Протокол FIDO2 зберігає ключ автентифікації лише на пристрої користувача в автономному режимі. Тому він набагато безпечніший, надійніший і простіший у використанні.
Оновлення 2 (13.08.19 о 9:50 за східним часом): Google запускає автентифікацію FIDO2 без пароля для облікових записів Google на пристроях Android.
Оновлення 1 (07.05.19 о 13:31 за східним часом): Google має оголосив загальна доступність цієї нової функції, що дозволяє використовувати ваш телефон як ключ безпеки для двоетапної автентифікації.
Життя у світі без пароля — це майбутнє, про яке мріють багато ентузіастів технологій. Немає ETA або індикатора прогресу щодо піку розвитку цієї технології, але його поява неминуча. Паролі застарілі, їх легко забути і дуже часто небезпечні, навіть якщо ви вживаєте додаткових заходів як 2-факторна автентифікація. Як і в багатьох основних майбутніх трендах, Google також відіграє певну роль у цьому. Це не має бути трохи дивним, враховуючи, що ця компанія володіє найпопулярнішою мобільною ОС, веб-браузером і пошуковою системою. Протягом останніх кількох років Google працював над розробкою цієї технології з такими партнерами, як Microsoft та іншими технологічними гігантами. Вчора компанія зробила ще один великий крок до функції без пароля.
Альянс FIDO оголосив на Всесвітньому мобільному конгресі вчора було зазначено, що Android тепер має сертифікат FIDO2. Якщо ви раніше не чули про них, FIDO Alliance — це асоціація, яка працює над стандартами аутентифікації без пароля та визначає їх. Серед членів альянсу є Google, Facebook, GitHub, Dropbox, eBay та багато інших. Разом із партнерами з усього світу FIDO Alliance протягом останніх кількох років працює над сертифікацією FIDO2.
Крім очевидного покращення зручності та зручності використання в порівнянні зі звичайними датованими паролями, протокол FIDO2 також пропонує набагато кращий захист. Бачите, традиційно автентифікація за допомогою паролів працювала так: і користувач, і служба мали секретний ключ, який зберігався на сервері та пристрої. Під час процесу автентифікації користувач надсилає пароль на сервер, де він шифрується та перевіряється на збережений ключ. Якщо ключі збігаються, користувач отримує доступ до свого облікового запису/вмісту. Тепер у цього методу є великий недолік: ключі автентифікації зберігаються в двох різних місцях, що робить їх у 2 рази більш вразливими для атак. Дійсно, існують методи, як-от наскрізне шифрування, щоб запобігти цьому, але хакери завжди винаходять нові способи використання цих очевидних недоліків.
Протокол FIDO2 зберігає ключ автентифікації лише на пристрої користувача в автономному режимі. Тому він набагато безпечніший, надійніший і простіший у використанні. Сертифікація FIDO2 тепер доступна на всіх мобільних пристроях з ОС Android 7.0 Nougat або новішої версії. Розробники мобільних і веб-додатків уже можуть використовувати API для впровадження цієї функції у власні служби.
Оновлення 2: облікові записи Google
Google розпочав розгортання автентифікації FIDO2 без пароля для облікових записів Google на пристроях Android 7+, починаючи з сьогоднішнього дня на пристроях Pixel. Користувачі можуть використовувати відбиток пальця або метод блокування екрана замість того, щоб вводити свій пароль під час відвідування певних служб Google. Це означає, що користувач може один раз зареєструвати свій палець і використовувати його для низки рідних і веб-сервісів. Відбиток пальця ніколи не надсилається на сервери Google.
Щоб спробувати це прямо зараз, перейдіть на сторінку passwords.google.com, виберіть сайт для перегляду або керування збереженим паролем і дотримуйтесь інструкцій, щоб підтвердити свою особу.
Джерело: Google