Компанії Google, Apple та Microsoft оголосили про плани відмовитись від паролів на користь альтернативних методів автентифікації до сервісів. Так платформи перейдуть до загального стандарту входу без пароля, створеного асоціацією FIDO Alliance та World Wide Web
Що таке загальний стандарт входу без пароля
У FIDO Alliance пояснюють, що «автентифікація лише за допомогою пароля є однією з найбільших проблем безпеки в інтернеті». Користувачам важко організувати велику кількість паролів, тому вони часто використовують однакові паролі на різних сервісах — це може призвести до зламу акаунтів та крадіжки особистих даних.
Тому асоціація пропонує «зручнішу та безпечнішу технологію входу». Для доступу до кожного окремого сервісу не потрібно буде вводити окремий пароль: користувачі зможуть авторизуватись за допомогою, наприклад, смартфона. Для цього власнику необхідно просто розблокувати його, використавши код, відбиток пальця чи графічний ключ.
«Розширені можливості на основі стандартів нададуть сайтам і додаткам можливість пропонувати наскрізний варіант без пароля. Користувачі будуть входити в систему за допомогою тих самих дій, які вони виконують кілька разів на день для розблокування своїх пристроїв: просте підтвердження відбитком пальця чи обличчям, або PIN-кодом пристрою. Цей новий підхід захищає від фішингу, а вхід буде значно безпечнішим у порівнянні з паролями та застарілими багатофакторними технологіями, серед яких одноразові паролі, надіслані через SMS», — пишуть у FIDO Alliance.
Як працюватиме загальна система
Вона дозволить користувачам автентифікуватись на платформі, без прив’язки до оперативної системи чи браузера.
«З ключами доступу ви зможете увійти до програми або сервісу практично на будь-якому пристрої, незалежно від платформи чи браузера. Наприклад, можна буде увійти до системи в браузері Google Chrome, який працює під керуванням Microsoft Windows, використовуючи пароль на пристрої Apple», — пояснює віце-президент Microsoft з безпеки Васу Джаккал.
Дані на конкретному сервісі будуть захищені ключем доступу — криптографічним токеном, який передаватиметься лише між смартфоном та сайтом. В FIDO Alliance уточнили, що «ключі будуть асиметричними», тому сторонні особи не зможуть отримати доступ до облікового запису навіть зламавши одну з частин токена.
Персональні ключі доступу зберігатимуться в хмарному сховищі, щоб користувач зміг відновити його після втрати чи зміни смартфону.
Google, Apple та Microsoft планують поступово перейти на такий метод входу протягом 2023 року.
