Видання Wired розповіло, яким може стати майбутнє без паролів, якщо розробники браузерів та сайтів приймуть новий стандарт FIDO2. Завдяки цій технології можна буде забути про складні комбінації символів та менеджерів паролів. Для здійснення такого прориву необхідна підтримка всіх гравців ринку: від Apple до Amazon, Facebook та рядових розробників. AIN.ua наводить скорочений переклад матеріалу.
Інтернет без паролів – давня мрія дослідників та рядових користувачів. Індустрія намагалася позбутися їх різними способами: за допомогою біометрії та біхевіоральних даних для підтвердження особистості. Але всі ці спроби не дали бажаного результату. Сьогодні на реалізацію ідеї є ще один шанс – стандарт під назвою WebAuthn. Якщо він буде прийнятий популярними браузерами та сайтами, то єдиний відбиток пальця або пристрій-ідентифікатор дозволятиме логінитися куди завгодно.
Що таке WEBAUTHN і як це працює?
WebAuthn — результат спільної роботи Консорціума Всесвітньої павутини та альянсу FIDO (Fast Identity Online). Нова технологія повинна стати продовженням існуючих специфікацій FIDO — U2F та UAF. Зараз вони використовуються для так званої двохфакторної аутентифікації. Під час неї користувач, крім вводу паролю, також повинен вказати другий, тимчасовий код для отримання доступу до екаунта. Часто аутентифікація без паролю стає другорядною опцією, однак якщо за допомогою WebAuthn браузери будуть підтримувати її нативно, все може змінитися. Передумови для цього є: про підтримку WebAuthn вже заявили Google, Mozilla та Microsoft.
Якщо так і станеться, то для єдиного логіна у всіх браузерах та онлайн-екаунтах з’явиться дві опції. Перша – універсальний USB-донгл з підтримкою нового протоколу FIDO. Приклад такого – Yubikey від компанії yubico, який обійдеться в $20. Друга опція – використання біометричного ідентифікатора (наприклад, за допомогою відбитку пальця). Спочатку, можливо, і доведеться один раз ввести пароль. Але потім (в теорії) все перетвориться в безшовний процес.
Як розповів в коментарях Wired програмний менеджер відділу безпеки Microsoft Дейв Боссіо, одним з прикладів чогось схожого стане Windows Hello. Ця система ідентифікації надає три варіанти для підтвердження особистості (пін-код, сканування відбитка пальця або розпізнавання обличчя). Боссіо заявляє, що браузерна підтримка WebAuthn з’явиться в середині другої половини 2018-го. Тоді залишиться тільки один, останній крок – стороннім розробникам знадобиться тільки ввімкнути бекенд-підтримку FIDO2.
Чому WEBAUTHN?
Засновник стартапа Pepperword Живей Лі говорить, що новий стандарт стане «як TouchID, але на крок попереду». Сам Лі відомий тим, що в 2013 році виявив вразливість в популярному менеджері паролів LastPass. Він пояснив: «З TouchID ви використовуєте відбиток пальця, щоб увійти в локальний пристрій. З FIDO2 ви можете залогінитися в систему на десктопному комп’ютері, використовуючи скан відбитку пальця на смартфоні. FIDO2 просто стандартизує цей процес».
Видання зазначає, що Apple – єдиний з великих творців браузерів, хто не заявив про підтримку WebAuthn. Не зважаючи на це, система корисна не тільки з точку зору зручності. WebAuthn може стати чудовим захистом від фішингових атак. Адже, якщо немає паролю – немає чого і красти.
Як говорить Сара Сквайр, ІТ-архітектор компанії Ping Identity, це великий прорив:
«Я думаю це серйозний аргумент для відомих людей, які є мішенню для зламу або власників великого багатства. Під час аутентифікації буде потрібен ключ, схожий на Yubikey, так що не так просто буде стати жертвою фішингу».
Автор тексту Wired зазначає – іронічно, що в результаті найбільш футуристичним способом захисту став фізичний донгл. Аналогічні рішення, в кінці-кінців, видають уже близько 15 років. Чим кращий Yubikey? З одного боку, практичністю: з цим пристроєм вам не потрібно вводити жодні пін-коди. Його достатньо просто підключити до комп’ютера. З іншого боку, тут також не все так просто: фізичний ключ може загубитися або бути втраченим через крадіжку. Плюс, це ще один гаджет, який доведеться носити з собою.
Але ще більшим викликом для WebAuthn стане колаборація з Amazon, Facebook та іншими сайтами, які люди відвідують щодня. В цьому його відмінність від менеджерів паролів – їх зручність в незалежності від розробників сервісу. Для нового стандарту потрібна нативна підтримка. Учасник ініціативної групи Консорціуму Всесвітньої павутини, який займається розробкою WebAuthn, говорить, що саме тому першими їх підтримали виробники браузерів, а не ecommerce-сайти або соцмережі.
Представник Mozilla Селена Докерман підтверджує:
«Ми не отримаємо світлого майбутнього без паролів в один момент. Спочатку це буде вторинним фактором, який вимагатиме від сайтів трохи покопатися в коді».
Не дивлячись на відсутність ілюзій, всі опитані Wired експерти впевнені, що нова технологія веде індустрію в потрібному напрямку. Живей Лі підсумовує:
«Паролі є проблемою не через помилки одного користувача. Я думаю, вся екосистема зламана. І потрібно щось схоже на FIDO, щоб її полагодити».