Google создал систему Passkeys, которая аутентифицирует сайты и сервисы без паролей. Криптографические токены Passkeys одноразовые, поэтому риск взлома пароля сводится к нулю, но пока она работает только в браузерах Android и Chrome. Apple и Microsoft также участвуют в разработке, и Passkeys может вскоре появиться и на их платформах.
Компания Google внедрила новый способ входа в свои различные сервисы и навсегда забыла пароли. Компания объявила в своем блоге, что внедрит это новшество в свою мобильную операционную систему Android и браузер Chrome.
Новый проект Google называется Passkeys. Интернет-гигант позиционирует его как новый стандарт аутентификации и фактически представляет его как альтернативу паролям.
По словам разработчиков, Passkeys или «ключи пароля» являются одноразовыми и поэтому гораздо более безопасными, чем обычные пароли. Это сразу же предотвращает возможность злоумышленников похитить такую ценную информацию с помощью фишинга, социальной инженерии или классического перебора.
Google явно пытается заставить пароли выглядеть плохо как инструмент безопасности. Google уверяет, что Passkey не только не подлежит повторному использованию, но и не может быть перехвачен в момент ввода.
Passkey — это уникальный (одноразовый) криптографический токен, генерируемый непосредственно на терминале. Этот токен отправляется на сайт вместо пароля и аутентифицируется.
Для пользователя это означает, что ему больше не нужно хранить пароли для десятков сервисов в голове, хранить их в программном обеспечении для управления паролями и постоянно беспокоиться о том, что хакеры могут проникнуть в программу управления. Облачные сервисы хранения паролей наглядно продемонстрировали всему миру, насколько они ненадежны.
Вот как выглядит экран отправки Passkey на экране смартфона Android.
Passkey можно использовать только в том случае, если у вас есть физический доступ к смартфону, что еще больше снижает вероятность доступа к вашей учетной записи. Android также имеет более продвинутые средства защиты, например, просит пользователя ввести код разблокировки устройства или прикоснуться к сканеру отпечатков пальцев перед отправкой ключа.
Чтобы пароль работал, владелец сайта или сервиса должен включить API WebAuthn в Chrome. В противном случае Passkeys не будет работать. В этом случае пользователи будут входить в систему со своими старыми паролями.
На момент публикации этой статьи не все пользователи Android смогли оценить, как работает Passkeys. Он работает только в мобильной версии браузера Chrome и, более конкретно, в сборке Canary для бета-тестеров. Также необходимо перейти на бета-версию Google Play Services.
Команда собирается.
Пока неясно, когда Google планирует открыть доступ к Passkeys более широко. Однако, работая над технологией с Apple и Microsoft, а также с FIDO Alliance, она, скорее всего, появится в их браузерах и операционных системах.
Еще одним важным фактом является то, что и Apple, и Google также внедрят Passkey в самом ближайшем будущем. Каждый год 5 мая отмечается Всемирный день паролей, и в этот день в 2022 году все три компании объявили о скорой отмене паролей в своих сервисах.
Обратите внимание, что Google пытается сделать пароли пережитком прошлого по крайней мере с 2016 года. На сегодняшний день Passkeys является самым значительным шагом в этом направлении. Однако для того, чтобы эта технология получила широкое распространение, могут потребоваться годы.
В чем проблема с паролями?
Пароли — это классический способ защиты от несанкционированного доступа к информации. Пользователи, которые используют сложные пароли для разных ресурсов, хранят их в программах для автономного управления и не переходят по сомнительным ссылкам, вряд ли подвергнутся взлому.
Однако никогда не следует забывать, что владельцы сервисов, чьи пользователи имеют профили, также могут быть скомпрометированы. Например, летом 2021 года в интернете будут свободно доступны файлы, содержащие 8,2 миллиарда паролей. Это больше, чем все население Земли, и почти в два раза больше общего числа пользователей Интернета, что делает эту утечку крупнейшей в истории.