Apple, Google и Microsoft хотят убить пароль стандартом «пароль»

Первый четверг мая, по-видимому, является «Всемирным днем ​​пароля», и чтобы отпраздновать это, Apple , Google и Microsoft предпринимают « совместные усилия », чтобы убить пароль. Основные поставщики ОС хотят «расширить поддержку общего стандарта входа без пароля, созданного Альянсом FIDO и Консорциумом World Wide Web».

Стандарт называется либо «учетными данными FIDO для нескольких устройств», либо просто «ключом доступа». Вместо длинной строки символов эта новая схема будет иметь приложение или веб-сайт, в который вы входите, чтобы отправить запрос на ваш телефон для аутентификации. Оттуда вам нужно будет разблокировать свой телефон, пройти аутентификацию с помощью какого-либо PIN-кода или биометрии, а затем вы уже в пути. Это звучит как знакомая система для всех, у кого настроена двухфакторная аутентификация на основе телефона, но это замена пароля, а не дополнительный фактор.

Графика была предоставлена ​​для взаимодействия с пользователем:

Некоторые системы push 2FA работают через Интернет, но эта новая схема FIDO работает через Bluetooth. Как поясняется в официальном документе, «Bluetooth требует физической близости, что означает, что теперь у нас есть устойчивый к фишингу способ использования телефона пользователя во время аутентификации». У Bluetooth ужасная репутация совместимости, и я не уверен, что «безопасность» когда-либо вызывает серьезное беспокойство, но альянс FIDO отмечает, что Bluetooth предназначен только для «проверки физической близости» и что фактический процесс входа в систему «не зависит от свойств безопасности». Bluetooth». Конечно, это означает, что обоим устройствам потребуется Bluetooth на борту, что является данностью для большинства смартфонов и ноутбуков, но может стать сложной задачей для старых настольных ПК.

Точно так же, как менеджер паролей может объединить ваши логины под одним паролем, ваши пароли могут быть скопированы каким-нибудь крупным держателем платформы, таким как Apple или Google. Это позволит вам легко перенести свои учетные данные на новое устройство, предотвратит их потерю и упростит синхронизацию паролей между устройствами. Если вы потеряете свое устройство, вы все равно сможете восстановить свои учетные записи, войдя (ну, с паролем?) в свою более крупную учетную запись владельца платформы. Также может быть хорошей идеей настроить более одного устройства в качестве аутентификатора.

Компании годами пытались избавиться от паролей, но добиться этого было непросто. У Google есть целая хронология в их блоге, начиная с 2008 года. Пароли работают нормально, если они длинные, случайные, секретные и уникальные, но человеческий фактор в паролях всегда является проблемой. Мы плохо запоминаем длинные случайные цепочки символов. Заманчиво записать пароли или использовать их повторно, а фишинговые схемы пытаются обмануть вас, чтобы вы передали свой пароль третьему лицу. Когда происходит нарушение безопасности, пары имени пользователя и пароля легко обмениваются, и существуют огромные базы данных скомпрометированных учетных данных.

В сообщении в блоге FIDO говорится: «Ожидается, что эти новые возможности станут доступны на платформах Apple, Google и Microsoft в течение следующего года». и macOS Monterey, но пока несовместимы с другими платформами. Поддержка паролей Google уже была замечена в Play Services на Android, поэтому она должна быстро поддерживаться даже более старыми устройствами Android, как только она будет готова.

Изображение листинга от FIDO Alliance