План трех корпораций отказаться от паролей навсегда уже начал воплощаться в жизнь.
Обновил: Никита Шевцев
Даже среди гендиректоров компаний самый популярный пароль – 123456 (его использовали почти 30 тысяч человек, и из-за этого доступ к корпоративным данным этих компаний получили злоумышленники). Но и «обычные» пользователи тоже не отличаются фантазией – среди россиян уверенное первое место занимает «пароль» qwerty.
Вот еще немного статистики по России из свежего исследования «Одноклассников» и исследовательского центра ResearchMe (по данным опроса 1109 человек):
- Каждый пятый (20 %) использует одинаковый пароль для всех сайтов и приложений.
- Каждый второй (49 %) использует в паролях номера телефонов, инициалы и даты рождений.
- Только 21 % следует рекомендациям по созданию надежного пароля, только 5 % соглашаются использовать надежные автоматически сгенерированные пароли.
- Неудивительно поэтому, что аккаунты 53 % опрошенных хотя бы раз взламывали.
- Получается, что пароли, которые должны были защищать пользовательские данные, не справляются с задачей. Вернее, пароли-то справляются, люди неправильно с ними обращаются. Поэтому три крупнейшие технологические компании решили от паролей отказаться.
Век паролей подходит к концу
Вместо паролей Apple, Google и Microsoft будут использовать технологию FIDO. Заявление об этом опубликовано на сайте альянса FIDO.
Главным средством аутентификации пользователя в интернете станет его телефон. Для входа в приложения и в личные кабинеты на сайтах пользователь должен будет разблокировать телефон, введя пин-код, нарисовав узор или отсканировав отпечаток пальца. При этом между телефоном и сайтом будет передаваться уникальный криптографический токен, получивший название passkey.
Вот как система аутентификации FIDO объясняется в блоге Google. Чтобы авторизоваться на сайте, пользователь должен будет с помощью телефона (сканирования отпечатка) подтвердить свою личность
Многие популярные приложения уже поддерживают эту технологию, но все равно требуют изначальной регистрации через систему логин-пароль. Теперь от нее планируют отказаться. Новый способ аутентификации должен стать доступным на всех платформах Google, Apple и Microsoft.
Сампат Шринивас, продакт-директор безопасной аутентификации в Google и президент альянса FIDO, прокомментировал анонс технологии FIDO для издания The Verge:
Расширенная поддержка FIDO впервые сделает возможной для сайтов внедрение беспарольной технологии, устойчивой к фишингу… Когда поддержка технологии станет доступной в 2022 и 2023 годах, мы наконец получим интернет-платформу для по-настоящему беспарольного будущего.
Массовое внедрение новой технологии призвано защитить пользователей от утечек данных из-за взломанных паролей. Что будет, если пользователь потеряет телефон – универсальный ключ от всех замков, – не сообщается.
На сайте альянса FIDO указано только, что «восстановление аккаунта, когда FIDO-устройство потеряно или украдено, становится критически важным для поддержания целостности пользовательского аккаунта». На сайте китайской компании Excelsecu, специализирующейся в сфере интернет-безопасности, дается следующая рекомендация: в случае утери FIDO-ключа нужно перейти на сайты, где вы зарегистрированы через него, и удалить устройство; плюс рекомендуется использовать два FIDO-ключа – один для использования в нормальных условиях, другой – для бэкапов.
Google Passkeys: первый шаг к исчезновению паролей
Анонс перехода на технологию FIDO состоялся в мае 2022 года. Спустя пять месяцев, в октябре, Google анонсировала первый инструмент для реализации идеи отказа от паролей. Он называется Passkeys и представляет собой встроенное в браузер и ОС смартфонов расширение, которое позволяет проходить аутентификацию на сайтах без паролей.
Работает эта система на основе криптографических ключей: уникальный ключ генерируется на устройстве пользователя и отправляется на веб-сайт для авторизации. При этом перед отправкой пользователя попросят ввести пароль от смартфона или графический код — это дополнительная степень защиты от злоумышленников.
Из-за того, что все коды одноразовые и генерируются непосредственно на смартфоне, хакерам станет значительно сложнее получить доступ к аккаунтам пользователей — придется научиться перехватывать коды и заходить с их помощью в аккаунт быстрее, чем это сделает встроенное ПО смартфона.
Пока Passkeys работает лишь в мобильной версии Google Chrome и в версии браузера для бета-тестирования Canary. Пока неизвестно, когда инструмент станет доступен пользователям десктопной версии, но это вопрос времени. Также, учитывая договоренность Apple, Google и Microsoft об отказе от паролей, Passkeys, вероятнее всего, вскоре появится и в браузерах двух других техногигантов.