Комментарии 14
в случае потери телефона токен можно перенести на новое устройство из облака.
\begin{irony}
Максимально безопасно
\end{irony}
Вот веселуха начнётся когда "особо продвинутые" сервисы будут делать это единственно возможным вариантом авторизации.
Ну и хорошо было бы давать ссылку (например эту), поясняющую желающим, что речь далеко не только о телефонах, а также далеко не только об упомянутых в статье (новости?) компаниях и продуктах.
То есть, при отсутствии сотовой сети (в лесу, в горах, вдали от цивилизации) нельзя будет включить ноутбук?
Это же про авторизацию в интернет-сервисах. На самих устройствах авторизация "без пароля" и так работает много лет как.
На винде то? Зашел в безопаску, сделал cmd на логинскрине и создал новую учетку ;D
По сути, это эмуляция аппаратного ключа типа YubiKey. Покупать ключ пользователь не хочет, а вот смартфон у пользователя очень часто уже есть.
Сейчас типичная двухфакторная авторизация выглядит так: сначала я ввожу логин и пароль (первый этап), затем разблокирую смартфон (промежуточный этап), затем генерирую код OTP-приложением на смартфоне (второй этап). Проблема в том, что:
— постоянный пароль и одноразовый код подвержены фишинговым атакам
— это существенная трата времени (ввести пароль, разблокировать смартфон, запустить приложение, иногда ещё и разблокировать вход в приложение, прочитать код, ввести код). Это, блин, банально долго, причём, заметную часть этого процесса занимают действия, с безопасностью не связанные (запуск приложения, считывание глазами кода, запоминание его в уме, ввод)
Что если можно как-то ускорить этот процесс, не снижая стойкость защиты?
Предлагаемая схема решает обе проблемы, убирая пароль вовсе. При этом, авторизация остаётся двухфакторной:
— у меня есть то, что я знаю (пин-код разблокировки смартфона)
— у меня есть то, что я имею (смартфон)
Причём, уже были попытки это упростить. Например, когда вы входите в учётку Google, то вам достаточно разблокировать свой Android-смартфон с сервисами гугла и нажать кнопку «да, это я». А теперь будет ещё чуть быстрее и удобнее: во-первых, кнопку нажимать не нужно, во-вторых, сервисы гугла не нужны (и они не у всех есть), в третьих, это сможет работать с любым ресурсом, поддерживающим FIDO, а не только с ресурсами гугла.
FIDO отбрасывает первый фактор из "что я знаю", "что у меня есть" и "кто я". С одной стороны, избавляют от записанных на бумажках и менеджеров паролей в угоду массового сбора биометрии. Сброс кредов усложнится.
Кто я? Человек с вот таким отпечатком пальца.
Что у меня есть? Доверенное устройство.
Если вас не устраивает биометрия, то не используйте её, разблокируйте смартфон кодом, как и раньше.
достаточно будет разблокировать его с помощью биометрических данных, PIN-кода или графического ключа.
Я, например, не использую биометрию, поскольку «человека можно оглушить, напоить, усыпить… наконец, с трупа», но это же не значит, что у меня смартфон не заблокирован.
А какой там сценарий на случай поломки телефона?
Apple, Google и Microsoft внедрят вход без пароля на всех основных платформах в следующем году