Технологические гиганты Apple, Google и Microsoft совместными усилиями стараются сделать авторизацию в своих сервисах проще. Компании объявили о намерении уже в следующем году создать единый стандарт беспарольной авторизации на всех основных платформах. Это означает, что в ближайшем будущем аутентификация без пароля станет обычным делом, причём это будет реализовано не только в операционных системах Android, iOS, Windows и macOS, но и в браузерах Chrome, Edge и Safari.
Процесс авторизации без пароля позволит пользователям выбирать свои смартфоны в качестве основного устройства аутентификации для приложений, сайтов и других цифровых сервисов. Вход будет осуществляться путём ввода PIN-кода, графического ключа или по отпечатку пальца. Это станет возможным благодаря использованию уникального криптографического токена, так называемого ключа доступа (passkey), который передаётся между смартфоном и сайтом. Такие ключи являются ассиметричными, то есть кража одной части токена угрозы для пользователей представлять не будет.
Основная идея состоит в том, чтобы сделать процесс авторизации зависимым от физического устройства, а пользователи получили преимущества в виде простоты и повышенной безопасности. Без пароля нет необходимости запоминать различные комбинации букв, цифр и символов для входа или подвергать риску свои данные, используя один и тот же пароль на разных сайтах и сервисах. Кроме того, беспарольная авторизация значительно затруднит хакерам взлом аккаунтов, поскольку для входа потребуется доступ к физическому устройству, и фишинговые атаки с перенаправлением на поддельные веб-страницы для перехвата пароля организовать будет гораздо сложнее.
Кроссплатформенная авторизация стала возможной благодаря протоколу беспарольной аутентификации, разработанной FIDO и консорциумом World Wide Web, который использует принципы криптографии с открытым ключом. Смартфон пользователя хранит этот уникальный ключ доступа и передаёт его сайту для аутентификации только тогда, когда устройство разблокировано. В случае потери смартфона пароли можно легко синхронизировать с новым устройством из резервной копии в облаке. Расширенная поддержка беспарольной аутентификации также избавит от необходимости вводить пароль для первоначальной настройки, как того требует FIDO. В альянсе заявили, что уже в 2022-2023 годах появится интернет-платформа для настоящего беспарольного будущего.
Удобство или безопастность увы