Big Tech хочет убить пароль, а «ключи доступа» — это новый горячий стандарт для замены блочного пароля. Ключи доступа поддерживаются Google, Apple, Microsoft и FIDO Alliance, так что ожидайте их повсеместного появления в ближайшее время. iOS приняла стандарт в версии 16, и теперь Google выпускает бета- версии паролей для Chrome и Android.
Аргумент пароля заключается в том, что пароли старые и слабые. Компьютерные пароли изначально задумывались как легко запоминающийся секрет, который люди могли ввести в текстовое поле. Поскольку возникла потребность в большей безопасности, появились менеджеры паролей, упрощающие сохранение и восстановление ваших паролей. Теперь, вместо какой-нибудь броской фразы, идеальный способ использовать пароль — заставить компьютер сгенерировать какую-нибудь дикую строку символов и никогда больше нигде не использовать этот пароль. Однако революция менеджера паролей — это хак, построенный поверх этого оригинального текстового поля. На самом деле нам больше не нужно текстовое поле, и здесь на помощь приходит стандарт пароля.
Один странный выбор, сделанный Big Tech с ключами доступа, заключается в том, что вещь, которая передает ваш ключ на веб-сайт, — это ваш телефон, а не менеджер паролей на любом устройстве, которое вы используете в настоящее время. Эта связь между телефоном и клиентом также не осуществляется через Интернет, как двухфакторная аутентификация — используемое вами устройство должно иметь Bluetooth, чтобы ваш телефон мог общаться с ним локально. Локальная связь гарантирует, что случайные люди в Интернете не смогут войти в ваши учетные записи, но также заблокирует некоторые рабочие столы.
Google заявляет, что усилия по созданию паролей сегодня достигли «важной вехи». Если вы зарегистрируетесь в бета-версии Play Services, теперь вы можете создавать и использовать ключи доступа на устройствах Android, а Chrome Canary теперь поддерживает ключи доступа к веб-сайтам. Google заявляет, что стабильные реализации для Chrome и Android появятся позже в этом году, но хочет, чтобы разработчики начали разработку прямо сейчас.
Google также поделился некоторыми подробностями о том, как это будет работать. В решении Google ваши пароли хранятся в диспетчере паролей Google. Всплывающее окно на вашем телефоне сначала предложит вам выбрать учетную запись, а затем пройти аутентификацию с помощью какой-либо биометрии, например, разблокировки по отпечатку пальца. Телефон свяжется с клиентом по Bluetooth, браузер получит ваш пароль и отправит его на сайт. (Если клиент — ваш телефон, все становится намного проще.)
Почему-то в примере Google весь процесс начинается с QR-кода. Я предполагаю, что это всего лишь быстрый взлом для бета-версии, но для того, чтобы всплывающее окно с паролем сначала появилось на вашем телефоне, Google показывает компьютеру QR-код, а затем телефон сканирует его. Как и в случае с Google Prompt или другими формами 2FA, мы надеемся, что в будущем всплывающее окно с начальным паролем будет автоматически открываться через Интернет.
Помимо стабильных выпусков для Android и Chrome, следующим для Google является API для собственных приложений Android и Android API для сторонних менеджеров паролей, которые можно подключить к этому. Google наводит порядок прямо сейчас, но в будущем это должно работать в разных экосистемах, поэтому iPhone может отправлять пароль в Chrome, а телефон Android может отправлять пароль в Safari.