. С FIDO2 вы можете залогиниться в систему на десктопном компьютере, используя скан отпечатка пальца на смартфоне. FIDO2 просто стандартизирует этот процесс.

Издание отмечает, что Apple — единственный из крупных создателей браузеров, кто не заявил о поддержке WebAuthn. Между тем, система полезна не только с точки зрения удобства. WebAuthn может стать отличной защитой от фишинговых атак. Ведь если нет пароля — нечего и красть. Как говорит Сара Сквайр, IT-архитектор компании Ping Identity, это большой прорыв:

Я думаю это серьезный аргумент для известных людей, который являются мишенью для взлома или обладателей больших состояний. При аутентификации потребуется ключ, вроде Yubikey, так что у людей не так просто будет сделать жертвами фишинга.

Автор текста Wired отмечает — иронично, что в итоге самым футуристическим способом защиты стал физический донгл. Аналогичные решения, в конце-концов, производят уже около 15 лет. Чем же лучше Yubikey? С одной стороны, практичностью: с этим устройством вам не надо вводить никакие пин-коды. Его достаточно просто подключить к компьютеру. С другой стороны, тут тоже не все так просто: физический ключ может потеряться или пропасть из-за кражи. Плюс, это еще один гаджет, который придется носить с собой.

Но еще большим вызовом для WebAuthn станет коллаборация с Amazon, Facebook и другими сайтами, которые люди посещают ежедневно. В этом его отличие от менеджеров-паролей — их удобство в независимости от разработчиков сервиса. Для нового стандарта нужна нативная поддержка. Участник инициативной группы Консорциума Всемирной паутины, занимающейся разработкой WebAuthn, говорит, что именно поэтому первыми их поддержали производители браузеров, а не ecommerce-сайты или соцсети. Представитель Mozilla Cелена Докерман подтверждает:

Мы не получим светлого будущего без паролей в один момент. Поначалу это будет второстепенным фактором, который потребует от сайтов немного покопаться в коде. 

Несмотря на отсутствие иллюзий, все опрошенные Wired эксперты уверены, что новая технология двигает индустрию в нужном направлении. Живей Ли подытоживает: «Пароли являются проблемой не из-за ошибки одного пользователя. Я думаю, вся экосистема сломана. И нужно что-то вроде FIDO, чтобы ее починить».

Оставить комментарий

Комментарии | 1

Поиск