Скорее всего, многие из нас уже устали от паролей. В мире, где нужно управлять доступом к множеству онлайн-аккаунтов, пароли больше не кажутся подходящим решением. Многие из нас используют одни и те же, легко запоминающиеся логины для всех этих приложений и сайтов, а также допускают другие ошибки, связанные с паролями. Это облегчает злоумышленникам угадывание или кражу наших данных для входа. И как только один пароль будет взломан, весь наш цифровой мир может рухнуть.
Удивительно, что пароли продержались так долго, в основном из-за отсутствия эффективных альтернатив. Но это может измениться с появлением ключей доступа. Google недавно объявил о поддержке новой технологии как для личных, так и для рабочих аккаунтов (не отличаясь от Apple и Microsoft), так что, возможно, скоро наступит новая эра входа без пароля?
Предыдущие попытки улучшить или обновить опыт и безопасность паролей имели лишь частичный успех. Двухфакторная аутентификация (2FA) значительно повышает безопасность паролей, но ее внедрение далеко не повсеместно, поскольку некоторым людям двухэтапный процесс кажется неудобным. Кроме того, одноразовые коды, отправляемые пользователям по SMS, что является самой распространенной формой 2FA, все еще могут быть перехвачены.
Менеджеры паролей, в свою очередь, отлично справляются с генерацией, хранением и запоминанием длинных, сложных и уникальных паролей для каждого отдельного сайта. Но они не всегда могут охватывать все ваши устройства, операционные системы и веб-браузеры, и могут представлять собой единую точку отказа, если вы потеряете свой мастер-пароль. В некоторых случаях пользовательский интерфейс также может быть немного неуклюжим.
Представляем ключи доступа — отраслевой стандарт, который, как надеются крупнейшие IT-компании, однажды заменит пароли, 2FA и необходимость в управлении паролями в том виде, в котором мы его знаем.
Как работают ключи доступа?
Ключи доступа используют мощность криптографии с открытым ключом. Ключ доступа состоит из пары криптографических ключей — приватного и соответствующего ему публичного — которые генерируются для защиты вашего аккаунта на веб-сайте, в приложении или другом онлайн-сервисе.
Приватный ключ хранится на вашем устройстве в виде длинной строки зашифрованных символов, а соответствующий публичный ключ загружается на серверы соответствующего онлайн-сервиса, например Google или даже системы управления паролями iCloud от Apple.
Если вы вошли в свой аккаунт Google со своего смартфона, Google уже сгенерировал для вас ключ доступа
Затем, при попытке входа, вас попросят подтвердить личность с помощью PIN-кода, отпечатка пальца или другого механизма блокировки экрана устройства. Нет необходимости вводить или запоминать пароли, что сразу делает процесс более безопасным и удобным.
При попытке входа сервер отправляет криптографический вызов вашему устройству, прося приватный ключ решить его и отправить обратно на сервер. Этот ответ используется для проверки соответствия пар публичного и приватного ключей, поскольку оба необходимы для вашей аутентификации.
Биометрические данные ни в коем случае не покидают устройство, и сервер не узнает, что такое приватный ключ. Более того, вы сами никогда не увидите приватный ключ — вся магия происходит в фоновом режиме и практически без каких-либо усилий с вашей стороны.
Первый шаг к настройке аутентификации по ключу доступа в настройках безопасности аккаунта Google
Каковы преимущества ключей доступа?
Итак, могут ли ключи доступа предложить «Святой Грааль» — простоту использования и повышенную безопасность? Вот некоторые из преимуществ более подробно:
- Устойчивость к фишингу и социальной инженерии: Ключи доступа устраняют проблему случайного раскрытия учетных данных киберпреступникам путем ввода их на поддельных веб-сайтах. Вместо этого вас попросят использовать ваше устройство, чтобы доказать, что вы являетесь истинным владельцем аккаунта.
- Предотвращение последствий взлома третьей стороны: Если поставщик веб-сайта или приложения взломан, могут быть украдены только публичные ключи — ваш приватный ключ никогда не передается онлайн-сервису, и его невозможно узнать из публичного ключа. Сам по себе публичный ключ бесполезен для злоумышленника. Сравните это с текущей системой, где хакеры могут украсть большие массивы готовых к использованию комбинаций имен пользователей и паролей.
- Избегание атак методом перебора: Ключи доступа полагаются на криптографию с открытым ключом, что означает, что злоумышленники не могут угадать их или использовать методы перебора для взлома аккаунтов.
- Отсутствие перехвата 2FA: С ключами доступа нет второго фактора, поэтому пользователи не подвержены атакам, предназначенным для перехвата SMS-кодов и тому подобного. По сути, считайте сам ключ доступа состоящим из нескольких факторов аутентификации. Фактически, ключи доступа достаточно надежны, чтобы заменить даже самые надежные виды 2FA — аппаратные ключи безопасности.
- Основаны на отраслевых стандартах: Ключи доступа основаны на стандартах FIDO Alliance и W3C WebAuthn, что означает, что они должны работать на всех участвующих операционных системах, браузерах, веб-сайтах, приложениях и мобильных экосистемах. Apple, Google и Microsoft поддерживают эту технологию, как и (или скоро будут) крупные компании по управлению паролями, такие как 1Password и Dashlane, а также платформы, такие как WordPress, PayPal, eBay и Shopify.
- Легкое восстановление: Ключи доступа могут храниться в облаке и, таким образом, восстанавливаться на новое устройство в случае его потери.
- Нечего запоминать: Для пользователей больше нет необходимости создавать, запоминать и защищать большие объемы паролей.
- Работают на нескольких устройствах: После создания ключ доступа может использоваться на новых устройствах без необходимости повторной регистрации каждый раз, как в случае с обычной биометрической аутентификацией. Однако есть оговорки, как описано ниже.
Почему ключи доступа могут быть не лучшей идеей?
Возможно, есть некоторые препятствия, которые могут помешать вам внедрить ключи доступа, по крайней мере, на данный момент: внедрение в отрасли и способ синхронизации ключей доступа.
- Ключи доступа синхронизируются только с устройствами, работающими под одной ОС: Как объясняется в этой статье, ключи доступа синхронизируются по платформе ОС. Это означает, что если у вас есть устройство iOS, но вы также используете Windows, например, это может привести к разочарованию. Вам придется сканировать QR-коды и включать Bluetooth, чтобы ваши ключи доступа работали на устройствах с разными операционными системами. Это даже менее удобно для пользователя, чем текущий опыт работы с паролями.
- Внедрение далеко не повсеместное: Хотя некоторые крупные игроки уже поддерживают ключи доступа, это все еще ранний этап. Помимо крупных платформ, потребуется некоторое время, чтобы достичь критической массы веб-сайтов и приложений, поддерживающих эту технологию. Проверьте, поддерживают ли ваши любимые платформы эту технологию здесь.
Может ли это быть началом конца для паролей? Ключи доступа — самый сильный претендент на данный момент. Но чтобы получить почти универсальное признание среди пользователей, поставщики технологий, возможно, должны будут сделать их использование еще проще между различными экосистемами ОС.
Если вы готовы попробовать ключи доступа, для начала потребуется совсем немного усилий через меню настроек вашего аккаунта Google, Apple или Microsoft.