Недавно Массачусетский технологический институт (MIT) назвал отказ от паролей одним из ключевых трендов 2022 года наряду с одобрением вакцины от малярии и применением искусственного интеллекта для создания структуры белка. Иронично, что классические пароли в начале 1960-х придумал ныне покойный профессор MIT Фернандо Хосе Корбато, который в то время участвовал в создании операционной системы UNIX (предтечи Linux и даже macOS). Решая задачу совместного доступа к компьютеру нескольких пользователей, он применил идею «тщательно охраняемой секретной комбинации».

С широким распространением компьютеров, а позже и с появлением интернета эта концепция стала доминирующей для обеспечения безопасности. Настолько, что в мире ежегодно каждый первый четверг мая празднуется Международный день пароля. Но вопросы к ним оставались всегда.

Эксперты говорят, что вход с помощью пароля сейчас — одна из главных угроз безопасности в интернете. Пароли можно украсть, взломать и даже угадать, пишет MIT, тогда как аналитическая фирма Gartner уточняет, что 89% всех взломов приложений и сайтов вызваны именно наличием пароля как системы защиты данных.

Важная часть проблемы заключается в том, что пользователи выбирают очень простые пароли (например, набором «123456» пользуется 23 миллиона человек в мире), при этом более 50% из них используют одну и ту же комбинацию для разных сервисов: рабочих и личных. Программы для управления паролями вроде 1Password и Bitwarden могут частично решить проблему, но это полумера, как и двухфакторная аутентификация, которая, несмотря на повышенную защиту, обременительна для пользователей.

Так, в реалиях 2022 года пароль должен состоять минимум из 11 знаков и содержать буквы в верхнем (A-Z) и нижнем регистре (a-z), цифры (0−9) и специальные символы (вроде !, #, $) одновременно, иначе взломать его методом подбора можно почти мгновенно. Таких паролей нужны десятки — по числу сервисов, которые хранят данные. Но даже такая щепетильность не защитит от фишинговых атак — когда мошенники направляют пользователя на поддельный сайт, где воруют его пароль, каким бы сложным он ни был.

Неочевидное последствие сложных паролей — ущерб для бизнеса (а глобально — для экономики отдельных стран). Опросы показывают, что до 60% потребителей готовы отказаться от покупки на сайте, если забывают от него пароль, а 92% респондентов скорее покинут сервис, чем будут восстанавливать учетную запись. Это подпадает под понятие упущенной выгоды, не говоря о миллионах ущерба, которые наносят хакеры, ворующие данные. По информации Atlas VPN, в 2021 году было скомпрометировано около 6 миллиардов аккаунтов в интернете.

5 мая 2022 года (в тот самый Международный день пароля) три монополиста, операционные системы которых охватывают 96% телефонов и компьютеров на планете: Apple, Google и Microsoft — объявили, что в следующем году начнут внедрять авторизацию полностью без пароля. По сути это означает начало глобального отказа от паролей, и начнется он не с малоизвестных приложений, а с Windows, macOS, Android, iOS, Chrome, Edge и Safari.

Как отмечают руководители корпораций в комментариях The Verge, новая система обеспечит лучшую безопасность данных, избавив пользователей от необходимости запоминать десятки буквенных комбинаций. При этом фишинговые атаки будет гораздо сложнее организовать.

Google в своем блоге объясняет, что основным способом авторизации станет ваш смартфон — при входе на сайт (или в учетную запись) нужно будет разблокировать его одним из принятых способов, чтобы подтвердить личность:

Технология работает на базе криптографических ключей доступа FIDO2, которые уже встроены во все современные смартфоны. Ее продвигает одноименный альянс Fast Identity Online Alliance, включающий сотни известных компаний: от PayPal и Lenovo до Samsung и Apple. Он же разработал близкую по духу спецификацию U2F, за счет которой работает двухфакторная аутентификация — когда кроме пароля нужен «второй фактор» подтверждения личности (скажем, код из SMS).

У спецификации FIDO2 много преимуществ:

Но у технологии есть и существенный минус — сейчас сопоставление ключей на телефоне и втором устройстве (например, на компьютере при входе в аккаунт YouTube) проходит только по Bluetooth- или NFC-соединению (или с помощью USB, если использовать специальные ключи-флешки). Следовательно, ПК (или планшеты / ноутбуки) тоже должны поддерживать эти соединения.

FIDO2 можно считать развитием U2F, но даже эта технология не совсем новая. Google говорит, что альянс работал над ней более 10 лет (и одним из ее двигателей была защита людей, для которых безопасность данных особенно важна: журналистов, политиков, активистов, госслужащих, руководителей бизнеса и так далее). Так, она уже больше года доступна на смартфонах под управлением ОС Android версии 7.0 и выше, ее можно использовать на устройствах с Chrome OS, iOS, macOS и Windows.

Оценить работу FIDO2 (пока в усеченном виде — как элемент двухфакторной аутентификации) можно с помощью Android-смартфона при входе в Google на втором устройстве: компьютере или планшете. Чтобы настроить аутентификацию без пароля:

В некоторых смартфонах ключи доступа FIDO2 можно подключить еще быстрее в настройках телефона (а не только аккаунта Google). Например, в моделях Huawei это делается через шторку быстрого доступа — там есть соответствующая иконка. После активации текст на экране уведомит, что устройство будет определяться как защитный ключ автоматически:

Для глобального беспарольного доступа нужно, чтобы технология FIDO2 работала не только на смартфонах, но и на сайтах, где пользователь хочет авторизоваться. Их число растет с каждым годом. Уже сейчас стандарт поддерживают (помимо Google, Apple и Microsoft) платформы GitHub, Twitter, Coinbase, eBay, Oracle и еще пара десятков (актуальный список здесь). Классические пароли, конечно, тоже останутся и просуществуют еще не один десяток лет. Но на волне роста интереса самих пользователей к безопасности данных они все-таки должны стать пережитком.