Когда мы сможем наконец избавиться от паролей?

25 февраля Google представил новую функцию для Android, которая может иметь огромное значение для нашей онлайн-безопасности. Компания объявила, что все устройства Android, работающие на версии 7.0 и выше, теперь сертифицированы FIDO2 для входа без пароля. В одночасье миллионы пользователей Android по всему миру внезапно оказались с ключом безопасности в кармане. Этот ключ безопасности может в один прекрасный день сделать пароли и все сопутствующие им проблемы и уязвимости пережитками прошлого.

Пароли – это основная система, обеспечивающая безопасность нашей цифровой жизни, но они все чаще не справляются с поставленной задачей. Большинство людей используют бесконечную серию простых в угадывании фраз, и базовая технология также уязвима для широкого спектра атак. Все, что нужно сделать хакеру, это убедить вас, что его хитрый веб-сайт или электронная почта принадлежат вашему банку или другой онлайн-службе, и они могут обманом заставить вас раскрыть ваш пароль (так называемая «фишинговая» атака) и получить доступ к вашей учетной записи.

Стандарт FIDO2 предназначен для замены систем на основе паролей

Но данная ситуация может круто измениться с приходом стандарта FIDO2. Вместо того, чтобы вводить строку символов (или, как это чаще бывает, браузер или менеджер паролей вводит ее за вас), вы аутентифицируетесь с помощью ключа безопасности или биометрического устройства, такого как сканер отпечатков пальцев. Ранее большинство этих ключей были USB-накопителями или Bluetooth-ключами, но после объявления Google ваш телефон на Android может выполнять ту же аутентификацию, что и ключ безопасности. Сложное взаимодействие между ключом безопасности и устройством означает, что вам ничего не нужно запоминать такого важного, что может быть перехвачено.

Стандарт FIDO2 может полностью заменить пароли, и Google активно работает над этим. «Мир, который мы хотели бы увидеть, это мир, в котором вам даже не нужно выполнять традиционную аутентификацию, скажем, с помощью пароля», - рассказывает Стивен Сонефф, менеджер по продуктам Google. Если вы уже вошли в свой телефон, его можно использовать для «начальной загрузки» следующего устройства, на котором вы хотите войти в свою учетную запись Google, «и вам даже не придется иметь дело с паролем и именем пользователя для вашей учетной записи Google».

Когда мы сможем наконец избавиться от паролей?

Чтобы предложить такой тип входа в систему, веб-сайты используют часть стандарта FIDO2 под названием WebAuthn, открытый протокол, который был одобрен Консорциумом World Wide Web (W3C) в начале марта. Существует небольшой, но растущий список сайтов, которые внедрили этот стандарт: Dropbox добавил поддержку в мае прошлого года, Microsoft последовала за ним в декабре, а Google поддерживает WebAuthn с 10 апреля 2019. Для входа с использованием этого стандарта ваш браузер также должен поддерживать WebAuthn. Chrome, Edge, Firefox и Safari уже начали это делать.

Однако до сих пор только один из этих сайтов фактически использовал стандарт FIDO2 в качестве полной замены паролю. Интеграция Microsoft позволяет использовать Windows Hello или физический ключ безопасности как единственное, что необходимо для разблокировки вашей учетной записи. Тем временем Google и Dropbox используют WebAuthn в качестве дополнительного уровня безопасности наряду с вашим традиционным паролем, во многом как приложение для аутентификации, генерирующее код на вашем телефоне. Это не то что бы плохо. WebAuthn – все еще намного более безопасный способ двухфакторной аутентификации, так как он не может быть подделан, как, например, шестизначные коды для входа. Но он все еще не в полной мере соответствует своей спецификации.

Большинство компаний еще не готовы полностью заменить пароли. Сонефф говорит, что цель, над которой работает Google, это будущее без использования паролей, но компания пока не может сказать, когда этот функционал может быть развернут в глобальных масштабах.

Когда Dropbox впервые объявил о поддержке WebAuthn в прошлом году, он сказал, что считает, что «включение WebAuthn для двухэтапной проверки позволит найти правильный баланс для большинства пользователей прямо сейчас». Когда его попросили прокомментировать этот фрагмент, директор по безопасности компании, Раджан Капур, сказал: «Мы надеемся, что однажды пароли больше не будут единственным или даже основным способом входа в систему». Но, добавил, что «существует ряд проблем, связанных с работоспособностью и внедрением технологии, которые необходимо решить, прежде чем мы увидим полноценную замену паролям».

С каждым современным устройством Android, получающим сертификацию FIDO2, жалоба Dropbox об уровнях внедрения стандарта выглядит как наименьшая проблема. Тем не менее, еще предстоит проделать работу по удобству его использования и нормальной работоспособности. Например, что произойдет, если вы потеряете свое устройство аутентификации? По словам Сонеффа, механизм восстановления – сложная задача, которую еще предстоит решить, и Google уже рассматривает несколько способов. «Механизм восстановления часто является самым слабым звеном, и в него могут проникнуть злоумышленники», - говорит Сонефф, добавляя, что это будет ключевой проблемой, которую необходимо решить, чтобы справиться с восстановлением в глобальных масштабах.

Также присутствует и проблема с iPhone. Аутентификация FIDO2 не имеет надежды на массовое распространение, если смартфоны Apple не смогут быть использованы в качестве ключей безопасности вместе со своими коллегами из Android. Да, веб-сайты технически могут попросить пользователей iPhone использовать отдельный аппаратный ключ безопасности, такой как USB-устройство Yubico, но Сонефф считает, что высокий барьер для доступа к покупке специализированного оборудования (он просто слишком дорогой, да) означает, что такой ключ безопасности вряд ли будет использоваться кем-либо кроме корпоративных пользователей.

Есть доказательства того, что Apple заинтересована в том, чтобы выйти за рамки паролей. Компания уже позволяет вам использовать Apple Watch для входа в ваш Mac, и ходят слухи, что эта функция может быть расширена в будущем. Apple четко знает, что пароли имеют недостатки, и думает об их замене. Но до сих пор им было достаточно сделать это в собственной экосистеме, а не в общепринятом стандарте, таком как FIDO2.

Бретт Макдауэлл из Альянса FIDO отказался комментировать возможность Apple получить сертификацию FIDO2. Он сказал лишь, что добавление функциональности FIDO2 на самом деле не требует сертификации. В конце концов, это открытый стандарт. Бретт говорит, что сертификация – это «возможность» для поставщиков убедиться, что их продукт будет взаимодействовать с другими продуктами на рынке и соответствовать стандарту. В противном случае «сертификация является необязательной».

Но даже когда вся работа над самой технологией завершится, пароли вряд ли полностью исчезнут. Макдауэлл говорит, что думает, что пароли будут продолжать существовать наряду с аутентификацией FIDO2 в течение «значительного периода времени», подобно тому, как большинство телефонов теперь позволяют использовать PIN-код в качестве альтернативы биометрической безопасности. Вы можете использовать свой отпечаток пальца для входа в систему 99 процентов времени, но ваш PIN-код всегда доступен, если вам это нужно.