Apple, Google та Microsoft пообіцяли з наступного року інтегрувати єдину технологію безпарольної аутентифікації, розроблену організаціями FIDO Alliance та World Wide Web Consortium. Система має багато плюсів, але й без недоліків не обійшлося.
Вхід лише за паролем вважається небезпечним: багато хто використовують однакові дані для аутентифікації на кількох ресурсах. Ще паролі схильні до фішингу: зловмисники виманюють інформацію за допомогою соціальної інженерії.
Найпоширеніший варіант захисту – багатофакторна автентифікація. Користувачеві, крім введення логіну та паролю, пропонують вказати додатковий параметр: код із SMS, фізичний ключ або TOTP-код (наприклад, з програми Google Authenticator).
ПРОДОВЖЕННЯ ПІСЛЯ РЕКЛАМИ
Але ці механізми теж схильні до фішингу. А відсутність єдиного стандарту відштовхує тих, хто не бажає розумітися на нюансах безпеки кожної платформи.
Ключем доступу до сайтів та сервісів може стати смартфон із системою розпізнавання обличчя або відбитків пальців. При створенні облікового запису на сайті не доведеться вигадувати пароль. Натомість мобільний пристрій згенерує криптографічний код, який збережеться лише у його пам’яті.
Щоб увійти в обліковий запис на телефоні, його власнику потрібно буде підтвердити свою особу – відбитком пальця або авторизацією по обличчю. Заодно гаджет звірить, що ключ вимагає саме той сайт, для якого код і призначений.
Apple, Google і Microsoft додадуть у свої операційні системи та браузери підтримку специфікацій WebAuthn та протоколу Client-to-Authenticator Protocol (CTAP). Тому механізм діятиме майже на всіх пристроях. Входити на сайти з комп’ютера також можна. Але для цього він повинен бути поруч зі смартфоном-аутентифікатором, тобто в радіусі дії Bluetooth.
Плюси в тому, що веб-сайти та програми більше не зберігають паролі, що знижує ймовірність витоків. Користувачеві не потрібно запам’ятовувати безліч комбінацій або довіряти їх спеціалізованим утилітам. Можливостей для фішингу так також не залишиться.
Проте експерти побоюються, що нова система зробить користувачів заручниками власників операційних систем. В актуальному вигляді FIDO2 не передбачає перенесення копій ключів. Наприклад, при зміні платформи з iOS на Android. FIDO Alliance лише планує додати механізм копіювання кодів по одному
Ще одна проблема – безпарольне майбутнє не настане відразу. Крім Apple, Google і Microsoft, підтримку стандарту доведеться додавати сайтам та програмам. Хоча FIDO спростила це завдання, процес здатний розтягнутися на роки.
У месенджері WhatsApp з'явиться нова кнопка швидкого реагування. Як повідомляє портал WABetaInfo, вона змінить спосіб…
Поки Apple продовжує активно працювати над впровадженням нового покоління чіпів M4 з нейромережевими можливостями, ми…
Мобільний оператор «Київстар» попередив своїх абонентів щодо списання коштів з рахунку та пояснив, за що…
Компанія OpenAI збирається випустити власну пошукову систему, яка базується на чат-боті ChatGPT. Як пише Neowin,…
Компанія ASUS випустила два нові роутери лінійки TUF. Нові пристрої призначені для геймерів, повідомляє ITHome.…
Коли настає час змінити телефон, перед покупцем постає вибір: взяти модель від відомого виробника, чиє…