Я утверждаю, что пароли ужасны уже большую часть десятилетия, и был одним из первых, кто с энтузиазмом принял гораздо лучший подход — ключи доступа.
Ключи доступа должны были стать Святым Граалем подхода, который одновременно более безопасен, чем пароли, и настолько прост в использовании, что их примет каждый. Но в новой статье обозначены четыре проблемы, связанные с технологией…
Ключи доступа более безопасны, чем пароли
Пароли имеют ряд проблем с безопасностью:
- Веб-сайты могут знать их, даже если они предположительно зашифрованы.
- Нетехнические специалисты склонны повторно использовать пароли, поэтому утечка данных чрезвычайно проблематична.
- Пароли уязвимы для фишинговых атак
Ключи доступа решают все это. Вместо того, чтобы при входе в систему запрашивать имя пользователя и пароль, нам предлагается использовать пароль. С помощью этой системы веб-сайт или приложение запрашивает наше устройство для аутентификации нас с помощью Face ID или Touch ID. Устройство сообщает веб-сайту, кто мы такие, и подтверждает нашу личность.
Веб-сервер доверяет вашему устройству вашу аутентификацию точно так же, как платежные терминалы доверяют вашему iPhone или Apple Watch для транзакций Apple Pay, поскольку он знает, что вы прошли локальную аутентификацию с использованием биометрических данных.
Теоретически ключи доступа намного проще.
Когда мы создаем учетную запись, нам должна быть предложена возможность использования пароля, и все, что нам нужно сделать, это согласиться. Наше устройство аутентифицирует нас, и сервис создает нашу учетную запись. Чтобы войти в систему в следующий раз, мы просто используем Face ID или Touch ID, и мы в системе.
Но есть четыре большие проблемы
Если вы используете только устройства Apple и используете Safari в качестве веб-браузера на всех из них, то ключи доступа будут закрывать быть таким простым. Синхронизация iCloud означает, что учетная запись, созданная на одном устройстве Apple, будет доступна на всех остальных.
Но как Арстехника указывает, что существуют много ситуаций, когда реальность сильно отличается от обещанного, начиная с противоречивого пользовательского опыта.
Опыт входа в PayPal с паролем в Windows будет отличаться от входа на тот же сайт в iOS или даже входа в него с помощью Edge на Android. И забудьте о попытках использовать пароль для входа в PayPal в Firefox. Платежный сайт не поддерживает этот браузер ни на одной ОС.
Хуже того, ключи доступа привязаны к конкретным браузерам.
Другой пример: я создаю пароль для своей учетной записи LinkedIn в Firefox. Поскольку я использую широкий спектр браузеров на платформах, я решил синхронизировать ключ доступа с помощью моего менеджера паролей 1Password. Теоретически этот выбор позволяет мне автоматически использовать этот ключ доступа везде, где у меня есть доступ к моей учетной записи 1Password, что в противном случае невозможно. Но не все так просто. Когда я смотрю на пароль в настройках LinkedIn, он отображается как созданный для Firefox в Mac OS X 10, хотя он работает во всех браузерах и операционных системах, которые я использую.
Третья проблема заключается в том, что такие компании, как Google и Apple, могут быть близки к тому, чтобы заставить вас использовать свои собственные системы управления ключами доступа, даже если у вас другие предпочтения, а иногда и когда у вас уже настроен ключ доступа.
Я просто хочу открыть LinkedIn, используя ключ доступа, который 1Password синхронизирует со всеми моими устройствами. Каким-то образом загадочная сущность, ответственная за это сообщение (в данном случае Google), захватила процесс, пытаясь убедить меня использовать его платформу.
Также рассмотрим опыт WebAuthn.io, сайта, который демонстрирует, как стандарт работает в различных сценариях. Когда пользователь хочет зарегистрировать физический ключ безопасности для входа в macOS, он получает диалоговое окно, предлагающее вместо этого использовать ключ доступа и синхронизировать его через iCloud.
Наконец, есть тот факт, что, хотя весь смысл ключей доступа состоит в том, чтобы устранить дыры в безопасности, созданные паролями, почти каждый сервис заставляет вас также создавать пароль для входа.
Из сотен сайтов, поддерживающих ключи доступа, я не знаю ни одного, который позволял бы пользователям полностью отказаться от своего пароля. Пароль по-прежнему обязателен […] Злоумышленники будут разрабатывать хакерские атаки и атаки с использованием социальной инженерии, использующие этот недостаток. Тогда мы снова оказываемся там, где были раньше.
Полную версию стоит прочитать.
Фото TheRegisti на Unsplash
Ключи доступа должны были быть безопасными и простыми; вот как они терпят неудачу