Комментарии 7
А если старое устройство которым больше не пользуешься, но которое осталось доверенным (ну, как пользователи ставят слабые пароли, так пользователи врядли будут "сбрасывать" устройства) попадёт в руки злоумышленника? Ну, выкинул человек телефон, например.
А если по какой-то причине ты окажешься разлогиненным на ВСЕХ устройствах? Ну, например, сгорел у тебя дом, и все устройства залогиненные в нём. Как дальше-то, без пароля? Пароль хотя бы вспомнить в теории можно.
Ну, выкинул человек телефон, например.
Примерно также, как если пароль сохранен в Chrome на этом же устройстве. Это не проблема решаемая стандартом. Но как минимум я не вижу тут ухудшения
А если по какой-то причине ты окажешься разлогиненным на ВСЕХ устройствах?
Для гугла же пока нельзя установить passkey не имея альтернативного способа аутентификации? Установка passkey его не отбирает. Кроме того FIDO явно рекомендует использовать как минимум 2 разных токена, на случай утраты одного из них (использовать несколько passkey-совместимых устройств - не запрещено). Ну и passkey приносит синхронизацию внутри платформы, но я не интересовался как оно там реализовано
Люди на самом деле не так часто пользуются встроенными сохранялками паролей, особенно те кто хоть чуть заботится о своей безопасности. А тут безальтернативный метод - ты ДОЛЖЕН привязывать хоть что-то. Гораздо проще не вбивать пароль и не запоминать его, чем разбираться как отвязать и ещё и помнить о том, что к этому устройству куча всего привязано (и отчаянно пытаться вспомнить, что же именно и на каких сайтах надо отвязку делать). Так что ухудшение тут есть.
Насчёт того что гугл пока не делает этот метод безальтернативным - вся статья пропитана тезисом, что именно что нужен отказ от парольной системы чтобы оно работало как задумано. Что делать, когда такую систему можно будет установить как единственный (либо строго обязательный второй) фактор? Что делать, когда установка его в таком режиме станет обязательной?
Вы можете сказать что "ну есть механизмы восстановления вторых факторов, так же делать" - да, есть, но чаще всего они завязаны, например, на доступ к эмейлу. Но тут-то мы говорим про гугл. А гугл - это гмейл, и гмейл может быть единственным эмейлом человека, где у него... Все коды восстановления и остались. Достучаться до которых он уже не сможет.
А тут безальтернативный метод - ты ДОЛЖЕН
Passkey хоть и является наиболее доверенным, из доступных - все еще не является обязательным. Да и современные мобильные устройства имеют неплохой уровень защиты
Так что ухудшение тут есть
Все еще не вижу, мы сначала говорим про тех кто заботится о безопасности - эти точно не продадут устройство без сброса до заводских. А потом говорим про «отчаянно пытаться вспомнить». Предлагаю альтернативу, физический FIDO2 токен, а лучше 2, и не терять его, продавать его не имеет смысла
Что делать, когда такую систему можно будет установить как единственный <…> фактор
Это предусмотренный режим, никто, правда, особо не спешит такое поддерживать
либо строго обязательный второй фактор
Уж точно не ухудшение безопасности, а наоборот закручивание гаек сопряженное с неудобствами. Но да, честный «второй» фактор, ибо к фактору «знания» добавится фактор «владения».
Так а где минусы по отношению к паролю, который может быть простым, или может быть похищен кейлогером? При этом этот способ не подвержен атакам со стороны нечистоплотного поставщика услуг, как например смс
Рассматривай passkey как своеобразный вариант аппаратного токена, проводящего аутентификацию через клиентский сертификат, со всеми вытекающими минусами и плюсами
А я говорю не столько про ухудшение безопасности, сколько про возможность "пролюбить" свою учётку с концами, без возможности попасть в неё. Безопасность, конечно, выше, но какой толк, если риск того, что ты учётку теряешь, резко повышается - и неважно, причина увод твоей учётки злоумышленником, или жизненные обстоятельства.
Пароль всегда есть надежда вспомнить. Пролюбленные устройства уже не восстановить.
Как дальше-то, без пароля?
Мое ИМХО, что это будет как с внедрением IPv6 в широкий быт, лет через 20, может пароли и исчезнут.(нет)
Security Week 2342: беспарольный вход по умолчанию в сервисах Google