7 июня 2019

Когда мы избавимся от паролей?

Константин Иванов

По материалам The Verge

25 февраля Google представила новую функцию в Android, которая может сильно повлиять на нашу безопасность в Сети. Компания объявила, что все устройства на Android начиная с версии 7.0 теперь сертифицированы FIDO2 и можно проходить на них авторизацию без пароля. Неожиданно миллионы пользователей Android по всему миру обнаружили, что у каждого в кармане лежит ключ безопасности. И этот ключ обладает потенциалом однажды отправить в прошлое пароли, а вместе с ними – все их сопутствующие  проблемы и уязвимости.

Пароли – это главный способ поддерживать безопасность нашей цифровой жизни, но они все хуже справляются с этой задачей. Большинство людей снова и снова используют бесконечные слова и фразы, которые легко разгадать, а сама технология, лежащая в основе, уязвима для широкого спектра атак. Все, что требуется от злоумышленника – это убедить вас, что тот или иной вебсайт или электронное письмо – от вашего банка или какого-то еще онлайн-сервиса, так он сможет заставить вас раскрыть свой пароль (так называемая фишинговая атака) и получить доступ к вашему аккаунту.

Но благодаря стандарту FIDO2 система может измениться. Вместо того, чтобы напечатать строчку символов (или за вас это делает менеджер паролей или браузер), вы проходите аутентификацию посредством ключа безопасности или устройства, считывающего биометрические данные, например, датчика отпечатка. Ранее большая часть таких ключей существовала в виде USB-стиков или Bluetooth-донглов, но, согласно информации от Google, ваш Android-смартфон может осуществлять ту же аутентификацию, что и ключ безопасности.  Использование смартфона в качестве ключа безопасности означает, что вам ничего не нужно запоминать и что информация не будет перехвачена.

Стандарт обладает потенциалом, который может позволить ему полностью заменить пароли, и Google активно работает, чтобы это будущее наступило. «В мире, который мы бы хотели увидеть, вам даже не нужно проходить традиционную аутентификацию, скажем, посредством пароля, — говорит Стивен Сонефф, менеджер по продукту в Google. – Если вы уже авторизовались в телефоне, это можно использовать как «мостик» к следующему устройству, где вы хотите авторизоваться через свой аккаунт Google, и вам не нужно даже имя пользователя для аккаунта  Google».

Для того, чтобы предложить такой способ авторизации, веб-сайты используют часть стандарта FIDO2 под названием WebAuthn, это открытый протокол, одобренный Консорциумом Всемирной паутины (World Wide Web Consortium, W3C) в начале марта. Это небольшой, но пополняющийся список сайтов: Dropbox добавил поддержку в мае прошлого года, Microsoft присоединилась в декабре, а Google поддерживала WebAuthn по состоянию на 10 апреля. Для того, чтобы можно было авторизоваться с использованием данного стандарта, ваш браузер должен также поддерживать WebAuthn, впрочем, Chrome, Edge, Firefox и Safari уже начали это делать.

Однако только один из этих сайтов действительно использует стандарт FIDO2 для полного отказа от паролей. Интеграция от Microsoft позволяет вам пользоваться и Windows Hello, и физическим ключом безопасности в качестве единственной вещи, нужной вам для входа в аккаунт. В то же время,  Google и Dropbox используют WebAuthn в качестве дополнительного слоя безопасности наряду с традиционным паролем или приложением-генератором кодов для аутентификации на вашем смартфоне. Не то чтобы это было плохо. Ведь WebAuthn – более безопасный способ прохождения второй ступени аутентификации, поскольку не может подвергнуться фишингу, как в случае с шестизначным кодом, однако полный потенциал этой функции остается нераскрытым.

Большинство компаний пока что не готовы к полному отказу от паролей. Сонефф говорит, что Google стремится к достижению будущего без паролей, но не может обещать, когда эта функциональность появится в реальности.

Когда в прошлом году Dropbox впервые объявил о поддержке WebAuthn, было сказано, что «задействуя WebAuthn для двухфакторной аутентификации, можно уже сейчас добиться правильного баланса для большинства пользователей». На просьбу прокомментировать это директор компании по безопасности Раджан Капур сказал: «Мы надеемся, что однажды пароли перестанут быть единственным или даже приоритетным способом авторизации». Однако добавил: «Существует ряд проблем с использованием и внедрением, которые требуется решить, чтобы произошел отказ от паролей».

Теперь, когда каждое современное Android-устройство получило сертификацию  FIDO2, жалобы Dropbox на уровни внедрения стандарта выглядят меньшей проблемой. Впрочем, еще предстоит работа над удобством использования технологии. К примеру, что произойдет, если вы потеряете устройство для аутентификации?  Механизм восстановления – это сложный вопрос, и, по словам Сонеффа, в Google рассматривают ряд способов ее решения. «Механизм восстановления часто становится самым слабым звеном для атак, — говорит он. Это будет ключевой проблемой в случае осуществления восстановления в больших масштабах».

Существует также и сложность с iPhone. Аутентификация по стандарту FIDO2 не сможет стать повсеместной, пока смартфоны от Apple не смогут использоваться как ключи безопасности наряду со своими собратьями на Android. Да, технически вебсайты могут просить пользователей  iPhone использовать отдельные аппаратные ключи безопасности, такие как USB-устройства от Yubico, но Сонефф думает, что высокий ценовой порог, мешающий покупке специализированного устройства, означает, что данный тип ключей безопасности вряд ли станет использоваться кем-то, кроме корпоративных пользователей.

Очевидно, что и Apple заинтересована в избавлении от паролей. Компания уже позволяет использовать Apple Watch для авторизации на вашем Mac, а по слухам, эта функциональность в будущем будет расширена. Apple хорошо известно о недостатках паролей, и она явно работает над тем, как от них отказаться. Но ей явно удобнее решать проблему в рамках своей закрытой экосистемы, нежели принять общий для индустрии стандарт, такой как FIDO2.

Бретт Макдауэлл из FIDO Alliance на вопрос о возможности получения устройствами Apple сертификации FIDO2 отвечать отказался. Он сказал, что добавление функциональности FIDO2 не требует сертификации. Это, в конце концов, открытый стандарт. Он заявил, что сертификация – это «возможность» для вендоров быть уверенными, что их продукт сможет взаимодействовать с другими на рынке и соответствовать стандарту. Иными словами, «сертификация опциональна».

Но даже когда завершится работа над самой технологией, пароли вряд ли исчезнут полностью. Макдауэлл уверен, что пароли будут существовать наряду с аутентификацией FIDO2 на протяжении «значительного периода времени». Точно так же, как телефоны сейчас позволяют использовать PIN-код как альтернативу биометрической аутентификации. Можно разблокировать устройство по отпечатку в 99% случаев, но ваш PIN остается доступным в любой момент.

«Привычки пользователей и рынок сделают пароль экзотикой, но эту экзотику придется поддерживать долгое время, — говорит Макдауэлл. – По прошествии времени рынок попросту покажет, что пароль все менее и менее привлекателен, жизнеспособен и эффективен».