Apple объявила о создании нового инструмента, который заменит пароли. Американская корпорация предложила отказаться от классических способов защиты личных данных в пользу более продвинутых, связанных с биометрическими методами аутентификации и непосредственным присутствием пользователя. Самое важное, что Apple действует не только по своей инициативе — новый метод будет работать не только на смартфонах и компьютерах американской компании. Отказаться от паролей в будущем предлагают Google, Microsoft и другие компании. «Лента.ру» объясняет, какую альтернативу паролям пытаются создать IT-корпорации, в чем заключается ее суть и польза и какие проблемы она может решить.
Вход по лицу
На конференции для разработчиков WWDC Apple анонсировала Passkeys — новую биометрическую систему, которую нельзя подделать или скомпрометировать. Принцип работы технологии базируется на стандарте Web Authentication API (WebAuthn), который использует криптографию с открытым ключом. При создании пароля Passkeys генерирует два вида ключа — открытый и закрытый. Первым система делится с конкретным сайтом или приложением, доступ к которым пытается получить пользователь (так называемая «проверяющая сторона»), второй ключ зашифрован и хранится непосредственно в памяти смартфона или планшета, с помощью которого осуществляется вход по биометрии.
«Мы помогаем создавать учетные данные следующего поколения, которые более безопасны, просты в использовании и нацелены на то, чтобы навсегда заменить пароли», — заявил вице-президент по интернет-технологиям Apple Дарин Адлер.
Применяя классический способ входа в профиль на сайте или в приложении, пользователь вводит пароль и получает немедленный доступ. При наличии многоуровневой аутентификации потребитель также получает код подтверждения — по СМС, через уведомление в приложении или посредством специальных сервисов. В случае Passkeys пользователь должен всего лишь зайти на сайт или открыть приложение сервиса, а затем пройти аутентификацию с помощью своего смартфона или другого устройства. В случае гаджетов Apple потребитель может отсканировать отпечаток пальца или лицо, используя технологии Touch ID или Face ID. Получив подтверждение, девайс отправляет уникальный цифровой ключ на компьютер, на котором открыта страница конкретного сервиса, и разрешает доступ.
Технология Passkeys — собственная разработка Apple и будет работать только на смартфонах, планшетах и компьютерах американского производителя. Однако стандарт беспарольного получения доступа будет доступен для всех сервисов и на всех устройствах. Например, используя компьютер на базе Windows, пользователь может открыть личный профиль на сайтах и получить доступ к различным системам посредством iPhone — нужно всего лишь пройти биометрическую аутентификацию на телефоне. В этом случае на открытой на ПК странице входа отобразиться QR-код, который нужно будет отсканировать с помощью камеры смартфона, пройти процесс аутентификации и получить доступ.
«Ключи доступа — это учетные данные WebAuthn с потрясающей безопасностью, которую обеспечивает стандарт, в сочетании с удобством использования резервного копирования, синхронизации и работы на всех ваших устройствах», — говорил инженер Apple Гаррет Дэвидсон в своем докладе на WWDC 2021.
Работу над единым стандартом мгновенной и безопасной аутентификации ведет не только Apple. В Альянс FIDO и Консорциум World Wide Web входят еще Google и Microsoft. То есть будущее без паролей приближают компании-разработчики самых популярных операционных систем — Windows, Android и iOS. Среди участников Альянса FIDO также присутствуют Samsung, Lenovo, American Express, Visa и Mastercard, PayPal, Softbank, Qualcomm, Sony, Huawei, Netflix и другие производители гаджетов, создатели сервисов и технологий. Высока вероятность, что описанное цифровое будущее с безопасными системами входа наступит для всех и сразу.
Так, Google уже предлагает использовать приложение Smart Lock на iOS и Android, чтобы войти в учетную запись в интернете. В мае инженеры корпорации заявили, что их разработки помогут «создать будущее, в котором однажды вам вообще не понадобится пароль». Их коллеги из Microsoft придумали использовать биометрические системы Windows Hello или Microsoft Authenticator для входа в аккаунт Windows, Xbox и Microsoft 365. Пока данная технология работает только на устройствах, оборудованных системами распознавания лиц или отпечатков пальцев.
Гудбай, фишинг
Новый формат входа вряд ли будет доступен раньше 2023 года, хотя технология Passkeys должна заработать на устройствах Apple сразу после полноценного выхода новых операционных систем. Вероятно, до конца года другие производители софта представят свои работающие версии беспарольного входа, объединенные единой концепцией. Почему инициатива ведущих IT-компаний мира может похоронить классические пароли как способ получения доступа?
В первую очередь заинтересованные в развертывании технологии разработчики говорят об удобстве системы. Гораздо проще отсканировать лицо смартфоном, чем вспоминать и вводить сложный пароль, ждать СМС с подтверждением, вводить коды, сгенерированные приложением для аутентификации. Статистика свидетельствует, что люди ненавидят сложные комбинации: так, из исследования «Одноклассников» следует, что 49 процентов россиян используют в качестве паролей телефоны, собственные инициалы и даты рождения. «Пароли работают нормально, если они длинные, случайные, секретные и уникальные, но человеческий фактор всегда является проблемой», — заметил специалист по безопасности Рон Амадео.
Большая часть взломов аккаунтов и угонов сервисов осуществляется удаленно — с помощью фишинга, методов социальной инженерии или посредством массовых утечек логинов и паролей. В случае использования однотипных комбинаций вроде «12345» или «пароль», украсть чужие данные можно и обычным методом подбора. Способ многоуровневой аутентификации, предложенный Альянсом FIDO, предполагает непосредственное присутствие владельца аккаунта.
Смартфон пользователя, который хранит цифровой ключ, либо должен соединиться с компьютером по Bluetooth, либо использоваться для сканирования QR-кода, что невозможно сделать удаленно. При внедрении технологии типа Passkeys классический фишинг — с применением вредоносных спам-рассылок — должен умереть. То же самое касается сливов баз данных различных сервисов с приватной информацией клиентов, когда злоумышленники взламывают серверы компаний и угоняют тысячи паролей сразу. В случае Passkeys и прочих альтернатив классического способа входа это невозможно. «Ключи доступа не могут быть раскрыты, потому что на веб-сервере не хранится ничего секретного», — отметил представитель Apple Дарин Адлер.
Специалисты упоминают многофакторные способы аутентификации (MFA) в качестве наиболее надежной технологии для входа в данный момент. Однако MFA требуют получения СМС или генерирования кода подтверждения, которые технически возможно подделать или украсть. «Хотя любые MFA лучше, чем отсутствие MFA, только аутентификация FIDO устойчива к фишингу», — заметил руководитель отдела кибербезопасности Агентства кибербезопасности и безопасности инфраструктуры Боб Лорд. Предложенный разработчиками метод не предусматривает дополнительного подтверждения входа, так как его заменяет живое присутствие пользователя с телефоном.
Новый способ входа должен упростить процесс переноса данных с одного устройства на другое. В случае настройки нового смартфона пользователь обычно сталкивается с проблемой повторного ввода пароля во всех сервисах — аккаунтах в соцсетях, почтовых клиентах, банковских приложениях. При использовании метода аутентификации по Bluetooth или через QR-код настройка нового телефона не займет много времени, а участие владельца девайса будет минимальным.
Не так быстро
Отказ от классических паролей, но с использованием способов многофакторной аутентификации — кодов подтверждения по СМС или уведомлениям — является полумерой. Во-первых, хакеры могут перехватить приватные данные, во-вторых, многие актуальные на данный момент сервисы предполагают использование ПИН-кодов или ответов на контрольные вопросы, которые тоже можно скомпрометировать. Следовательно, максимальную безопасность могут предоставить только системы, которые предусматривают полный отказ от паролей.
В первую очередь успешное распространение подобной технологии зависит от разработчиков, которые должны будут создать универсальный способ аутентификации, работающий на любом устройстве. «Ключом к успеху концепции FIDO является доступность — наша технология должна быть такой же вездесущей, как и пароли», — заявил исполнительный директор FIDO Эндрю Шикиар.
«Способы, подобные Passkey, могут работать и быть более безопасными, чем пароли в их нынешнем виде», — считает криптограф Университета Джонса Хопкинса Мэтью Грин. Однако если процесс беспарольного входа будет отличаться на разных платформах и устройствах (например, окажется очень неудобным на смартфонах конкретного бренда), то потребители начнут воспринимать технологию как одну из новых, но бесполезных опций своего телефона.
Предложенная Альянсом система требует наличия как минимум смартфона с Bluetooth, камерой и доступом к сети. Также потребителям нужно будет объяснить, зачем переходить от паролей, которые использовали с момента появления интернета, к новому малопонятному способу аутентификации. Проблема распространения новой системы заключается в том, что большое число потребителей не интересуются технологиями и не имеют современных смартфонов.
Согласно актуальным данным исследовательского центра Pew Research, только в США 15 процентов граждан вообще не пользуются смартфонами
Новый метод входа теоретически хоть и считается очень безопасным, однако не исключает взлома. В случае, если конкретный смартфон не имеет достаточно надежной системы разблокировки по лицу или отпечатку пальца, злоумышленник может украсть устройство и обойти системы защиты. Данный способ кражи данных является трудоемким, но вполне осуществимым.
В обзорном материале журнала Wired говорится, что привычные всем пароли, разумеется, не исчезнут за одну ночь. Очевидно, разработчиком ПО и производителям гаджетов потребуются годы, прежде чем каждый пользователь сможет иметь гаджет, который поддерживает Apple Passkeys или другую подобную технологию. Путь к более безопасному будущему окажется трудным — скорее всего, в ближайшие годы пароли останутся в качестве работающей альтернативы для ретроградов и обладателей кнопочных телефонов. До тех пор, пока последние не уйдут в историю.