7 июня 2019
Когда мы избавимся от паролей?
Константин Иванов
По материалам The Verge
25 февраля Google представила новую функцию в Android, которая может сильно повлиять на нашу безопасность в Сети. Компания объявила, что все устройства на Android начиная с версии 7.0 теперь сертифицированы FIDO2 и можно проходить на них авторизацию без пароля. Неожиданно миллионы пользователей Android по всему миру обнаружили, что у каждого в кармане лежит ключ безопасности. И этот ключ обладает потенциалом однажды отправить в прошлое пароли, а вместе с ними – все их сопутствующие проблемы и уязвимости.
Пароли – это главный способ поддерживать безопасность нашей цифровой жизни, но они все хуже справляются с этой задачей. Большинство людей снова и снова используют бесконечные слова и фразы, которые легко разгадать, а сама технология, лежащая в основе, уязвима для широкого спектра атак. Все, что требуется от злоумышленника – это убедить вас, что тот или иной вебсайт или электронное письмо – от вашего банка или какого-то еще онлайн-сервиса, так он сможет заставить вас раскрыть свой пароль (так называемая фишинговая атака) и получить доступ к вашему аккаунту.
Но благодаря стандарту FIDO2 система может измениться. Вместо того, чтобы напечатать строчку символов (или за вас это делает менеджер паролей или браузер), вы проходите аутентификацию посредством ключа безопасности или устройства, считывающего биометрические данные, например, датчика отпечатка. Ранее большая часть таких ключей существовала в виде USB-стиков или Bluetooth-донглов, но, согласно информации от Google, ваш Android-смартфон может осуществлять ту же аутентификацию, что и ключ безопасности. Использование смартфона в качестве ключа безопасности означает, что вам ничего не нужно запоминать и что информация не будет перехвачена.
Стандарт обладает потенциалом, который может позволить ему полностью заменить пароли, и Google активно работает, чтобы это будущее наступило. «В мире, который мы бы хотели увидеть, вам даже не нужно проходить традиционную аутентификацию, скажем, посредством пароля, — говорит Стивен Сонефф, менеджер по продукту в Google. – Если вы уже авторизовались в телефоне, это можно использовать как «мостик» к следующему устройству, где вы хотите авторизоваться через свой аккаунт Google, и вам не нужно даже имя пользователя для аккаунта Google».
Для того, чтобы предложить такой способ авторизации, веб-сайты используют часть стандарта FIDO2 под названием WebAuthn, это открытый протокол, одобренный Консорциумом Всемирной паутины (World Wide Web Consortium, W3C) в начале марта. Это небольшой, но пополняющийся список сайтов: Dropbox добавил поддержку в мае прошлого года, Microsoft присоединилась в декабре, а Google поддерживала WebAuthn по состоянию на 10 апреля. Для того, чтобы можно было авторизоваться с использованием данного стандарта, ваш браузер должен также поддерживать WebAuthn, впрочем, Chrome, Edge, Firefox и Safari уже начали это делать.
Однако только один из этих сайтов действительно использует стандарт FIDO2 для полного отказа от паролей. Интеграция от Microsoft позволяет вам пользоваться и Windows Hello, и физическим ключом безопасности в качестве единственной вещи, нужной вам для входа в аккаунт. В то же время, Google и Dropbox используют WebAuthn в качестве дополнительного слоя безопасности наряду с традиционным паролем или приложением-генератором кодов для аутентификации на вашем смартфоне. Не то чтобы это было плохо. Ведь WebAuthn – более безопасный способ прохождения второй ступени аутентификации, поскольку не может подвергнуться фишингу, как в случае с шестизначным кодом, однако полный потенциал этой функции остается нераскрытым.
Большинство компаний пока что не готовы к полному отказу от паролей. Сонефф говорит, что Google стремится к достижению будущего без паролей, но не может обещать, когда эта функциональность появится в реальности.
Когда в прошлом году Dropbox впервые объявил о поддержке WebAuthn, было сказано, что «задействуя WebAuthn для двухфакторной аутентификации, можно уже сейчас добиться правильного баланса для большинства пользователей». На просьбу прокомментировать это директор компании по безопасности Раджан Капур сказал: «Мы надеемся, что однажды пароли перестанут быть единственным или даже приоритетным способом авторизации». Однако добавил: «Существует ряд проблем с использованием и внедрением, которые требуется решить, чтобы произошел отказ от паролей».
Теперь, когда каждое современное Android-устройство получило сертификацию FIDO2, жалобы Dropbox на уровни внедрения стандарта выглядят меньшей проблемой. Впрочем, еще предстоит работа над удобством использования технологии. К примеру, что произойдет, если вы потеряете устройство для аутентификации? Механизм восстановления – это сложный вопрос, и, по словам Сонеффа, в Google рассматривают ряд способов ее решения. «Механизм восстановления часто становится самым слабым звеном для атак, — говорит он. Это будет ключевой проблемой в случае осуществления восстановления в больших масштабах».
Существует также и сложность с iPhone. Аутентификация по стандарту FIDO2 не сможет стать повсеместной, пока смартфоны от Apple не смогут использоваться как ключи безопасности наряду со своими собратьями на Android. Да, технически вебсайты могут просить пользователей iPhone использовать отдельные аппаратные ключи безопасности, такие как USB-устройства от Yubico, но Сонефф думает, что высокий ценовой порог, мешающий покупке специализированного устройства, означает, что данный тип ключей безопасности вряд ли станет использоваться кем-то, кроме корпоративных пользователей.
Очевидно, что и Apple заинтересована в избавлении от паролей. Компания уже позволяет использовать Apple Watch для авторизации на вашем Mac, а по слухам, эта функциональность в будущем будет расширена. Apple хорошо известно о недостатках паролей, и она явно работает над тем, как от них отказаться. Но ей явно удобнее решать проблему в рамках своей закрытой экосистемы, нежели принять общий для индустрии стандарт, такой как FIDO2.
Бретт Макдауэлл из FIDO Alliance на вопрос о возможности получения устройствами Apple сертификации FIDO2 отвечать отказался. Он сказал, что добавление функциональности FIDO2 не требует сертификации. Это, в конце концов, открытый стандарт. Он заявил, что сертификация – это «возможность» для вендоров быть уверенными, что их продукт сможет взаимодействовать с другими на рынке и соответствовать стандарту. Иными словами, «сертификация опциональна».
Но даже когда завершится работа над самой технологией, пароли вряд ли исчезнут полностью. Макдауэлл уверен, что пароли будут существовать наряду с аутентификацией FIDO2 на протяжении «значительного периода времени». Точно так же, как телефоны сейчас позволяют использовать PIN-код как альтернативу биометрической аутентификации. Можно разблокировать устройство по отпечатку в 99% случаев, но ваш PIN остается доступным в любой момент.
«Привычки пользователей и рынок сделают пароль экзотикой, но эту экзотику придется поддерживать долгое время, — говорит Макдауэлл. – По прошествии времени рынок попросту покажет, что пароль все менее и менее привлекателен, жизнеспособен и эффективен».
Нас ожидает Гипертекстовый ФидоНет?
Сплошная вода и ни слова о том как это будет работать.
Да понятно все там. Каждый раз когда приложение (любое) запросит пароль, то будет запускаться FIDO2 в фоне. А пользователь вообще ничего не заметит.
как это не заметит? на смартфоне должен вылезти запрос авторизации сайта, который открывается на компе
Сорян, уже дальше по дороге раздумий ушел)
Объяснение на уровне «магия какая-то». Интересна как раз суть этой самой магии, в чём секрет фокуса? 🙂
Смартфон будет проходить аутентификацию вместо своего хозяина, будучи, с помощью аппаратных средств, уверен, что именно хозяин держит его в руке в данное время в данном месте.
Логин в почту, ЖЖ, фейсбук и т.д. по отпечатку пальца. Мне так показалось
Так это понятно. Не понятно кто что при этом хранит и кто что куда пересылает.
а никого не смущает, что «все яйца — в одной корзине»? конечно, удобно, спорить глупо! т.е. тут многие параноизируют по поводу рута, патчей безопасности. а то, что если вдруг найдется способ (а этого исключать нельзя) взлома — в этом случае злоумышленник получает доступ вообще ко ВСЕМУ — никого не пугает?!
Или в один прекрасный день узнать, что вас забанили в Гугле, а ВСЕ регистрации были через него.
Ого! Привязка девайса к пользователю с использованием его биометрических параметров и без его контроля за процессом рождает новый вид преступности в виде идеальной подставы. Допустим преступник ждет, пока цель отвернулась от разблокированного смартфона, быренько заходит на правителсьттвенный сайт и пишет сообщение о терракте. Жертву сажают в тюрьму и у него нет вообще никаких шансов отмазаться, потому что разблокированный и оставленный без внимания смартфон с FIDO2 — это не оправдание.
просто нужно требовать биометрическую авторизацию независимо от разблокировки
Вариант! Ок!
Не так. Пользователь авторизовался на сайте, а потом злоумышленник взял телефон. Так же, как сейчас (только сейчас авторизация другая), разницы вообще нет.
Ну ладно
а чем это отличается от просто разблокированного декстопа?
Хороший вопрос.
Угу, а потом США вводят очередные сакции и заявляют, что Гугл/Эппл, как американские компании, не могут оказывать никакие услуги резидентам/гражданам стран, находящимся под санкциями. Включая и авторизацию через смартфон. И помимо гмэйла теряется доступ вообще ко всему. Спасибо, не надо.
Или любимое государство, в целях «заботы» о гражданах прикрывает всё, что не может понять и контролировать.
Когда любой телефонустройство сможет 100% идентифицировать любого жителя планеты и дать доступ к данным соответствующей учётки «на лету», тогда и поговорим об отказе от паролей.
Тогда, кстати, телефон не будет предметом собственности.
«Когда мы избавимся от паролей?»
Когда умрет последний преступник и все люди, взявшись за руки, пойдут по ромашковому полю в красных труселях навстречу заре светлого будущего!
Пост ни о чем. Сами по себе технологии авторизации без пароля, абсолютно все, страдают только от одной проблемы: ключ в открытом доступе. Любое место хранения аутентификационных данных, к которому можно получить доступ без ведома владельца априори является брешью в безопасности. Что биометрия, что сертификаты. Сертификат привязан к устройству, которое подвержено к взлому. С биометрией все еще хуже: сертификат хотя бы можно перегенерировать.
Потому, самым надежным методом остается композиция, как например, двухфакторная аутентификация.
Будет новая база данных на Савеловском рынке -база дактилоскопических отпечатков и сканов радужки 2019г М и МО=1000р)))