Источник: ain.ua
Издание Wired рассказало, каким может стать будущее без паролей, если разработчики браузеров и сайтов примут новый стандарт FIDO2.
Благодаря этой технологии можно будет забыть о сложных комбинациях символов и менеджерах паролей.
Однако чтобы такой прорыв состоялся, необходима поддержка всех игроков рынка: от Apple до Amazon, Facebook и рядовых разработчиков. AIN.UA приводит сокращенный перевод материала.
Интернет без паролей — давняя мечта исследователей и рядовых пользователей.
Индустрия пыталась избавиться от них по разному: с помощью биометрии и бихевиоральных данных для подтверждения личности.
Но все эти попытки не привели к нужному итогу. Теперь на реализацию идеи есть еще один шанс — стандарт под названием WebAuthn.
Если он будет принят популярными браузерами и сайтами, то единственный отпечаток пальца или устройство-идентификатор позволят логиниться куда угодно.
Что такое WebAuthn и как это работает
WebAuthn — результат совместной работы Консорциума Всемирной паутины и альянса FIDO (Fast Identity Online).
Новая технология должна стать продолжением существующих спецификаций FIDO — U2F и UAF. Сейчас они используются для так называемой двухфакторной аутентификации.
При ней пользователь, помимо ввода пароля, также должен указать второй, временный код для получения доступа к аккаунту.
Чаще всего аутентификация без пароля становится второстепенной опцией, однако если с помощью WebAuthn браузеры будут поддерживать ее нативно, все может измениться.
Предпосылки для этого есть: о поддержке WebAuthn уже заявили Google, Mozilla и Microsoft.
Если так и случится, для единого логина во все браузеры и онлайн-аккаунты появятся две опции. Первая — универсальный USB-донгл с поддерджкой нового протокола FIDO.
Пример такого Yubikey от компании yubico, который обойдется в $20. Вторая опция — использование биометрического идентификатора (например, с помощью отпечатка пальца).
Вначале, возможно, и придется однажды ввести один пароль. Но потом (в теории) все превратится в бесшовный процесс.
Как рассказал в комментарии Wired программный менеджер отдела безопасности Microsoft Дейв Боссио, одним из примеров подобного станет Windows Hello.
Эта система идентификации предоставляет три варианта для подтверждения личности (пин-код, сканирование отпечатка пальца или распознавание лица).
Боссио заявляет, что браузерная поддержка WebAuthn появится в середине-второй половине 2018-го.
Тогда останется только один, последний шаг — сторонним разработчикам потребуется только включить бэкенд-поддержку FIDO2.
Чем хорош WebAuthn
Основатель стартапа Pepperword Живей Ли говорит, что новый стандарт станет «как TouchID, но на шаг впереди».
Сам Ли известен тем, что в 2013 году обнаружил уязвимости в популярном менеджере паролей LastPass. Он объясняет:
«С TouchID вы используете отпечаток пальца, чтобы войти в локальное устройство. С FIDO2 вы можете залогиниться в систему на десктопном компьютере, используя скан отпечатка пальца на смартфоне. FIDO2 просто стандартизирует этот процесс».
Издание отмечает, что Apple — единственный из крупных создателей браузеров, кто не заявил о поддержке WebAuthn. Между тем, система полезна не только с точки зрения удобства.
WebAuthn может стать отличной защитой от фишинговых атак. Ведь если нет пароля — нечего и красть. Как говорит Сара Сквайр, IT-архитектор компании Ping Identity, это большой прорыв:
«Я думаю это серьезный аргумент для известных людей, который являются мишенью для взлома или обладателей больших состояний. При аутентификации потребуется ключ, вроде Yubikey, так что у людей не так просто будет сделать жертвами фишинга».
Автор текста Wired отмечает — иронично, что в итоге самым футуристическим способом защиты стал физический донгл. Аналогичные решения, в конце-концов, производят уже около 15 лет. Чем же лучше Yubikey?
С одной стороны, практичностью: с этим устройством вам не надо вводить никакие пин-коды. Его достаточно просто подключить к компьютеру.
С другой стороны, тут тоже не все так просто: физический ключ может потеряться или пропасть из-за кражи. Плюс, это еще один гаджет, который придется носить с собой.
Но еще большим вызовом для WebAuthn станет коллаборация с Amazon, Facebook и другими сайтами, которые люди посещают ежедневно.
В этом его отличие от менеджеров-паролей — их удобство в независимости от разработчиков сервиса. Для нового стандарта нужна нативная поддержка.
Участник инициативной группы Консорциума Всемирной паутины, занимающейся разработкой WebAuthn, говорит, что именно поэтому первыми их поддержали производители браузеров, а не ecommerce-сайты или соцсети. Представитель Mozilla Cелена Докерман подтверждает:
«Мы не получим светлого будущего без паролей в один момент. Поначалу это будет второстепенным фактором, который потребует от сайтов немного покопаться в коде».
Несмотря на отсутствие иллюзий, все опрошенные Wired эксперты уверены, что новая технология двигает индустрию в нужном направлении. Живей Ли подытоживает:
«Пароли являются проблемой не из-за ошибки одного пользователя. Я думаю, вся экосистема сломана. И нужно что-то вроде FIDO, чтобы ее починить».