В течение многих лет я утверждал, что выход за рамки паролей — это то, что срочно необходимо сделать как с точки зрения безопасности, так и с точки зрения удобства использования.
Техническая структура, позволяющая отказаться от паролей — WebAuthn — была согласована еще в 2018 году, и Apple добавила ее поддержку в Safari в прошлом году. Принятие пока что близко к нулю, но все, похоже, скоро изменится благодаря последнему шагу Apple …
Какие проблемы с паролями?
С чего начать?
Во-первых, нетехнические специалисты часто повторно используют пароли на веб-сайтах, а это означает, что их безопасность настолько хороша, насколько хороша наименее защищенная служба, которую они используют. Как только какой-либо веб-сайт будет взломан и получены учетные данные, хакеры первым делом захватят базу данных и запустят эти логины на всех самых популярных сайтах и сервисах — от Facebook до онлайн-банков. Таким образом, взлом одного сайта может означать, что учетные записи людей будут взломаны на огромном количестве сайтов.
Двухфакторная аутентификация помогает, но большинство людей не будут использовать ее, если она не является обязательной, и очень часто одноразовые коды отправляются через SMS, что само по себе является очень небезопасной системой как по техническим, так и по человеческим причинам.
Во-вторых, фишинг — серьезная проблема. Хакеры рассылают электронные письма, якобы отправленные с определенного веб-сайта, предлагая людям войти в систему, что иногда является чрезвычайно убедительной копией реального сайта. Срочность создается с помощью ряда уловок, от поддельных транзакций, которые необходимо отменить, чтобы избежать обвинений, до заявлений о том, что люди собираются заблокировать доступ к своей электронной почте, если они не предпримут никаких действий. Apple ID — очень популярная цель фишинга, потому что они очень ценны в темной сети.
В-третьих, пароли не подходят даже для тех, кто разбирается в вопросах безопасности. Любой, кто использует диспетчер паролей для обеспечения надежных и уникальных входов в систему, испытывал боль, связанную с тем, что субдомен не распознается или диспетчер паролей не может разблокировать веб-сайт, но не приложение. В этом случае вход в систему может включать открытие диспетчера паролей, поиск платформы и вставку или ввод пароля вручную.
Как выйти за рамки паролей?
В настоящее время наиболее распространенный способ входа на веб-сайт, службу или приложение — с помощью имени пользователя и пароля. Имя пользователя сообщает службе, кто вы, а пароль подтверждает, что это действительно вы. WebAuthn предлагает альтернативный способ подтверждения вашей личности.
Прямо сейчас многие приложения позволяют входить в систему с помощью Face ID или Touch ID, но это просто дополнительный метод входа в систему по отношению к вашему паролю. Что делает WebAuthn, так это позволяет вашему устройству служить заменой пароля.
Подумайте о совершении транзакции Apple Pay. Платежный терминал запрашивает две вещи: номер (виртуальной) карты и подтверждение того, что вы являетесь владельцем карты. Ваше устройство Apple обеспечивает обе функции без использования пароля.
Допустим, вы используете iPhone с Face ID. IPhone сообщает платежному терминалу: «Вот номер карты, и вам не нужно беспокоиться о запросе PIN-кода или подписи, потому что я проверил личность держателя карты с помощью Face ID». Платежный терминал отвечает: «О да, я вижу, что и банк, и владелец карты зарегистрировали эту карту в Apple Pay, и я понимаю, что вы использовали Face ID для подтверждения авторизации держателя карты для этой транзакции, так что все в порядке. , Благодарность.»
По сути, платежный терминал доверяет биометрическим данным вашего устройства Apple «подтверждение того, что это действительно вы», поэтому пароль не требуется. (Apple Watch работают несколько иначе: пароль использовался для подтверждения вашей личности, когда вы надевали часы, а устройство подтверждает платежному терминалу, что с тех пор оно постоянно находится на вашем запястье.)
WebAuthn применяет точно такой же подход к веб-сайтам и приложениям. Он делегирует проверку личности вашему устройству Apple на основании того, что устройство подтвердило, что биометрическая аутентификация прошла успешно.
Apple только что разрешила разработчикам начать тестирование использования WebAuthn на устройствах Apple.
Почему шаг Apple имеет большое значение?
Две причины. Во-первых, разработчики ненавидят пароли так же сильно, как и любой из нас. Хранение базы данных паролей представляет для них риск, поскольку это открывает возможность хакерской атаки на нее, и им приходится внедрять безопасные системы восстановления паролей для пользователей, которые их забывают. Намного лучше просто делегировать задачу подтверждения личности устройству пользователя. Таким образом, разработчики очень заинтересованы в реализации этого, что придает импульс развитию стандарта.
Во-вторых, там, где впереди Apple, следуют другие. Apple редко бывает первой компанией, внедряющей какие-либо новые технологии, но она является очень влиятельным популяризатором новых технологий. Как только Apple сделает это, пользователи узнают, что это безопасно, и это создает потребность в других компаниях для его внедрения.
Таким образом, Apple, настаивая на этом сейчас, значительно ускорит внедрение WebAuthn — и ускорит тот день, когда пароли, наконец, смогут получить давно назревшую отмену.
