Google запускает бета-версию поддержки ключей доступа для Chrome и Android

Big Tech хочет убить пароль, а «Ключи доступа» являются горячим новым стандартом замены пароля в блоке. Ключи доступа поддерживаются Google, Apple, Microsoft и Альянсом FIDO, так что ожидайте увидеть их повсюду в ближайшее время. iOS подхватила стандарт в версии 16, и теперь Google запускает бета -версии пароля для Chrome и Android.

Аргумент пароля заключается в том, что пароли старые и ненадежные. Компьютерные пароли изначально задумывались как легко запоминающийся секрет, который люди могли ввести в текстовое поле. Когда возникла потребность в большей безопасности, появились менеджеры паролей, упрощающие сохранение и восстановление ваших паролей. Теперь, вместо какой-то запоминающейся фразы, идеальный способ использовать пароль — заставить компьютер сгенерировать какую-то дикую строку символов и никогда больше нигде не использовать этот пароль. Однако революция менеджера паролей — это хак, построенный поверх этого оригинального текстового поля. На самом деле нам больше не нужно текстовое поле, и именно здесь появляется стандарт пароля.

Один странный выбор, сделанный Big Tech с ключами доступа, заключается в том, что вещь, которая передает ваш ключ на веб-сайт, — это ваш телефон, а не менеджер паролей на любом устройстве, которое вы сейчас используете. Эта связь между телефоном и клиентом также не осуществляется через Интернет, как двухфакторная аутентификация — используемое вами устройство должно иметь Bluetooth, чтобы ваш телефон мог общаться с ним локально. Локальное общение гарантирует, что случайные люди в Интернете не смогут войти в ваши учетные записи, но это также заблокирует некоторые настольные компьютеры.

Google заявляет, что сегодня усилия по созданию пароля достигли «важной вехи». Если вы зарегистрируетесь в бета-версии Play Services, теперь вы сможете создавать и использовать ключи доступа на устройствах Android, а Chrome Canary теперь поддерживает ключи доступа для веб-сайтов. Google заявляет, что стабильные реализации для Chrome и Android появятся позже в этом году, но хочет, чтобы разработчики начали разработку прямо сейчас.

Google также поделился некоторыми подробностями о том, как это будет работать. В решении Google ваши пароли хранятся в диспетчере паролей Google. Всплывающее окно на вашем телефоне сначала предложит вам выбрать учетную запись, а затем пройти аутентификацию с помощью какой-либо биометрии, например разблокировки по отпечатку пальца. Телефон свяжется с клиентом через Bluetooth, браузер получит ваш пароль и отправит его на веб-сайт. (Если клиент — это ваш телефон, все становится намного проще.)

По какой-то причине в примере Google весь процесс начинается с QR-кода. Я предполагаю, что это всего лишь быстрый взлом для бета-версии, но чтобы всплывающее окно с ключом доступа сначала появилось на вашем телефоне, Google показывает компьютеру QR-код, а затем телефон сканирует его. Как и в случае с Google Prompt или другими формами 2FA, мы надеемся, что в будущем начальное всплывающее окно с паролем будет открываться автоматически через Интернет.

Помимо стабильных выпусков для Android и Chrome, следующим для Google является API для собственных приложений Android и API Android для сторонних менеджеров паролей, которые можно подключить к этому. Google наводит порядок прямо сейчас, но в будущем это должно работать в разных экосистемах, поэтому iPhone может отправлять ключ доступа в Chrome, а телефон Android может отправлять ключ доступа в Safari.