Почему будущее без паролей — уже близко (но не совсем)

Источник: ain.ua

Издание Wired рассказало, каким может стать будущее без паролей, если разработчики браузеров и сайтов примут новый стандарт FIDO2.

Благодаря этой технологии можно будет забыть о сложных комбинациях символов и менеджерах паролей.

Однако чтобы такой прорыв состоялся, необходима поддержка всех игроков рынка: от Apple до Amazon, Facebook и рядовых разработчиков. AIN.UA приводит сокращенный перевод материала.

Интернет без паролей — давняя мечта исследователей и рядовых пользователей.

Индустрия пыталась избавиться от них по разному: с помощью биометрии и бихевиоральных данных для подтверждения личности.

Но все эти попытки не привели к нужному итогу. Теперь на реализацию идеи есть еще один шанс — стандарт под названием WebAuthn.

Если он будет принят популярными браузерами и сайтами, то единственный отпечаток пальца или устройство-идентификатор позволят логиниться куда угодно.

Что такое WebAuthn и как это работает

WebAuthn — результат совместной работы Консорциума Всемирной паутины и альянса FIDO (Fast Identity Online).

Новая технология должна стать продолжением существующих спецификаций FIDO — U2F и UAF. Сейчас они используются для так называемой двухфакторной аутентификации.

При ней пользователь, помимо ввода пароля, также должен указать второй, временный код для получения доступа к аккаунту.

Чаще всего аутентификация без пароля становится второстепенной опцией, однако если с помощью WebAuthn браузеры будут поддерживать ее нативно, все может измениться.

Предпосылки для этого есть: о поддержке WebAuthn уже заявили Google, Mozilla и Microsoft.

Если так и случится, для единого логина во все браузеры и онлайн-аккаунты появятся две опции. Первая — универсальный USB-донгл с поддерджкой нового протокола FIDO.

Пример такого Yubikey от компании yubico, который обойдется в $20. Вторая опция — использование биометрического идентификатора (например, с помощью отпечатка пальца).

Вначале, возможно, и придется однажды ввести один пароль. Но потом (в теории) все превратится в бесшовный процесс.

Как рассказал в комментарии Wired программный менеджер отдела безопасности Microsoft Дейв Боссио, одним из примеров подобного станет Windows Hello.

Эта система идентификации предоставляет три варианта для подтверждения личности (пин-код, сканирование отпечатка пальца или распознавание лица).

Боссио заявляет, что браузерная поддержка WebAuthn появится в середине-второй половине 2018-го.

Тогда останется только один, последний шаг — сторонним разработчикам потребуется только включить бэкенд-поддержку FIDO2.

Чем хорош WebAuthn

Основатель стартапа Pepperword Живей Ли говорит, что новый стандарт станет «как TouchID, но на шаг впереди».

Сам Ли известен тем, что в 2013 году обнаружил уязвимости в популярном менеджере паролей LastPass. Он объясняет:

«С TouchID вы используете отпечаток пальца, чтобы войти в локальное устройство. С FIDO2 вы можете залогиниться в систему на десктопном компьютере, используя скан отпечатка пальца на смартфоне. FIDO2 просто стандартизирует этот процесс».

Издание отмечает, что Apple — единственный из крупных создателей браузеров, кто не заявил о поддержке WebAuthn. Между тем, система полезна не только с точки зрения удобства.

WebAuthn может стать отличной защитой от фишинговых атак. Ведь если нет пароля — нечего и красть. Как говорит Сара Сквайр, IT-архитектор компании Ping Identity, это большой прорыв:

«Я думаю это серьезный аргумент для известных людей, который являются мишенью для взлома или обладателей больших состояний. При аутентификации потребуется ключ, вроде Yubikey, так что у людей не так просто будет сделать жертвами фишинга».

Автор текста Wired отмечает — иронично, что в итоге самым футуристическим способом защиты стал физический донгл. Аналогичные решения, в конце-концов, производят уже около 15 лет. Чем же лучше Yubikey?

С одной стороны, практичностью: с этим устройством вам не надо вводить никакие пин-коды. Его достаточно просто подключить к компьютеру.

С другой стороны, тут тоже не все так просто: физический ключ может потеряться или пропасть из-за кражи. Плюс, это еще один гаджет, который придется носить с собой.

Но еще большим вызовом для WebAuthn станет коллаборация с Amazon, Facebook и другими сайтами, которые люди посещают ежедневно.

В этом его отличие от менеджеров-паролей — их удобство в независимости от разработчиков сервиса. Для нового стандарта нужна нативная поддержка.

Участник инициативной группы Консорциума Всемирной паутины, занимающейся разработкой WebAuthn, говорит, что именно поэтому первыми их поддержали производители браузеров, а не ecommerce-сайты или соцсети. Представитель Mozilla Cелена Докерман подтверждает:

«Мы не получим светлого будущего без паролей в один момент. Поначалу это будет второстепенным фактором, который потребует от сайтов немного покопаться в коде».

Несмотря на отсутствие иллюзий, все опрошенные Wired эксперты уверены, что новая технология двигает индустрию в нужном направлении. Живей Ли подытоживает:

«Пароли являются проблемой не из-за ошибки одного пользователя. Я думаю, вся экосистема сломана. И нужно что-то вроде FIDO, чтобы ее починить».



Самые актуальные новости - в Telegram-канале

Читайте также

Добавить комментарий

Вверх