Поделиться
Пользователей стали пускать без пароля в YouTube, Gmail и Google Docs
В учетной записи Google теперь можно настроить вход без пароля – при помощи биометрии или PIN-кода – так, по мнению специалистов компании, безопаснее. Технологию, получившую название Passkey, помимо Google, продвигают Apple и Microsoft.Беспарольный вход в сервисы Google
Google объявила о всеобщей доступности нового способа входа в учетную запись, который не предусматривает ввод пароля пользователем. Аутентификация осуществляется при помощи специального токена или ключа доступа (Passkey), который хранится на одном или нескольких устройствах владельца аккаунта Google.
Другими словами, чтобы воспользоваться видеохостингом YouTube, почтой Gmail, онлайн-офисом «Документы Google» (Google Docs) или другими сервисами Google на своем персональном компьютере, пользователю будет достаточно разблокировать свой смартфон при помощи отпечатка пальца, снимка лица или ввода PIN-кода и нажать на всплывающее уведомление. В некоторых ситуациях потребуется включенный Bluetooth.
В Google уверены, что такой подход к аутентификации пользователя обеспечивает значительно более высокую устойчивость к фишингу по сравнению с традиционным, даже при применении второго фактора защиты (2FA).
Новая возможность доступна частным пользователям сервисов Google с 3 мая 2023 г. Администраторы Google Workspace получат возможность настраивать Passkey для сотрудников организации несколько позже, сообщает Google.
В компании подчеркивают, что отказываться от уже существующих способов аутентификации не пока не планируют. Тем не менее новшество называют не иначе как «большим шагом в "беспарольное будущее"».
Как включить беспарольный вход
Включить беспарольный вход в сервисы Google можно в настройках учетной записи (myaccount.google.com) – для этого следует активировать переключатель «По возможности не запрашивать пароль», предварительно создав хотя бы один ключ доступа.
Ключи доступа создаются в разделе «Безопасность»->«Вход в Google»->«Ключи доступа». Как отмечают в Google, на соответствующей странице пользователь может обнаружить автоматически сгенерированные ключи, если у него есть Android-смартфон, привязанный к данной учетной записи.
Инициатива FIDO Alliance и W3C
Инициатива по широкомасштабному продвижению технологии беспарольной аутентификации принадлежит организации FIDO Alliance, в состав которой входит ряд значимых участников рынка информационных технологий, в том числе Apple, Google и Microsoft, а также Консорциуму Всемирной паутины (W3C).
Тройка американских ИТ-гигантов объявила о переходе на новую технологию аутентификации почти год назад – в мае 2022 г. Необходимость внедрения новшества компании объяснили соображениями безопасности.
Продвигаемую альянсом технологию уже внедрили такие онлайн-сервисы как Docusign, eBay, Kayak, PayPal, Shopify, Yahoo! Japan. Всего в реестре поддерживающих технологию сервисов Passkey.directory значится 41 участник.
Технологию ключей доступа поддерживают операционные системы Microsoft Windows 10 и 11, Apple macOS Ventura и iOS 16, а также Android.
Чем это лучше парольной защиты
При создании Passkey генерируется два ключа – публичный (открытый) и приватный (закрытый). Первый размещается на сервере веб-ресурса, который обеспечивает аутентификацию пользователей; последний хранится на устройстве пользователя в зашифрованном виде и содержит необходимую для получения доступа к пользовательскому аккаунту, отмечает TechSpot. Получение доступа к одному лишь публичному ключу не позволяет злоумышленнику войти в чужой аккаунт.
Возможность войти в учетную запись имеет только человек, способный разблокировать привязанное к ней устройство-аутентификатор, поэтому Google предупреждает о недопустимости применения новой технологии на девайсах, к которым имеет доступ сразу несколько пользователей.
Ключ доступа невозможно случайно выдать злоумышленнику, действующему методами социального инженерии, к примеру, через фишинговые формы в интернете или электронные письма. Наконец, passkey обеспечивает некоторую защиту от популярной в среде киберпреступников техники подмены SIM-карты.
В отличие от пароля, ключ доступа не нужно запоминать или записывать, чтобы не забыть в дальнейшем. Для создания и централизованного хранения сложных паролей существуют специальные сервисы, однако, как показывает практика, не следует переоценивать надежность и защищенность таких инструментов. Так, в декабре 2022 г. CNews писал о хакерской атаке на менеджер паролей LastPass с аудиторией в 30 млн человек, в результате которой злоумышленникам удалось получить доступ к данным пользователей.
В случае утраты гаджета, используемого для беспарольной аутентификации, привязанные к нему ключи доступа можно удалить в настройках безопасности учетной записи Google, тем самым лишив нашедшего устройство возможности войти в чужой аккаунт.
Короткая ссылка
