Индустрия безопасности, в лице альянса FIDO (Fast IDentity Online), работает над заменой паролей, учитывая склонность людей использовать слабые или повторяющиеся пароли. Двухфакторная аутентификация (2FA) помогла исправить эту ситуацию, но будущее — за «ключами доступа», поддержку которых готовят Android и Google.
О рубрике APK Insight: В этой статье из серии «APK Insight» мы декомпилировали последнюю версию приложения, которое Google загрузила в Play Store. Когда мы декомпилируем эти файлы (APK, в случае с Android-приложениями), мы можем видеть различные строки кода, намекающие на возможные будущие функции. Имейте в виду, что Google может никогда не выпустить эти функции, и наша интерпретация их назначения может быть неточной. Однако мы постараемся активировать те из них, которые близки к завершению, чтобы показать вам, как они будут выглядеть, если все же будут выпущены. Учитывая это, продолжайте чтение.
В случае успешного внедрения, для входа в веб-сервис больше не потребуется вводить пароль. Это относится и к паролям, которые вводятся автоматически, что является обычным поведением для менеджеров паролей, встроенных в современные браузеры и операционные системы. Вместо этого, подход FIDO использует криптографические ключи. Перед входом в систему конечный пользователь просто разблокирует свое устройство (с помощью пароля, отпечатка пальца, распознавания лица и т. д.).
Во время регистрации в онлайн-сервисе клиентское устройство пользователя создает новую пару ключей. Оно сохраняет у себя закрытый ключ и регистрирует открытый ключ в онлайн-сервисе. Аутентификация выполняется путем доказательства владения закрытым ключом: клиентское устройство подписывает запрос от сервиса.
Вместо паролей у вас будут «ключи доступа», которые хранятся на вашем устройстве и в облачном сервисе синхронизации операционной системы. В случае с Android, ключи доступа — название, которое также будет использовать Apple — сохраняются в вашем аккаунте Google (предположительно, используется аналогичный Менеджер паролей), как объясняется в новых строках кода в последней версии сервисов Google Play (версия 22.15.14).
Привет, ключи доступа, прощайте, пароли
Ключи доступа обеспечивают лучшую защиту, чем пароли u2013 и они надежно сохраняются в вашем аккаунте Google. <br/><a href=%1$s> Узнать больше </a>
Вам все равно придется знать пароль от своего основного аккаунта Google (или Apple ID), особенно при переходе на новое устройство, но в этом полностью реализованном будущем это означает, что это единственный пароль, который вам действительно нужно помнить.
Подобно тому, как менеджеры паролей работают с паролями, базовая платформа ОС будет «синхронизировать» криптографические ключи, принадлежащие учетным данным FIDO, между устройствами. Это означает, что безопасность и доступность синхронизированных учетных данных пользователя зависят от безопасности механизма аутентификации базовой платформы ОС (Google, Apple, Microsoft и т. д.) для их онлайн-аккаунтов, а также от метода восстановления доступа в случае утери всех (старых) устройств.
Работа над сервисами Play все еще продолжается, а для того, чтобы все это заработало, необходимо широкое внедрение сторонними разработчиками. Обнаруженная сегодня строка кода предполагает, что Google будет активно продвигать внедрение ключей доступа среди пользователей, о чем свидетельствует фраза «Привет, ключи доступа, прощайте, пароли» и изображение на обложке выше.