Пароли не нужны (или пара слов о ключах и двухфакторке)
Пароли небезопасны и крайне неудобны, как и многое, придуманное на заре Интернета.
Их минусы очевидны:
- Возможно подобрать.
- Возможно слить.
- Возможно перехватить с помощью фишинга.
- Сложно запоминать, придумывать и безопасно хранить.
И в Интернете будущего паролям явно нет места. Сейчас их недостатки пытаются компенсировать различными вторыми факторами, от PUSH/SMS уведомлений до генераторов одноразовых кодов. Но все понимают, что SMS это не очень безопасно, PUSH уже лучше, но не всегда надежно, а генераторы кодов неудобны для пользователей. Будущее за более эргономичной и надежной технологией – WebAuthn.
Технология проста и позволяет веб-приложениям использовать криптографические электронные ключи. Их реализация может быть разной, от специального устройства – токена, вставляемого в порт, до специального хранилища вашего смартфона/ПК. В последнем случае разблокировка смартфона/ПК с помощью лица/пальца/кода даст доступ к хранилищу ключей.
Все, больше вам ничего не нужно для входа. Только ключ, который будет одноразово привязан к вашим сервисам. Этот ключ:
- Не подобрать.
- Не утечет, т.к. нигде не хранится, кроме вашего устройства.
- Не перехватить, т.к. он привязан к конкретному источнику.
- Нужно только надежно хранить.
Буквально на днях эту технологию, представленную в виде сервиса Passkeys, стал поддерживать по умолчанию Google Chrome.
Эра безопасности веб-приложений без паролей стала гораздо ближе!
Подробнее почитать про это можно тут.
Потестировать тут.
А почитать как внедряли подобное Mail.ru тут. Там же в конце есть ответы на самые популярные вопросы!
Пароли небезопасны и крайне неудобны, как и многое, придуманное на заре Интернета.
Их минусы очевидны:
- Возможно подобрать.
- Возможно слить.
- Возможно перехватить с помощью фишинга.
- Сложно запоминать, придумывать и безопасно хранить.
И в Интернете будущего паролям явно нет места. Сейчас их недостатки пытаются компенсировать различными вторыми факторами, от PUSH/SMS уведомлений до генераторов одноразовых кодов. Но все понимают, что SMS это не очень безопасно, PUSH уже лучше, но не всегда надежно, а генераторы кодов неудобны для пользователей. Будущее за более эргономичной и надежной технологией – WebAuthn.
Технология проста и позволяет веб-приложениям использовать криптографические электронные ключи. Их реализация может быть разной, от специального устройства – токена, вставляемого в порт, до специального хранилища вашего смартфона/ПК. В последнем случае разблокировка смартфона/ПК с помощью лица/пальца/кода даст доступ к хранилищу ключей.
Все, больше вам ничего не нужно для входа. Только ключ, который будет одноразово привязан к вашим сервисам. Этот ключ:
- Не подобрать.
- Не утечет, т.к. нигде не хранится, кроме вашего устройства.
- Не перехватить, т.к. он привязан к конкретному источнику.
- Нужно только надежно хранить.
Буквально на днях эту технологию, представленную в виде сервиса Passkeys, стал поддерживать по умолчанию Google Chrome.
Эра безопасности веб-приложений без паролей стала гораздо ближе!
Подробнее почитать про это можно тут.
Потестировать тут.
А почитать как внедряли подобное Mail.ru тут. Там же в конце есть ответы на самые популярные вопросы!