Разрешая использование учетных записей Google только с паролем, Google делает значительный шаг к нашему якобы будущему без паролей. Запись в блоге с заголовком «Наконец-то пришел конец паролю, по словам Google, который начал развертывать поддержку ключей доступа на всех основных платформах для учетных записей Google. Они будут дополнительным вариантом входа в систему в дополнение к паролям, двухэтапной аутентификации (2SV) и т. д. для пользователей». В рамках двухфакторной аутентификации ранее можно было использовать ключ доступа к учетной записи Google, но он всегда был дополнением к паролю. Вместо пароля теперь можно использовать пароль для доступа к учетной записи Google.
Если вы не знакомы с новым механизмом аутентификации, ключ доступа — это новый метод входа в приложения и веб-сайты, который однажды может заменить пароль. Сначала люди вводили пароли в обычные текстовые поля, а когда возникла потребность в усилении безопасности, к этим текстовым полям постепенно привились автоматизация и сложность. Правильный способ использования пароля сегодня — это попросить менеджера паролей поместить случайную строку символов в поле пароля. Раньше вы вводили вспоминаемое слово в поле пароля. Ключи доступа удаляют поле пароля, потому что немногие из нас действительно вводят свои пароли.
Passkeys использует стандарт « WebAuthn », чтобы ваша операционная система напрямую обменивалась парами открытого и закрытого ключей с веб-сайтом, таким образом вы аутентифицируетесь. Демонстрация Google того, как это будет работать на телефоне, выглядит фантастически; стандартное поле запрашивает ваше имя пользователя Google, затем запрашивает отпечаток пальца, чтобы разблокировать систему ключей доступа и войти в систему.
Потребительские устройства скоро смогут получать доступ к сервисам Google без пароля, а бизнес-аккаунты Google Workspace «скоро» смогут активировать пароли для конечных пользователей.
Коды доступа еще не готовы к широкому использованию
Несмотря на то, что Google полностью посвятил себя паролям, это не означает, что они готовы к массовому использованию. Во-первых, некоторые системы (включая Windows, Linux и Chrome OS) не так развиты, как другие (например, MacOS, iOS и Android). Предстоит еще много работы, однако на официальном веб-сайте passkeys.dev есть полезная страница , которая отслеживает готовность каждой платформы. Было бы ужасно, если бы вы заблокировали свою учетную запись с ключом доступа Google в Chrome OS, что, вероятно, произойдет, если вы не перейдете обратно к паролю.
Вторая проблема, заключающаяся в том, что ключи доступа синхронизируются через экосистему вашей операционной системы, а не через браузер, представляет собой значительное отставание в том, как работают пароли, и, похоже, не будет решена в ближайшее время. Ключи доступа сегодня не работают так же, как пароли; если я добавлю пароль в Chrome в Windows, он будет мгновенно доступен на всех моих устройствах с установленным Chrome, включая мой телефон Android, Macbook, iPhone, Chromebook и т. д.
Ключи доступа «синхронизируются со всеми другими устройствами пользователя, работающими на одной и той же платформе ОС», согласно странице FIDO Alliance [курсив наш]. Это означает, что если я добавлю ключ доступа к Chrome в Windows, он будет синхронизироваться только с другими операционными системами Microsoft, поскольку он будет добавлен в хранилище ключей поставщика ОС, Microsoft. Все будет синхронизировано, и вы не заметите разницы, если будете использовать только продукты Apple. Для остальных из нас, использующих Windows и Android, Android и Linux или любую другую комбинацию кросс-платформенных поставщиков, потребуется процесс передачи с помощью QR-кода и Bluetooth. Крупные технологические корпорации, контролирующие ключи доступа, похоже, не заинтересованы в том, чтобы сделать их такими же простыми и практичными, как пароли, что станет серьезным препятствием для их широкого распространения.
Вся эта проблема с синхронизацией подтверждается 1Password, «В настоящее время ключи доступа на других платформах требуют подтверждения с помощью устройства из той же экосистемы. Трудоемко и менее безопасно синхронизироваться с другими операционными системами или предоставлять ключи доступа, когда есть обходные пути, такие как QR-коды». Такие приложения, как 1Password, могли получить или не получить приглашение на вечеринку с ключами Big Tech. Хотя 1Password утверждает, что является членом FIDO Alliance, видео на странице, посвященной паролям, утверждает, что пароли недостаточно открыты. Из видео: «Открытость и интероперабельность, которые обещают нынешние технологии, не выполняются. Создать пароль на iPhone или Android-устройстве сегодня практически невозможно. Совместное использование, перемещение на другую платформу или синхронизация с вашим любимым менеджером паролей — непростые задачи. Мы можем улучшить.
На веб-сайте ключей доступа 1Password много формулировок «может» и «должен», но исправление разрабатывается и должно быть доступно «этим летом».
Наличие такого значительного кросс-платформенного регресса в настройке по умолчанию, которую использовало бы большинство людей, существенно ограничит привлекательность ключей доступа, даже если фирме удастся решить проблему синхронизации ключей доступа для своего собственного приложения.
Изображение в списке Google