Вслед за нашим отчётом в прошлом месяце, Google сегодня объявила о своей поддержке «стандартов беспарольного входа FIDO» и продемонстрировала, как будет выглядеть пользовательский опыт использования ключей доступа на Android и Chrome.
Последнее десятилетие или около того Google работает над заменой паролей из-за низкой парольной гигиены пользователей (т. е. повторного использования учётных данных в разных сервисах), уязвимости к утечкам данных и фишинговым атакам.
Сегодня, в честь Всемирного дня пароля, мы объявляем о важном этапе на этом пути: в течение следующего года все основные платформы устройств обязались встроить поддержку стандартов беспарольного входа FIDO. Мы планируем реализовать беспарольную поддержку в Android и Chrome.
Apple (iOS, macOS, Safari) и Microsoft (Windows, Edge) также поддерживают новые стандарты, тем самым упрощая «вход в систему на разных устройствах, веб-сайтах и в приложениях независимо от платформы — без необходимости использовать единый пароль».
Как будут работать ключи доступа на Android и Chrome
Ваш Android-смартфон будет хранить «ключ доступа», который используется для разблокировки онлайн-аккаунта (в Google Chrome). Вместо ввода пароля для входа на сайт или в приложение, вы просто разблокируете свое мобильное устройство. Ключи доступа синхронизируются с облаком (аккаунтом Google) и переносятся при получении нового телефона или в случае утери старого.
Ключ доступа делает вход в систему намного безопаснее, поскольку он основан на криптографии с открытым ключом и показывается вашему онлайн-аккаунту только тогда, когда вы разблокируете телефон.
На настольных компьютерах при первом входе потребуется, чтобы ваш телефон находился поблизости для аутентификации. Впоследствии для входа нужно будет просто разблокировать ваш ПК.
Это беспарольное будущее делает очень сильный акцент на вашем телефоне и аккаунте Google. Сегодня нам сообщили, что ключи доступа будут работать на устройствах под управлением Android 9 и новее, при этом мы уже заметили, как сервисы Google Play готовят поддержку. Между тем, вход в ваш аккаунт Google по-прежнему будет включать два уровня/фактора безопасности и аутентификации:
Можно ожидать, что аккаунты Google предложат способ входа, который надёжно сочетает в себе «то, что пользователь знает» и «то, чем пользователь владеет». Например, вместо пароля пользователи смогут использовать код разблокировки с предыдущего устройства. «Тем, чем пользователь владеет» может быть зарегистрированный номер телефона пользователя (с использованием новых методов, а не только SMS) или ключ безопасности (Security Key).
Сампат Шринивас, директор по управлению продуктами, безопасная аутентификация, Google и президент FIDO Alliance
Говоря о ключах безопасности, в целом будет по-прежнему сохраняться поддержка «устойчивого к фишингу варианта для пользователей, которые не хотят использовать свой телефон для входа в систему».
Когда можно будет использовать ключи доступа
Об этой общеотраслевой поддержке было объявлено во Всемирный день пароля, а полная реализация производителями ОС, онлайн-сервисами/веб-сайтами и приложениями ожидается в течение 2022 и 2023 годов.
Мы с нетерпением ждём будущего с ключами доступа. Тем не менее, мы понимаем, что потребуется время, чтобы эта технология стала доступна на всех устройствах, а разработчики веб-сайтов и приложений смогли ею воспользоваться. Пароли останутся частью нашей жизни во время этого переходного периода, поэтому мы по-прежнему будем стремиться делать обычные входы в систему безопаснее и проще с помощью наших существующих продуктов и постоянных инноваций.