Apple открывает тестирование будущего Face ID без пароля с предварительным просмотром « ключей доступа в связке ключей iCloud »

В предстоящие годы пароли в том виде, в каком мы их знаем, уйдут в прошлое. Однако это изменение не произойдет в одночасье и потребует согласованных усилий множества различных сторон, включая крупных технологических гигантов. На WWDC Apple объявила о своем движении к более безопасной и простой в использовании аутентификации без пароля на основе WebAuthn и Face ID / Touch ID с предварительным просмотром паролей в iCloud Keychain.

Предварительный просмотр паролей в iCloud Keychain поставляется с iOS 15 и macOS Monterey, но это не означает, что эта функция доступна пользователю. Предварительный просмотр фактически только открывает разработчикам двери для начала первоначального тестирования.

Подобно тому, как Google и Microsoft отстаивали и работали над паролем, ключи доступа Apple в iCloud Keychain основаны на стандарте WebAuthn, который предлагает беспарольную повторную авторизацию на основе биометрических данных, а также двухфакторную аутентификацию с минимальным трением и устойчивостью к фишингу.

В своем сеансе WWDC «За пределами паролей» Гаррет Дэвидсон из Apple рассказал, как работает WebAuthn на основе пары открытого и закрытого ключей.

Одним из самых больших преимуществ WebAuthn является то, что он использует пары открытого / закрытого ключей вместо общих секретов.
Если мы рассмотрим, как работают пароли сегодня, сначала вы вводите свой пароль. Затем он обычно запутывается с помощью чего-то вроде хеширования плюс соления, и полученный соленый хеш отправляется на сервер.
Теперь и у вас, и у сервера есть копия секрета, даже если копия на сервере запутана, и вы оба в равной степени несете ответственность за защиту этого секрета.

Это то, от чего мы избавляемся. При использовании пар открытого и закрытого ключей вместо пароля ваше устройство создает пару ключей. Один из этих ключей является общедоступным; так же общедоступно, как и ваше имя пользователя. Им можно поделиться с кем угодно, и это не секрет. Другой ключ — частный. Этот закрытый ключ является секретом и защищен вашим устройством. Ваше устройство никогда не передает этот ключ никому, даже серверу. Когда вы создаете учетную запись, ваше устройство генерирует эти два связанных ключа. Затем он передает открытый ключ серверу.

Вы можете ознакомиться со всеми техническими деталями в полном сеансе и начать работу о том, как подключить службу с помощью ключей доступа Apple, здесь. Но в целом представьте, что вы можете входить на веб-сайты и в службы, используя только имя пользователя и сканирование Face ID или Touch ID.

Apple заявляет, что с безопасностью WebAuthn и сквозным шифрованием связки ключей iCloud пароли будут более безопасными, чем «большинство существующих сегодня решений на основе пароля и второго фактора».

В большинстве случаев для входа достаточно одного нажатия или щелчка. И они надежнее, чем большинство существующих сегодня решений с паролем и вторым фактором, благодаря объединенной безопасности WebAuthn и iCloud Keychain. А поскольку для входа достаточно одного касания, это одновременно проще, быстрее и безопаснее, чем почти все распространенные сегодня формы аутентификации.

В докладе подчеркивается, что в технологической индустрии еще предстоит проделать большой объем работы, чтобы это решение работало на всех устройствах, а не только на Apple, но интересно, что разработчики могут начать работу над macOS Monterey и iOS 15 с помощью ключей доступа.

Переход от паролей займет время, и важно правильно уточнить детали.
В macOS Monterey и iOS 15 ключи доступа в Связке ключей iCloud выпускаются как предварительная версия технологии и по умолчанию отключены. В iOS появился новый переключатель в разделе настроек разработчика приложения «Настройки».
Включение этого параметра позволит вам использовать эти синхронизированные ключи как в приложениях, так и в Интернете.

А в macOS переключатель находится в меню Safari «Разработка». Во-первых, вам нужно включить меню «Разработка» в расширенных настройках Safari. Вы найдете настройку для этого в нижней части панели «Дополнительно» в настройках Safari. Затем вы можете найти возможность включить Syncing Platform Authenticator в меню «Разработка». Не забудьте включить эту функцию при тестировании.

В macOS Monterey и iOS 15 эти пароли предназначены только для тестирования, а не для производственных учетных записей.
Основное внимание в этом предварительном просмотре уделяется технологии аутентификации — реализации WebAuthn на основе iCloud Keychain. Отказ от паролей в масштабах отрасли потребует продуманных и последовательно применяемых шаблонов проектирования, которые не входят в эту предварительную версию.