Другими словами, чтобы воспользоваться видеохостингом YouTube, почтой Gmail, онлайн-офисом «Документы Google» (Google Docs) или другими сервисами Google на своем персональном компьютере, пользователю будет достаточно разблокировать свой смартфон при помощи отпечатка пальца, снимка лица или ввода PIN-кода и нажать на всплывающее уведомление. В некоторых ситуациях потребуется включенный Bluetooth.
В Google уверены, что такой подход к аутентификации пользователя обеспечивает значительно более высокую устойчивость к фишингу по сравнению с традиционным, даже при применении второго фактора защиты (2FA).
Фото: Pawel Czerwinski / Unsplash.comНовая возможность доступна частным пользователям сервисов Google с 3 мая 2023 г. Администраторы Google Workspace получат возможность настраивать Passkey для сотрудников организации несколько позже, сообщает Google.
В компании подчеркивают, что отказываться от уже существующих способов аутентификации не пока не планируют. Тем не менее новшество называют не иначе как «большим шагом в "беспарольное будущее"».
Как включить беспарольный вход
Включить беспарольный вход в сервисы Google можно в настройках учетной записи (myaccount.google.com) – для этого следует активировать переключатель «По возможности не запрашивать пароль», предварительно создав хотя бы один ключ доступа.
Ключи доступа создаются в разделе «Безопасность»->«Вход в Google»->«Ключи доступа». Как отмечают в Google, на соответствующей странице пользователь может обнаружить автоматически сгенерированные ключи, если у него есть Android-смартфон, привязанный к данной учетной записи.
Инициатива FIDO Alliance и W3C
Инициатива по широкомасштабному продвижению технологии беспарольной аутентификации принадлежит организации FIDO Alliance, в состав которой входит ряд значимых участников рынка информационных технологий, в том числе Apple, Google и Microsoft, а также Консорциуму Всемирной паутины (W3C).
Тройка американских ИТ-гигантов объявила о переходе на новую технологию аутентификации почти год назад – в мае 2022 г. Необходимость внедрения новшества компании объяснили соображениями безопасности.
Продвигаемую альянсом технологию уже внедрили такие онлайн-сервисы как Docusign, eBay, Kayak, PayPal, Shopify, Yahoo! Japan. Всего в реестре поддерживающих технологию сервисов Passkey.directory значится 41 участник.
Технологию ключей доступа поддерживают операционные системы Microsoft Windows 10 и 11, Apple macOS Ventura и iOS 16, а также Android.
Чем это лучше парольной защиты
При создании Passkey генерируется два ключа – публичный (открытый) и приватный (закрытый). Первый размещается на сервере веб-ресурса, который обеспечивает аутентификацию пользователей; последний хранится на устройстве пользователя в зашифрованном виде и содержит необходимую для получения доступа к пользовательскому аккаунту, отмечает TechSpot. Получение доступа к одному лишь публичному ключу не позволяет злоумышленнику войти в чужой аккаунт.
Возможность войти в учетную запись имеет только человек, способный разблокировать привязанное к ней устройство-аутентификатор, поэтому Google предупреждает о недопустимости применения новой технологии на девайсах, к которым имеет доступ сразу несколько пользователей.
Ключ доступа невозможно случайно выдать злоумышленнику, действующему методами социального инженерии, к примеру, через фишинговые формы в интернете или электронные письма. Наконец, passkey обеспечивает некоторую защиту от популярной в среде киберпреступников техники подмены SIM-карты.
В отличие от пароля, ключ доступа не нужно запоминать или записывать, чтобы не забыть в дальнейшем. Для создания и централизованного хранения сложных паролей существуют специальные сервисы, однако, как показывает практика, не следует переоценивать надежность и защищенность таких инструментов. Так, в декабре 2022 г. CNews писал о хакерской атаке на менеджер паролей LastPass с аудиторией в 30 млн человек, в результате которой злоумышленникам удалось получить доступ к данным пользователей.
В случае утраты гаджета, используемого для беспарольной аутентификации, привязанные к нему ключи доступа можно удалить в настройках безопасности учетной записи Google, тем самым лишив нашедшего устройство возможности войти в чужой аккаунт.