Apple, Google та Microsoft пообіцяли з наступного року інтегрувати єдину технологію безпарольної аутентифікації, розроблену організаціями FIDO Alliance та World Wide Web Consortium. Система має багато плюсів, але й без недоліків не обійшлося.
Чим погані паролі?
Вхід лише за паролем вважається небезпечним: багато хто використовують однакові дані для аутентифікації на кількох ресурсах. Ще паролі схильні до фішингу: зловмисники виманюють інформацію за допомогою соціальної інженерії.
Найпоширеніший варіант захисту – багатофакторна автентифікація. Користувачеві, крім введення логіну та паролю, пропонують вказати додатковий параметр: код із SMS, фізичний ключ або TOTP-код (наприклад, з програми Google Authenticator).
Але ці механізми теж схильні до фішингу. А відсутність єдиного стандарту відштовхує тих, хто не бажає розумітися на нюансах безпеки кожної платформи.
Що пропонує FIDO Alliance?
Ключем доступу до сайтів та сервісів може стати смартфон із системою розпізнавання обличчя або відбитків пальців. При створенні облікового запису на сайті не доведеться вигадувати пароль. Натомість мобільний пристрій згенерує криптографічний код, який збережеться лише у його пам’яті.
Щоб увійти в обліковий запис на телефоні, його власнику потрібно буде підтвердити свою особу – відбитком пальця або авторизацією по обличчю. Заодно гаджет звірить, що ключ вимагає саме той сайт, для якого код і призначений.
Apple, Google і Microsoft додадуть у свої операційні системи та браузери підтримку специфікацій WebAuthn та протоколу Client-to-Authenticator Protocol (CTAP). Тому механізм діятиме майже на всіх пристроях. Входити на сайти з комп’ютера також можна. Але для цього він повинен бути поруч зі смартфоном-аутентифікатором, тобто в радіусі дії Bluetooth.
У чому плюси та мінуси?
Плюси в тому, що веб-сайти та програми більше не зберігають паролі, що знижує ймовірність витоків. Користувачеві не потрібно запам’ятовувати безліч комбінацій або довіряти їх спеціалізованим утилітам. Можливостей для фішингу так також не залишиться.
Проте експерти побоюються, що нова система зробить користувачів заручниками власників операційних систем. В актуальному вигляді FIDO2 не передбачає перенесення копій ключів. Наприклад, при зміні платформи з iOS на Android. FIDO Alliance лише планує додати механізм копіювання кодів по одному
Ще одна проблема – безпарольне майбутнє не настане відразу. Крім Apple, Google і Microsoft, підтримку стандарту доведеться додавати сайтам та програмам. Хоча FIDO спростила це завдання, процес здатний розтягнутися на роки.