Ваш пароль устарел: Apple, Google и Microsoft создадут единую систему авторизации по отпечатку пальца или лицу. Почему эксперты критикуют пароли и как обезопасить свои аккаунты уже сейчас

Что происходит

Компании Apple, Google и Microsoft планируют в 2023 году внедрить для пользователей вход без пароля на всех основных платформах. Об этом они сообщили в совместном заявлении, опубликованном на сайте альянса Fast Identity Online (FIDO) — организации, которая выступает за отказ от паролей в интернете.

• Для авторизации понадобится только смартфон. Достаточно будет разблокировать его с помощью биометрических данных (лица или отпечатка пальцев), ПИН-кода или графического ключа.
• От уже существующих аналогов новая система отличается тем, что пароль не нужно вводить даже при первоначальной настройке.
• Как пояснили в компаниях Apple, Google и Microsoft, нововведение упростит жизнь пользователям, которым больше не придется запоминать множество паролей. 
• «Можно будет войти в систему в браузере Google Chrome, работающем под управлением Microsoft Windows, используя пароль на устройстве Apple», — заявили в Microsoft.
• Новая система усложнит жизнь хакерам: войти в учетную запись без наличия смартфона станет невозможно. А также сделает неэффективными так называемые фишинговые письма, которые выманивают у людей пароли. Если пароля нет, украсть его невозможно.
• Как отметили в Google, в случае потери телефона пароли можно будет легко синхронизировать с новым устройством из облачной резервной копии.

Конкретные сроки реализации проекта пока не раскрываются. Однако некоторые российские пользователи уже высказали мнение, что авторизация через смартфон «окончательно лишит пользователей анонимности», а также усомнились в безопасности хранения информации в облаке, добавив, что «скорее доверят пароли своей голове».

Почему это важно

В 2021 году специалисты аналитического центра НАФИ выяснили, что две трети владельцев смартфонов в России для защиты своих данных используют пароли, графические ключи, распознавание по отпечатку пальца или по лицу. 

• Наиболее популярный метод защиты — отпечаток пальца, его используют 38% россиян. Пароль или код предпочитают 32% пользователей телефонов.
• Как сообщил основатель компании DeviceLock и сервиса разведки утечек DLBI Ашот Оганесян, самыми популярными паролями в России и мире остаются комбинации символов, которые легко запомнить и набрать на клавиатуре. Например, последовательные комбинаций цифровых рядов от 1 до 0, qwerty, password, qwerty123, 1q2w3e. 
• По словам Оганесяна, все эти комбинации отлично знают мошенники. Пароли, состоящие из чисел и слов, наиболее часто взламывают, существуют даже специальные словари паролей. 
• Эксперты отмечают, что пользователи зачастую используют один и тот же пароль для каждой учетной записи. Если мошенники получают доступ хотя бы к одному аккаунту, все остальные также становятся им доступны.
• От массовых взломов и утечек паролей не застрахован никто. Например, в 2020 году в Сеть попали данные 20 млн пользователей VPN-сервисов, в том числе и их пароли.

По мнению экспертов, к 2030 году биометрия может полностью заменить пароли. Однако и у этих методов есть минусы. Например, сканер отпечатка пальца можно обмануть — экспертам по кибербезопасности удалось сделать это с помощью фотографии отпечатка. Они обработали снимок в фоторедакторе, сделав более контрастным и распечатали его на пленке с помощью лазерного принтера. Слой краски придал изображению объемную структуру. После этого специалисты нанесли на пленку клей, сделав «слепок» отпечатка, а затем, прикрепив его к пальцу, успешно разблокировали чужой смартфон. Сканеры лица пока тоже несовершенны — они, например, иногда путают похожих друг на друга людей.

История вопроса

Крупные мировые компании около 10 лет продвигают идею отказа от паролей. Так, Apple активно развивает сторонние методы авторизации – Face ID, Touch ID и менеджеры паролей (связка ключей iCloud).

• Альянс FIDO был создан в 2012 году. С момента его создания к организации присоединились более 250 участников, включая PayPal, Google и Microsoft. В 2020 году к FIDO также официально присоединилась компания Apple . 
• Многие интернет-провайдеры, финансовые учреждения и государственные организации участвуют или выразили готовность участвовать в совместном продвижении нового стандарта «без пароля». О том, что «будущее должно быть без паролей» и от них необходимо постепенно отказаться, заявляет и российский эксперт из ИТ-компании Softline Денис Тепляков.
• Главная идея FIDO заключается в том, что личные устройства должны в будущем заменить пароли. 

Что делать

Пока компании планируют внедрить систему с отказом от паролей, эксперты считают двухфакторную аутентификацию одним из самых эффективных методов защиты на сегодняшний день и рекомендуют использовать ее во всех аккаунтах. 

• Ее можно включить в настройках в «ВКонтакте» и Telegram, а также в сервисах «Яндекса» через приложение «Яндекс.Ключ». Настроить подтверждение входа в почте и других сервисах Google можно на странице аккаунта.
• Также можно использовать приложения-аутентификаторы, которые генерируют одноразовые коды для входа в аккаунт. Одни из самых известных — Google Authenticator, Duo Mobile, Microsoft Authenticator и «Яндекс.Ключ».
• Кроме того, Google позволяет использовать телефон на Android версии 7.0 или выше в качестве физического ключа безопасности для двухфакторной аутентификации. После настройки данной функции пользователь при попытке входа в аккаунт Google должен будет подтвердить это действие на своем мобильном телефоне.