Ваш телефон скоро заменит многие ваши пароли

Apple, Google и Microsoft объявили 05.05.2022, что вскоре они начнут поддерживать подход к аутентификации, который полностью исключает пароли и вместо этого требует, чтобы пользователи просто разблокировали свои смартфоны для входа на веб-сайты или в онлайн-сервисы.

Эксперты говорят, что изменения должны помочь противостоять многим типам фишинговых атак и облегчить общее бремя паролей для пользователей интернета, но предупреждают, что до настоящего будущего без паролей для большинства веб-сайтов могут пройти годы.

 Изображение: Blog.google

Технологические гиганты прилагают много усилий по замене паролей, которые легко забываются, пароли часто крадут с помощью вредоносных программ и фишинговых схем или просачиваются и продаются в интернете после утечки корпоративных данных.

Apple, Google и Microsoft являются одними из наиболее активных участников стандарта входа без пароля, разработанного Альянсом FIDO («Fast Identity Online») и Консорциумом World Wide Web (W3C), группами, которые работают с сотнями технических специалистов.

Компании за последнее десятилетие разработали новый стандарт входа в систему, который работает одинаково в различных браузерах и операционных системах.

По данным FIDO Alliance, пользователи смогут входить на веб-сайты с помощью тех же действий, которые они предпринимают несколько раз в день для разблокировки своих устройств, включая PIN-код устройства или биометрические данные, такие как отпечаток пальца или сканирование лица.

«Этот новый подход защищает от фишинга, а вход в систему будет радикально более безопасным по сравнению с паролями и устаревшими многофакторными технологиями, такими как одноразовые коды доступа, отправляемые по SMS»

— написал альянс 5 мая.

Сампат Сринивас (Sampath Srinivas), директор по аутентификации безопасности в Google и президент Альянса FIDO, сказал, что в рамках новой системы ваш телефон будет хранить учетные данные FIDO, называемые «ключом доступа», который используется для разблокировки вашей онлайн-учетной записи.

«Ключ делает вход в систему гораздо более безопасным, поскольку он основан на криптографии и отображается в вашей онлайн-учетной записи только тогда, когда вы разблокируете свой телефон», — написал Шринивас. «Чтобы войти на веб-сайт на своем компьютере, вам просто понадобится телефон рядом, и вам будет предложено разблокировать его для доступа. Как только вы это сделаете, больше не понадобится телефон, и вы сможете войти в систему, разблокировав компьютер».

Apple, Google и Microsoft уже поддерживают эти стандарты без пароля (например, «Войти через Google»), но пользователям необходимо входить в систему на каждом веб-сайте, чтобы использовать функцию без пароля. В рамках этой новой системы пользователи смогут автоматически получать доступ к своему ключу на многих используемых устройствах — без необходимости повторной регистрации каждой учетной записи — и применять своё мобильное устройство для входа в приложение или веб-сайт.

Йоханнес Ульрих (Johannes Ullrich), декан по исследованиям Технологического института SANS, назвал это объявление «безусловно, наиболее многообещающей попыткой решить проблему аутентификации».

«Самая важная часть этого стандарта заключается в том, что он не требует от пользователей покупки нового устройства, вместо этого они могут использовать устройства, которые у них уже есть и которые они знают, как использовать в качестве аутентификаторов»

— сказал Ульрих.

Но есть один потенциально сложный сценарий в этой новой схеме аутентификации без пароля — это то, что происходит, когда кто-то теряет свое мобильное устройство или его телефон ломается, и он не может вспомнить свой пароль iCloud.

Google, же говорит, что даже если вы потеряете свой телефон, «ваши пароли будут надежно синхронизированы с вашим новым телефоном из облачной резервной копии, что позволит вам продолжить работу с того места, где остановилось ваше старое устройство».

У Apple и Microsoft также есть решения для облачного резервного копирования которое, клиенты этих платформ, могут использовать для восстановления данных с потерянного мобильного устройства. Но многое зависит от того, насколько безопасны сами облачные системы.

Технологические гиганты заявили, что новые возможности без пароля будут включены на платформах Apple, Google и Microsoft «в течение следующего года». Но эксперты говорят, что потребуется еще несколько лет, чтобы небольшие веб-сайты приняли эту технологию и полностью отказались от паролей.

Исследования показывают, что слишком много людей по-прежнему повторно используют пароли (незначительно изменяя один и тот же), что создает риск захвата учетной записи. Согласно проверке, 64 процента пользователей повторно используют пароли для нескольких учетных записей, а 70 процентов учетных данных, скомпрометированных в ходе предыдущих взломов, все еще используются.

И пока пароли по-прежнему часть нашей жизни, старайтесь сделать обычный вход в систему более безопасным и простым с помощью Google Password Manager.