Google додає ключі доступу до Android і Google Chrome відповідно до стандартів FIDO. Перевірте, що це означає тут!
Паролі, хоч і зручні, за своєю суттю мають недоліки в тому, як ними можна зловживати. Якщо хтось дізнається ваш пароль, єдиний фактор автентифікації, він часто може отримати доступ до ваших онлайн-акаунтів. Ось чому у нас є двофакторна автентифікація, яка поєднує те, що ви знаєте, з тим, що у вас є, наприклад ваш смартфон. Однак, якщо ви використовуєте щось на кшталт SMS-коду, хтось теоретично може підробити ваш номер телефону та отримати цей код. Це не зовсім безпечно, і існує кілька потенційних точок входу для потенційного зловмисника. Ось чому ключі доступу, які Google оголосив, що приносить як для Android, так і для Google Chrome, важливі.
На початку цього року Apple, Google і Microsoft оголосили що вони приймуть стандарт FIDO для ключів доступу на всіх основних платформах до наступного року. Це зробить вхід без пароля більш поширеним в Інтернеті. Як це працює дуже просто — на Android він перетворить ваш смартфон на ключ доступу, який можна використовувати для входу на веб-сайт. Ці ключі доступу потім синхронізуються через Менеджер паролів Google для легкого доступу на ваших пристроях і комп’ютері. Хоча він розпочнеться з підтримки лише веб-сайтів, ідея полягає в тому, що розробники зможуть це реалізувати їхні програми та навіть підтримують ключі доступу, які, можливо, вже використовувалися для входу в ту саму службу в обліковому записі користувача браузер.
Якщо ви турбуєтеся про прив’язаність екосистеми, Google запевнив користувачів, що цього не буде, оскільки вони створені за галузевими стандартами. Ключі доступу не залежать від платформи, тобто ви можете навіть увійти до служб, які підтримують ключі доступу, використовуючи Mac під керуванням Safari. Вам буде запропоновано QR-код, який ви відскануєте на своєму смартфоні Android. Те ж саме працюватиме з паролем, збереженим на iPhone, для входу в служби Google Chrome.
Ключі доступу роблять це так, що без ключа, який зберігається у вашому обліковому записі або на вашому телефоні, хтось не зможе увійти до жодного з ваших облікових записів в Інтернеті, як би вони не намагалися. Немає номера телефону, щоб підробити, нічого вкрасти (якщо вони не вкрадуть ваш телефон і увійдіть у нього), і немає пароля для злому. Вони просто не зможуть увійти, якщо не зможуть переконати постачальника послуг надати їм це доступ – у цьому випадку це завжди була вразлива точка входу для будь-якого облікового запису, який ви використовували все одно.
Якщо ви хочете спробувати, розробники можуть зареєструватися в Бета-версія служб Google Play і використовувати Chrome Canary, оскільки стабільний випуск очікується пізніше цього року. API WebAuthn можна застосувати на веб-сайтах для сумісності з ключами доступу в Google Chrome, Android та інших платформах. Пізніше цього року також очікується випуск API для власних додатків Android.
Джерело: Google