Google uruchamia obsługę klucza dostępu do wersji beta dla Chrome i Androida

Big Tech chce zabić hasło, a „Klucze dostępu” to gorący nowy standard zastępowania haseł blokowych. Klucze dostępu są obsługiwane przez Google, Apple, Microsoft i FIDO Alliance, więc spodziewaj się ich wkrótce wszędzie. iOS wybrał standard w wersji 16, a teraz Google wprowadza wersje beta haseł dla Chrome i Androida.

Argument dotyczący hasła polega na tym, że hasła są stare i słabe. Hasła komputerowe zostały pierwotnie pomyślane jako łatwy do zapamiętania sekret, który ludzie mogli wpisać w pole tekstowe. Gdy pojawiła się potrzeba większego bezpieczeństwa, pojawiły się menedżery haseł ułatwiające zapisywanie i odzyskiwanie haseł. Teraz, zamiast jakiegoś chwytliwego wyrażenia, idealnym sposobem na użycie hasła jest wygenerowanie przez komputer jakiegoś dzikiego ciągu znaków i nigdy nie używanie tego hasła nigdzie indziej. Jednak rewolucja w menedżerze haseł to hack zbudowany na tym oryginalnym polu tekstowym. Tak naprawdę nie potrzebujemy już pola tekstowego i właśnie tam pojawia się standard hasła.

Jednym z dziwnych wyborów, których Big Tech dokonał w przypadku kluczy dostępu, jest to, że kluczem do strony internetowej jest Twój telefon, a nie menedżer haseł na jakimkolwiek urządzeniu, z którego aktualnie korzystasz. Ta komunikacja między telefonem a klientem również nie odbywa się przez Internet, jak uwierzytelnianie dwuskładnikowe – urządzenie, którego używasz, musi mieć Bluetooth, aby Twój telefon komunikował się z nim lokalnie. Komunikacja lokalna gwarantuje, że przypadkowe osoby w Internecie nie będą mogły zalogować się na Twoje konta, ale zablokuje też niektóre komputery.

Google twierdzi, że wysiłki związane z hasłami osiągnęły dziś „główny kamień milowy”. Jeśli zarejestrujesz się w wersji beta Usług Play, możesz teraz tworzyć klucze dostępu i używać ich na urządzeniach z Androidem, a Chrome Canary obsługuje teraz klucze dostępu do witryn. Google twierdzi, że stabilne implementacje dla Chrome i Androida pojawią się jeszcze w tym roku, ale chce, aby programiści rozpoczęli rozwój już teraz.

Google udostępnił również kilka szczegółów na temat tego, jak to będzie działać. W rozwiązaniu Google Twoje hasła są przechowywane w menedżerze haseł Google. Wyskakujące okienko w telefonie najpierw poprosi o wybranie konta, a następnie uwierzytelnienie za pomocą pewnego rodzaju danych biometrycznych, takich jak odblokowanie odciskiem palca. Telefon będzie komunikował się z klientem przez Bluetooth, przeglądarka otrzyma Twoje hasło i prześle je do serwisu. (Jeśli klientem jest Twój telefon, wszystko staje się o wiele łatwiejsze).

Z jakiegoś powodu w przykładzie Google cały proces zaczyna się od kodu QR. Zgaduję, że to tylko szybki hack do wersji beta, ale aby wyskakujące okienko z kluczem pojawiło się najpierw na telefonie, Google pokazuje komputerowi kod QR, a następnie telefon go skanuje. Podobnie jak w przypadku Google Prompt lub innych form 2FA, mamy nadzieję, że w przyszłości wyskakujące okienko z hasłem będzie otwierane automatycznie w sieci.

Oprócz stabilnych wersji dla Androida i Chrome, następny dla Google jest interfejs API dla natywnych aplikacji na Androida oraz interfejs API Androida dla zewnętrznych menedżerów haseł, które można do niego podłączyć. Google teraz porządkuje, ale w przyszłości powinno to działać w różnych ekosystemach, więc iPhone może wysłać hasło do Chrome, a telefon z Androidem może wysłać hasło do Safari.