| 31 декабря 2024 г. — 5:47 PT
Я утверждаю, что пароли — это ужасно уже почти десять лет, и был восторженным ранним пользователем гораздо лучшего подхода — passkeys.
Passkeys должны были достичь святого Грааля — подхода, который одновременно более безопасен, чем пароли, и настолько прост в использовании, что все бы их приняли. Но новая статья освещает четыре проблемы с этой технологией…
Passkeys безопаснее паролей
Пароли имеют ряд проблем с безопасностью:
- Веб-сайты могут знать их, даже если они предположительно зашифрованы
- Нетехнические пользователи склонны повторно использовать пароли, поэтому утечки данных крайне проблематичны
- Пароли уязвимы для фишинговых атак
Passkeys решают все это. Вместо того, чтобы запрашивать ваше имя пользователя и пароль при входе, вас просят использовать passkey. В этой системе веб-сайт или приложение просит ваше устройство аутентифицировать вас, используя Face ID или Touch ID. Устройство сообщает веб-сайту, кто вы, и что оно подтвердило вашу личность.
Веб-сервер доверяет вашему устройству аутентифицировать вас точно так же, как платежные терминалы доверяют вашему iPhone или Apple Watch для транзакций Apple Pay — потому что он знает, что вы прошли локальную аутентификацию с помощью биометрии.
Теоретически, passkeys гораздо проще
При создании учетной записи нам должны предложить использовать passkey, и все, что нам нужно сделать, это согласиться. Ваше устройство аутентифицирует вас, и сервис создает вашу учетную запись. Чтобы войти в следующий раз, вы просто используете Face ID или Touch ID, и вы в системе.
Но есть четыре большие проблемы
Если вы используете только устройства Apple и браузер Safari на всех них, то passkeys близки к тому, чтобы быть настолько простыми. Синхронизация iCloud означает, что учетная запись, созданная на одном устройстве Apple, будет доступна на всех ваших других устройствах.
Но, как отмечает Arstechnica, существует множество ситуаций, когда реальность сильно отличается от обещаний, начиная с непоследовательного пользовательского опыта.
Опыт входа в PayPal с помощью passkey на Windows будет отличаться от входа на тот же сайт на iOS или даже от входа с помощью Edge на Android. И забудьте о попытке использовать passkey для входа в PayPal в Firefox. Платежный сайт не поддерживает этот браузер ни на одной ОС.
Хуже того, passkeys привязаны к конкретным браузерам.
Другой пример: я создал passkey для своей учетной записи LinkedIn в Firefox. Поскольку я использую множество браузеров на разных платформах, я решил синхронизировать passkey с помощью своего менеджера паролей 1Password. Теоретически, этот выбор позволяет мне автоматически использовать этот passkey везде, где у меня есть доступ к моей учетной записи 1Password, что в противном случае невозможно. Но это не так просто. Когда я смотрю на passkey в настройках LinkedIn, он отображается как созданный для Firefox на Mac OS X 10, хотя он работает во всех браузерах и ОС, которые я использую.
Третья проблема заключается в том, что такие компании, как Google и Apple, могут почти заставить вас использовать их собственные системы управления passkey, даже если у вас есть другие предпочтения, а иногда и когда у вас уже настроен passkey.
Я просто хочу открыть LinkedIn, используя passkey, который синхронизируется 1Password на все мои устройства. Каким-то образом таинственная сущность, ответственная за это сообщение (в данном случае это Google), перехватила процесс, пытаясь убедить меня использовать свою платформу.
Кроме того, рассмотрите опыт работы с WebAuthn.io, сайтом, демонстрирующим, как стандарт работает в различных сценариях. Когда пользователь хочет зарегистрировать физический ключ безопасности для входа в macOS, он получает диалоговое окно, которое предлагает вместо этого использовать passkey и синхронизировать его через iCloud.
Наконец, существует тот факт, что, хотя вся суть passkeys заключается в отказе от уязвимостей безопасности, созданных паролями, практически каждая служба заставляет вас также создавать вход по паролю.
Из сотен сайтов, поддерживающих passkeys, нет ни одного, который, насколько мне известно, позволяет пользователям полностью отказаться от пароля. Пароль по-прежнему обязателен […] Злоумышленники разработают взломы и атаки социальной инженерии, которые будут использовать этот недостаток. Тогда мы вернемся туда, где были раньше.
Полная статья стоит прочтения.
Фото: TheRegisti на Unsplash