Apple, Google и Microsoft в 2023 г. внедрят единый стандарт авторизации без паролей. Пользователи смартфонов, планшетов и ноутбуков будут получать к ним доступ с помощью Touch-ID, Face-ID или PIN-кода. Так компании надеются повысить уровень защиты информации, хотя эксперты уверены, что приложения-аутентификаторы справляются лучше.

Больше никаких паролей

Во Всемирный день паролей 5 мая 2022 г. Apple, Google и Microsoft объявили, что переходят на авторизацию без пароля на всех мобильных, декстопных платформах и в браузерах. Сообщения появились на официальных сайтах американских корпораций. Внедрить единый стандарт авторизации с помощью отпечатка пальца, скана лица или PIN-кода компании планируют с 2023 г.

Беспарольная аутентификация появится в мобильных операционных системах Android и iOS, Windows и macOS, браузерах Chrome, Edge и Safari. Вход с помощью отпечатка пальца, скана лица или PIN-кода станет возможным благодаря криптографическому токену – ключу доступа (passkey), который передается между смартфоном и сайтом.

Как это будет работать

На сайте Google подробно объясняется, как будет происходить аутентификация. Чтобы войти в приложение на смартфоне, достаточно просто разблокировать его – учетной записи больше не нужен пароль. В смартфоне будут храниться данные FIDO, которые используются для разблокировки вашей онлайн-учетной записи.

«Ключ доступа делает вход гораздо более безопасным, поскольку он основан на криптографии с открытым ключом и отображается только в вашей онлайн-учетной записи при разблокировке телефона», – отмечается на сайте Google.

Чтобы начать работать на ноутбуке, нужно также иметь при себе смартфон, который вам предложат разблокировать для получения доступа.

«С помощью паролей на мобильном устройстве вы можете войти в приложение или службу практически на любом устройстве, независимо от платформы или браузера, на котором работает устройство. Например, пользователи могут войти в браузер Google Chrome, который работает на Microsoft Windows, используя ключ доступа на устройстве Apple», – подчеркивают на сайте Microsoft.

Ведущий инженер CorpSoft24 Михаил Сергеев объяснил CNews, что речь идет не о создании, а об использовании стандарта, который создал Альянс FIDO и который уже внедрен на многие устройства.

«Он немного напоминает двухфакторную авторизацию, типа Яндекс-ключа или Google-Authenticator, где для успешной авторизации, помимо пароля, необходимо открыть приложение на мобильном устройстве и взять оттуда PIN-код для ввода его на сайте», – объясняет эксперт.

Зачем отменять пароли

Компании объясняют такие меры соображения безопасности. На сайте Google отмечают, что пользователи все чаще сталкиваются с фишингом, мошенничеством и кражами паролей. На сайте Microsoft напоминают, что пароли не только трудно запомнить и отслеживать – они постепенно превращаются в главную брешь в защите учетных записей от злоумышленников.

«Каждую секунду в мире происходит 921 парольная атака, и их стало в два раза больше за последний год», – говорят эксперты Microsoft.

На сайте Apple напоминают, что потребители часто используют одни и те же комбинации для разных учетных записей, что облегчает кражу данных. Кроме того, практически каждый второй задает в своих паролях номера телефонов, инициалы, даты рождений.

Опрошенные CNews эксперты подтверждают, что пароли сегодня – одно из самых слабых мест в киберзащите.

«Люди используют простые пароли, которые легко перебрать и взломать, – рассказал CNews руководитель департамента информационно-аналитических исследований компании T.Hunter Игорь Бедеров. – Взлом аккаунта, защищенного одним паролем, элементарен. Например, жертве на электронную почту отправляют письмо, содержащее вредоносное ПО stealer, или веб-страницу, собирающую файлы cookies, которые воруют авторизационные сессии во всех аккаунтах. Возникают совпадения – и происходят массовые взломы».

Риски тотальной биометрии

В то же время не все специалисты по кибербезопасности уверены в том, что стратегия Apple, Google и Microsoft действительно защитит пользователей от взломов.

«Эта система авторизации и правда может быть весьма эффективна, но абсолютно полагаться на нее не стоит, – уверен Игорь Бедеров. – Революции тут тоже никакой нет – мы видим желание компаний собирать еще больше биометрических данных о пользователях, чтобы привязать их к себе еще сильнее. Кроме того, есть вопросы к точности датчиков в гаджетах – текущий уровень развития технологий не позволяет внедрять полноценные высокоточные датчики, сканирующие лицо, сетчатку глаза, голоса и отпечатки пальцев. А от датчика, внедренного в устройство для считывания биометрии, напрямую зависит сохранность личных данных».

По его словам, устройство можно взломать с помощью фотографии, поддельного отпечатка пальца или записи голоса. Однако если Apple, Google и Microsoft смогут обеспечить внедрение в мобильные устройства датчиков, соответствующих промышленным стандартам, риски удастся свести к минимуму.

«А еще стоит понимать, что датчики защищают непосредственно само устройство, и привязка к нему будет жесткой, – объясняет Игорь Бедеров. – То есть разблокированный телефон может снять биометрическую защиту со всех сервисов. Легче станет работать и спецслужбам – человеку просто предложат разблокировать телефон, чтобы просмотреть все его остальные устройства».

По мнению эксперта, куда безопаснее сегодня генераторы индивидуальных кодов, которые используются для каждого отдельного сайт. Такие приложения-аутентификаторы есть у многих компаний. По сути алгоритм представляет собой индивидуальный шифр Вернама (одноразовый блокнот) — систему симметричного шифрования, изобретенную еще в 1917 г. Смысл в том, что ключ постоянно меняется, и взломать его почти невозможно.

Михаил Сергеев также уверен, что пароли с внедрением новой системы вряд ли исчезнут – скорее всего, останутся в качестве дополнительного средства авторизации.

Другие риски новой технологии озвучил Дмитрий Грудинин, системный архитектор компании «Аванпост». «Для обеспечения работы этой технологии ключ пользователя должен быть синхронизируемым между устройствами, поэтому при передаче ключа может возникнуть риск его перехвата, - отметил эксперт. - А перехват ключа позволит получить доступ к намного большему числу сервисов пользователя, чем украденный в рамках фишинговой атаки пароль».

Также, по мнению специалиста, при распространении данной технологии пользователь окажется чрезмерно зависим от нескольких известных компаний-производителей ОС. И может одномоментно потерять свои доступы - как по причине компрометации самой учетной записи пользователя у поставщика этой услуги - Google, Apple или Microsoft, так и по причине санкционной политики компаний.

Константин Корсаков, архитектор систем аутентификации и авторизации компании RooX, отмечает, что россияне крупных изменений в быту заметят вряд ли. «То, о чем сейчас объявили Apple, Google и Microsoft, — продолжение эволюции беспарольных технологий в сторону массового применения. Но для России есть и минус — завязка на облачные зарубежные сервисы, поэтому мы не заметим крупных изменений в российском сегменте массовых сервисов. Например, финтех будет внедрять осторожно, так как аутентификационные данные хранятся в зарубежных сервисах».

Источник: Cnews