Цифровые ключи пришли на смену паролям. Когда они работают, это беспроблемное видение будущего. Но пока не стоит отказываться от старых подходов.
Автор: Мэтт Берджес
В течение двух лет мой пароль от Netflix был таким: tricke22ry-notiLonal-freely-soSak-lice-slacken. Да, действительно, это надежный, уникальный пароль, и он снижает вероятность того, что меня взломают. Но при всей надежности его было кошмарно вводить на экранной клавиатуре телевизора, и он постоянно раздражал членов моей семьи, которые пользовались моим логином Netflix. Однако это лишь вершина моих парольных страданий.
Я использую менеджер паролей для создания и хранения всех логинов для 337 учетных записей, которые я создал — от доставки пиццы и авиакомпаний до социальных сетей и интернет-магазинов — за более чем десять лет работы в Интернете. Однако навязчивое использование менеджера и наличие сотен надежных паролей, скорее всего, делает меня меньшинством: многие люди используют один и тот же пароль для нескольких учетных записей или используют пароли, которые можно легко угадать.
Сегодня ситуация меняется. За последний год стало возможным отказаться от пароля и перейти к использованию цифровых ключей. Это сгенерированные коды, созданные с помощью криптографии с открытым ключом, которые хранятся на вашем устройстве или в менеджере паролей и позволяют вам входить на сайты и в приложения с помощью отпечатка пальца, распознавания лица или PIN-кода. По словам разработчиков технологии, их невозможно угадать, слить или украсть, и они останавливают фишинговые атаки на корню. Цифровые ключи считаются более безопасными, чем пароли.
Google, Apple, Microsoft, Amazon, GitHub, PayPal, Национальная служба здравоохранения Великобритании, OnlyFans, Nintendo и еще более 100 веб-сайтов начали поддерживать цифровые ключи. По словам Эндрю Шикиара, исполнительного директора FIDO Alliance, отраслевой организации, которая занималась разработкой ключей в течение последнего десятилетия, сейчас более 8 миллиардов онлайн-аккаунтов поддерживают такие ключи. Итак, я решил уничтожить свои пароли.
В течение последнего месяца я преобразовал как можно больше своих учетных записей — около дюжины на данный момент — чтобы отказаться от паролей навсегда. Спойлер: когда ключи будут работать без сбоев, это станет проблеском более безопасного будущего для миллионов, если не миллиардов людей, и переосмыслением того, как мы входим на сайты и в сервисы. Но для того, чтобы добиться этого для каждой учетной записи в интернете, скорее всего, придется пройти по минному полю и потратить некоторое время.
Разблокировка ключей доступа
Проще говоря, когда вы создаете ключ доступа, используемый вами сайт или приложение генерирует два фрагмента кода. Один хранится на сайте или в приложении, другой — на вашем устройстве. Когда вы входите в систему, вы подтверждаете, что это вы, с помощью сканирования лица, отпечатка пальца, PIN-кода или того, как вы обычно разблокируете свое устройство, и две части сохраненного кода связываются друг с другом. Это означает, что создать ключ доступа для пользователя довольно просто. Все, что вам нужно сделать, — это зайти в настройки безопасности вашей учетной записи и пройтись по опциям для настройки и сохранения ключа. В большинстве случаев это занимает всего несколько кликов.
Вход в мой аккаунт на Coinbase — идеальный пример того, как могут работать ключи. Вход в приложение для торговли криптовалютой, о котором я уже успел забыть, теперь занимает считанные секунды. Открыв приложение для iPhone, я могу нажать на опцию входа с помощью ключа, которая находится рядом с выбором ввода адреса электронной почты или входа с помощью существующей учетной записи Apple или Google. Я нажимаю на опцию «Ключ», и появляется всплывающее окно с вопросом, хочу ли я использовать Face ID для входа?, при этом меня предупреждают, что будет использоваться ключ, сохраненный в моей связке ключей iCloud. Быстрое сканирование лица, и я вошел в систему. Ни пароля, ни имени пользователя — менее 20 секунд на вход.
Однако есть несколько моментов, которые вызвали у меня проблемы с настройкой ключей — моя первая попытка оказалась неудачной. На моем рабочем ноутбуке не было операционной системы, поддерживающей ключи. Пока я ждал обновления, приложение PayPal продолжало глючить и не давало мне завершить процесс создания ключа. Затем я не смог создать его специально для TikTok, так как для создания аккаунта я использовал свой рабочий аккаунт Google. Когда я попытался создать ключ для Amazon и мне потребовалось отсканировать QR-код на телефоне, я обнаружил, что мой менеджер паролей Bitwarden в настоящее время не поддерживает ключи на мобильных устройствах.
Использование ключей, вероятно, означает, что ваш образ мышления отличается от того, как вы относитесь к паролям. Вам не нужно ничего запоминать при входе в систему, а для хранения ключей нужно использовать что-то другое. Ключи можно хранить в системах управления паролями Apple, Google или Microsoft, в вашем браузере, в специальном менеджере паролей или на физическом ключе безопасности. Я создал ключ доступа Google на одном USB-носителе, и все, что мне нужно сделать для входа в систему, — это, по сути, подключить его (все устройства, которыми я пользуюсь профессионально и лично, — от Apple, поэтому я не тестировал ключи между iPhone и ноутбуком с Windows, например).
«Технология уже отработана, а фронт-энд еще только зарождается» — говорит Шикиар из FIDO Alliance. По его словам, в течение последнего года альянс FIDO также работал над рекомендациями для пользователей, чтобы людям было проще регистрироваться и использовать ключи в разных системах. Гэри Оренштейн (Gary Orenstein), директор по работе с клиентами компании по управлению паролями Bitwarden, говорит, что в создании и распространении ключей участвует множество групп, поэтому переход к миру, где все работает без проблем, требует координации. «Стандарты находятся на одном уровне, ожидания пользователей — на другом», — говорит он. «Реализации поставщиков находятся на третьем уровне, и они объединяются, но на это требуется время».
Возможность сохранить ключ доступа практически на любом устройстве делает их более полезными и означает, что вы не привязаны к экосистемам Google, Microsoft или Apple. Однако для того, чтобы понять, где сохранять ключ, вам придется кое-что запомнить. При создании одного ключа меня спрашивали менеджер паролей, браузер и операционная система устройства, хочу ли я сохранить свой ключ в каждом из них. Выбрать одно место и придерживаться его, вероятно, лучший вариант.
Большая часть моей работы выполняется на ноутбуке, и я редко загружаю новые приложения или выхожу из приложений на телефоне, поэтому я сохраняю большинство своих ключей в Bitwarden, который стоит мне 10 долларов в год за премиум-аккаунт, наряду с моими сотнями паролей. Работает это следующим образом: при входе в аккаунт Amazon я ввожу свое имя пользователя, после чего появляется браузерное расширение Bitwarden с вопросом, хочу ли я войти в систему с помощью своего ключа для Amazon. Я нажимаю подтвердить, и вхожу в систему. Оно также предлагает использовать для входа мое устройство или аппаратный ключ, и если я выбираю один из этих вариантов, оно ищет ключи, хранящиеся на моем ноутбуке.
Однако, как уже говорилось, Bitwarden в настоящее время не предлагает ключи для мобильных устройств, поэтому, чтобы интеграция Coinbase с мобильными устройствами заработала, мне пришлось сохранить ключ в связке ключей iCloud. Оренштейн из Bitwarden говорит, что обеспечение работы ключей на мобильных устройствах является приоритетом для Bitwarden, и в ближайшие месяцы поддержка должна быть расширена. По его словам, пока что компания наблюдает «фантастическое» внедрение ключей, но признает, что людям придется привыкнуть к изменениям. «Вам все еще нужно знать, где он находится» — говорит Оренштейн. «Я думаю, со временем мы, как индустрия, сможем снизить потребность в этом осознании, надеюсь, до нуля».
Долгое прощание с паролем
Возможно, вы еще не установили никаких ключей, но это лишь вопрос времени. Технологические компании начинают устанавливать пароли по умолчанию, и все больше предприятий переходят на них. За последние пару недель X начал разрешать некоторым людям использовать ключи, а WhatsApp добавляет их на iPhone и iPad после того, как ранее запустил поддержку на устройствах Android.
Леона Лассак, Блас Ур и Максимилиан Голла, три ученых из Германии и США, исследовавших внедрение ключей, говорят, что опрошенные ими компании в целом положительно относятся к внедрению пропусков и дополнительной безопасности, которую это принесет. Однако, вероятно, пройдет некоторое время, прежде чем большинство веб-сайтов, приложений и компаний начнут использовать ключи во всем. «Я не думаю, что в ближайшие несколько месяцев произойдет большой прорыв» — говорит Лассак. «Это будет медленный процесс, который по пути охватит и другие, более мелкие организации».
В результате пароли будут существовать еще какое-то время. Пройдет немало времени, пока я переведу свои оставшиеся 320 аккаунтов на использование ключей. А пока, по крайней мере, те аккаунты, где я использую пароли, все еще будут иметь существующие пароли, на которые я могу опираться. «Ключи — это уменьшение количества паролей, но не обязательно их отсутствие» — говорит Голла.
Эксперты рекомендуют устанавливать несколько паролей каждый раз, когда вы сталкиваетесь с ними в своих учетных записях в Интернете, а не пытаться сменить их все сразу. Существуют руководства по тому, на каких сайтах уже используются ключи, а Google, Microsoft и Apple прямо объясняют, как их создавать. И есть много преимуществ, если начать работу прямо сейчас.
«Это настоящая замена пароля, которая устраняет угрозу фишинга, избавляет от необходимости сбрасывать пароль и устраняет ответственность, которую несут поставщики услуг, управляющие тысячами, десятками тысяч, десятками миллионов или миллиардами паролей», — говорит Шикиар. «Это действительно совершенно новый способ аутентификации пользователей».
Оригинал: Wired
