Якщо ви втомилися від паролів і не можете дочекатися чогось простішого, то вам пощастило. Компанія Google не стоїть на місці і зараз впроваджує альтернативу паролям. У нещодавньому дописі в блозі під назвою «Початок кінця пароля» Google повідомляє, що випускає ключі-паролі. У блозі, зокрема, йдеться: “Ми почали впроваджувати підтримку ключів-паролів в облікових записах Google на всіх основних платформах. Вони стануть додатковою опцією, яку люди зможуть використовувати для входу, поряд з паролями, двоетапною перевіркою (2SV) тощо”.
Увімкнувши функцію “тільки ключ” для облікових записів Google, Google робить величезний крок назустріч майбутньому без паролів. Як частина двофакторної автентифікації, ви могли колись використовувати ключ з обліковим записом Google. Але це завжди було на додаток до пароля. Тепер для доступу до облікового запису Google можна використовувати ключ замість пароля.
Що таке ключ-пароль?
Якщо ви не знайомі з новою системою автентифікації, то ключ — це новий спосіб входу в додатки та вебсайти, який з часом може замінити паролі. Спочатку людям доводилося вводити паролі у звичайні текстові поля, а коли виникла потреба у більшій безпеці, до цих текстових полів з часом додалися автоматизація та складні стилі. Належний спосіб використання пароля сьогодні — це коли менеджер паролів вводить випадковий рядок символів у поле для введення пароля. Раніше ви просто вводили слово, яке згадували, у поле для введення пароля. Passkeys прибирає поле для введення пароля, оскільки мало хто з нас дійсно вводить свої паролі.
Passkeys використовує стандарт “WebAuthn”, щоб ваша операційна система могла безпосередньо обмінюватися парами відкритих і закритих ключів з вебсайтом для вашої верифікації. Демонстрація Google, як це може працювати на телефоні, виглядає чудово: стандартне вікно запитує ваше ім’я користувача Google, потім запитує відбиток пальця, щоб розблокувати систему ключів і увійти в систему. Пристрої користувачів вже отримують підтримку безпарольного доступу від Google. Облікові записи Google Workspace “незабаром” зможуть активувати ключі для кінцевих користувачів.
Які існують “проблеми” з ключами?
Якщо і є якісь проблеми з паролями, то одна з них — це низький попит на них. Попри те, що Google повністю присвятив себе роботі над ключами, це не означає, що вони готові до масового використання. По-перше, деякі системи (включаючи Windows, Linux і Chrome OS) не настільки розвинені, як інші (наприклад, MacOS, iOS і Android). Попереду ще багато роботи, але на офіційному сайті passkeys.dev є корисна сторінка, яка відстежує готовність платформи до використання. Було б жахливо, якби ваш обліковий запис Google Passkey заблокували в Chrome OS. Це, швидше за все, станеться, якщо ви не повернетеся до використання пароля.
Друга проблема, яка полягає в тому, що паролі синхронізуються через екосистему операційної системи, а не через браузер, вказує на значне відставання в роботі паролів і, схоже, не буде вирішена найближчим часом. Pass-ключі не працюють так само, як паролі сьогодні. Якщо ви додасте пароль до Chrome у Windows, він одразу буде видимим на будь-якому пристрої, де встановлено Chrome. Це може бути телефон Android, MacBook, iPhone, Chromebook тощо.
Паролі синхронізуються лише з усіма пристроями на одній платформі
Згідно з FIDO Alliance, паролі «синхронізуються з усіма іншими пристроями користувача, що працюють на тій самій платформі ОС».
Це означає, що якщо користувач додасть ключ до Chrome на Windows, він буде синхронізований лише з іншими операційними системами Microsoft. Це пов’язано з тим, що його буде додано до сховища ключів постачальника ОС, Microsoft. Те ж саме стосується і продуктів Apple – все буде синхронізовано, і ви не помітите змін. Для решти користувачів, які використовують Windows і Android, Android і Linux або будь-яку іншу комбінацію ОС і постачальника, процес не такий простий. Їм знадобиться QR-код і процес передачі даних за допомогою Bluetooth. Великі технологічні бренди, які контролюють ключі, не дуже зацікавлені в тому, щоб зробити їх такими ж зручними та практичними, як паролі. Це матиме величезне значення для їх масового впровадження.
Щодо проблем із синхронізацією, 1Password зазначає: «Наразі паролі на інших платформах вимагають використання пристрою з тієї ж екосистеми для автентифікації. Синхронізація з іншими операційними системами або обмін ключами вимагає нудних обхідних шляхів. Для цього потрібні слова, такі як QR-коди, що призводить до більш складного і менш безпечного досвіду».
Паролі недостатньо відкриті – iPassword
Такі програми, як 1Password, можуть отримати або не отримати запрошення на вечірку Big Tech passkey. Хоча 1Password стверджує, що є членом Альянсу FIDO, відео на сторінці, присвяченій паролям, стверджує, що паролі недостатньо відкриті. У відео сказано:
«Сьогоднішні рішення не відповідають обіцянкам відкритості та інтероперабельності. Якщо ви створюєте пароль на своєму iPhone або пристрої Android сьогодні, він стає практично в пастці. Ним нелегко поділитися, перенести на іншу платформу або синхронізувати з вашим улюбленим менеджером паролів. Ми можемо зробити краще. І саме тому ми раді показати вам, як могло б виглядати майбутнє, якби безпарольні технології були більш відкритими».
На сайті 1Password є кілька слів “могли б” і “повинні”. Але компанія працює над рішенням, яке буде готове “цього літа”. Наявність такого серйозного кросплатформного регресу в налаштуваннях за замовчуванням — а саме цим користується більшість людей — значно обмежить привабливість ключів-паролів. Навіть якщо фірмі вдасться вирішити проблему синхронізації ключів доступу, це може бути непривабливим.
