Протокол FIDO2 хранит ключ аутентификации только на устройстве пользователя в автономном режиме. Таким образом, он намного безопаснее, надежнее и проще в использовании.
Обновление 2 (13.08.19, 9:50 по восточноевропейскому времени): Google внедряет беспарольную аутентификацию FIDO2 для учетных записей Google на устройствах Android.
Обновление 1 (7 мая 2019 г., 13:31 по восточному времени): У Google есть объявлено общедоступность этой новой функции, позволяющей использовать телефон в качестве ключа безопасности для двухэтапной аутентификации.
Жизнь в мире без паролей — это будущее, о котором мечтают многие энтузиасты технологий. Не существует никакого расчетного времени прибытия или индикатора прогресса пика развития этой технологии, но ее приход неизбежен. Пароли устарели, легко забываются и очень часто небезопасны. даже если вы примете дополнительные меры например двухфакторная аутентификация. Как и во многих других будущих тенденциях, Google также играет в этой роли ведущую роль. Это не должно вызывать удивления, учитывая, что эта компания владеет самой популярной мобильной ОС, веб-браузером и поисковой системой. Google работал над разработкой этой технологии с такими партнерами, как Microsoft и другие технологические гиганты, в течение последних нескольких лет. Вчера компания сделала еще один большой шаг в направлении функции беспарольного доступа.
Альянс ФИДО объявлено Вчера на Всемирном мобильном конгрессе Android сообщил, что Android теперь сертифицирован FIDO2. Если вы еще не слышали о них, FIDO Alliance — это ассоциация, которая работает и определяет стандарты аутентификации без пароля. Некоторые из членов альянса — Google, Facebook, GitHub, Dropbox, eBay и многие другие. Вместе с партнерами со всего мира FIDO Alliance работает над сертификацией FIDO2 в течение последних нескольких лет.
Помимо очевидных улучшений удобства и удобства использования по сравнению с обычными датированными паролями, протокол FIDO2 также обеспечивает гораздо лучшую безопасность. Видите ли, традиционно аутентификация по паролям работала так: и у пользователя, и у сервиса был секретный ключ, хранящийся на сервере и на устройстве. В процессе аутентификации пользователь отправляет пароль на сервер, где он шифруется и сверяется с сохраненным ключом. Если ключи совпадают, пользователь получает доступ к своей учетной записи/контенту. У этого метода есть большой недостаток: ключи аутентификации хранятся в двух разных местах, что делает их в 2 раза более уязвимыми для атак. Да, существуют методы, такие как сквозное шифрование, чтобы предотвратить их, но хакеры всегда придумывают новые способы использования этих очевидных недостатков.
Протокол FIDO2 хранит ключ аутентификации только на устройстве пользователя в офлайн-режиме. Таким образом, он намного безопаснее, надежнее и проще в использовании. Сертификация FIDO2 теперь доступна на всех мобильных устройствах под управлением Android 7.0 Nougat или более поздней версии. Разработчики мобильных и веб-приложений уже могут использовать API для реализации этой функции в своих собственных сервисах.
Обновление 2: Аккаунты Google
Google начала внедрение беспарольной аутентификации FIDO2 для учетных записей Google на устройствах Android 7+, начиная с сегодняшнего дня с устройств Pixel. Пользователи могут использовать отпечаток пальца или метод блокировки экрана вместо ввода пароля при посещении определенных сервисов Google. Это означает, что пользователь может один раз зарегистрировать свой палец и использовать его для множества собственных и веб-сервисов. Отпечаток пальца никогда не отправляется на серверы Google.
Чтобы попробовать это прямо сейчас, перейдите по ссылке пароли.google.com, выберите сайт для просмотра или управления сохраненным паролем и следуйте инструкциям, чтобы подтвердить свою личность.
Источник: Google