Apple, Google и Microsoft переходят на авторизацию без паролей
Во Всемирный день паролей 5 мая 2022 г. Apple, Google и Microsoft объявили, что переходят на авторизацию без пароля на всех мобильных, декстопных платформах и в браузерах. Сообщения появились на официальных сайтах американских корпораций. Внедрить единый стандарт авторизации с помощью отпечатка пальца, скана лица или PIN-кода компании планируют с 2023 г.
Беспарольная аутентификация появится в мобильных операционных системах Android и iOS, Windows и macOS, браузерах Chrome, Edge и Safari. Вход с помощью отпечатка пальца, скана лица или PIN-кода станет возможным благодаря криптографическому токену – ключу доступа (passkey), который передается между смартфоном и сайтом.
На сайте Google подробно объясняется, как будет происходить аутентификация. Чтобы войти в приложение на смартфоне, достаточно просто разблокировать его – учетной записи больше не нужен пароль. В смартфоне будут храниться данные FIDO, которые используются для разблокировки вашей онлайн-учетной записи.
Apple, Google и Microsoft обещают в 2023 г. ввести единый стандарт авторизации без паролей. Многие эксперты подтверждают, что пароли сегодня – одно из самых слабых мест в киберзащите.
Руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров рассказал CNews:
Люди используют простые пароли, которые легко перебрать и взломать. Взлом аккаунта, защищенного одним паролем, элементарен. Например, жертве на электронную почту отправляют письмо, содержащее вредоносное ПО stealer, или веб-страницу, собирающую файлы cookies, которые воруют авторизационные сессии во всех аккаунтах. Возникают совпадения – и происходят массовые взломы.
Стратегия Apple, Google и Microsoft и правда может быть весьма эффективна, но абсолютно полагаться на нее не стоит. Революции тут тоже никакой нет – мы видим желание компаний собирать еще больше биометрических данных о пользователях, чтобы привязать их к себе еще сильнее. Кроме того, есть вопросы к точности датчиков в гаджетах – текущий уровень развития технологий не позволяет внедрять полноценные высокоточные датчики, сканирующие лицо, сетчатку глаза, голоса и отпечатки пальцев. А от датчика, внедренного в устройство для считывания биометрии, напрямую зависит сохранность личных данных.
Устройство можно взломать с помощью фотографии, поддельного отпечатка пальца или записи голоса. Однако если Apple, Google и Microsoft смогут обеспечить внедрение в мобильные устройства датчиков, соответствующих промышленным стандартам, риски удастся свести к минимуму.
А еще стоит понимать, что датчики защищают непосредственно само устройство, и привязка к нему будет жесткой. То есть разблокированный телефон может снять биометрическую защиту со всех сервисов. Легче станет работать и спецслужбам – человеку просто предложат разблокировать телефон, чтобы просмотреть все его остальные устройства.