Passkey от всех дверей: Google избавил пользователей от необходимости вводить пароли

Что произошло

• ИТ-гигант Google сообщил, что пользователи учетных записей теперь могут создавать и применять passkey («ключ доступа») для входа в свой аккаунт Google. Это новый способ авторизации, разработанный альянсом технологических компаний FIDO совместно с W3C (World Wide Web Consortium). 
• Технология passkey позволяет проходить авторизацию на интернет-площадках разблокировкой собственного телефона с помощью отпечатка пальца, Face ID или PIN-кода. В заявлении Google говорится, что это «самый простой и безопасный способ входа в приложения и веб-сайты», а также важный шаг к «будущему без паролей». 

• Наряду с passkey Google сохранит существующие способы входа в систему, поскольку не все устройства могут работать с биометрическими данными своего владельца, то есть с Face ID или отпечатком пальца. При этом ИТ-компания планирует поощрять пользователей к переходу на passkey и отслеживать, меняются ли привычки входа в систему. 

Как это работает

• Функция доступна для смартфонов, работающих на iOS 16, Android 9 и более новых операционных системах, а также для ПК под управлением Windows 10 или macOS Ventura. Технологию поддерживают такие версии браузеров, как ​​Chrome 109 и Safari 16. 
• Чтобы изменить способ авторизации в Google, нужно войти в систему традиционным способом: использовать имя пользователя и пароль. Затем выбрать функцию «Создать ключ доступа» на устройстве. 
• Когда пользователь создает passkey, он соглашается на вход в систему без использования пароля, отмечает Google. Поэтому генерировать ключ доступа стоит только на личном девайсе: если другой человек получит доступ к телефону и разблокирует его, он сможет войти и в аккаунт Google. 
• После создания passkey вход в аккаунт Google с любого устройства пользователь сможет подтверждать с помощью смартфона — по аналогии с тем, как работает оплата телефоном: девайс нужно разблокировать, используя PIN-код, отпечаток пальца или Face ID, а затем подтвердить «транзакцию» — только в данном случае вместо перевода средств это будет вход в аккаунт. Успешная разблокировка смартфона подтверждает личность пользователя. 
• Система также предложит сгенерировать passkey на всех устройствах, привязанных к аккаунту, — то есть на всех девайсах, с которых пользователь заходил в Google. Например, можно создать ключ доступа на ноутбуке или компьютере. 
• Кроме того, passkey можно передать через облачное хранилище: так, если создать ключ на iPhone, он будет доступен на любом другом устройстве Apple через учетную запись в iCloud.

Что говорят

• Эксперты отмечают, что основной недостаток обычного пароля в том, что его легко украсть. К тому же если пароль простой, то его можно «добыть», перебрав все возможные комбинации. Еще одна проблема паролей — использование одной и той же комбинации для доступа к разным сервисам. Сегодня большинство платформ используют многофакторную аутентификацию — например, после ввода пароля пользователю также необходимо ввести одноразовый код, который приходит ему по СМС. Однако даже такая система не обеспечивает максимально возможную безопасность, считают эксперты. 
• Ключи доступа «проще в использовании и более безопасны, чем пароли», поскольку пользователям больше не нужно использовать в качестве «надежной» защиты, например, имена домашних животных, цифры дня рождения или «печально известный password123», отмечается в заявлении Google. 
• Главное преимущество passkey в том, что ключ доступа серьезно усложняет фишинг, считают эксперты «Лаборатории Касперского». Самая распространенная схема кражи паролей предполагает создание поддельной страницы, похожей на сайт популярного банка, куда разными способами «заманивают» пользователя. Он вводит пароль на ресурсе и неосознанно открывает доступ мошенникам к своему банковскому счету. Ключи доступа же проверяют не только личность пользователя, но сам сервис: passkey просто не даст авторизоваться на «чужой» платформе. 
• Кроме того, по словам разработчиков Google, технология passkey не передает биометрические данные пользователя компании, что и обеспечивает безопасность — в системе просто нет пароля, который злоумышленники могли бы украсть. Основная проблема, которая сохраняется при внедрении ключей доступа, — потеря или кража смартфона.
• Однако технология, по мнению ряда экспертов, пока не готова для массового использования по двум причинам. Во-первых, некоторые платформы (Windows, Linux, Chrome OS) развиваются не так быстро, как, например, iOS  и Android, поэтому не могут оперативно внедрять новые разработки. Во-вторых, синхронизация паролей через операционную систему, а не через браузер — серьезный регресс, пишет Ars Technica. Дело в том, что добавлять пароли в браузер намного удобнее: так, если ввести пароль в Chrome, он будет доступен на всех устройствах, где у пользователя установлен Chrome, в том числе на Android, MacBook, iPhone, Chromebook и т.д.

История вопроса

• Еще 5 мая 2022 года, во Всемирный день паролей, Google совместно с Apple и Microsoft заявили, что в 2023-м намерены внедрить на свои платформы единый стандарт авторизации без паролей, созданный FIDO и World Wide Web. Идея самих разработчиков состояла в том, чтобы сделать процесс авторизации зависимым от физического устройства — то есть от смартфона. 
• Тогда в Microsoft заявили, что passkey поможет пользователям забыть про проблемы с запоминанием или сохранением паролей на всех своих устройствах, а в Apple отметили, что единый беспарольный стандарт защитит пользователей от фишинга.
• В сентябре 2022-го Apple выпустила обновление iOS 16, которое поддерживает технологию passkey. В заявлении компании говорилось, что passkey — это «уникальный цифровой ключ, призванный полностью заменить необходимость в паролях и упростить вход на веб-сайты и в приложения». 

Фото обложки: Google; Freepik