Вы больше никогда не забудете свой пароль благодаря новым методам аутентификации

В декабре 2022 года Google добавил поддержку нового способа аутентификации без пароля. Passkeys — это метод входа в систему, разработанный Альянсом FIDO и Консорциумом World Wide Web (W3C), в который входят такие гиганты Кремниевой долины, как Apple, Google и Microsoft. В этой статье мы разберём технологию и поделимся своим впечатлением.

Passkey, хранящийся на устройстве пользователя в зашифрованном виде, называется секретным ключом и применяется в паре с публичным ключом (логином пользователя), который сохраняется в системе аутентификации веб-сайта. Получить доступ к ним можно только через биометрические идентификаторы, такие как распознавание лица, отпечаток пальца, Windows Hello, PIN-код и прочие

Для вебмастеров это значит, что на сайте можно авторизоваться по отпечатку пальца или FaceID, как в популярных мобильных приложениях. Да, даже с десктопа, и забыть пароль теперь не получится, ведь забыть биометрические данные невозможно.

Скоро на каждом крупном сайте 
Скоро на каждом крупном сайте 

Расскажем коротко о том, как это работает:

  1. Пользователь заходит на сайт, который поддерживает технологию авторизации без пароля, и выбирает опцию "Войти с помощью Passkeys" (иконка отпечатка)

  2. Браузер отправляет запрос на устройство пользователя для получения его уникального цифрового ключа (Passkey).
  3. Пользователь подтверждает запрос на телефоне.

  4. Устройство создает уникальный токен авторизации и отправляет его на сервер.

  5. Сервер проверяет токен на подлинность, и, если токен является подлинным, доступ к учетной записи разрешается.

Иконка отпечатка запустит сценарий авторизации по PassKeys
Иконка отпечатка запустит сценарий авторизации по PassKeys

Важно ещё раз отметить, что при использовании технологии Passkeys, никакие пароли или логины не передаются между устройством пользователя и сервером. Это делает процесс авторизации более безопасным, так как пароли могут быть скомпрометированы в случае взлома сервера или перехвата данных.

Вы больше никогда не забудете свой пароль благодаря новым методам аутентификации

Нас данная новость обрадовала и не так давно мы реализовали авторизацию по биометрии на сайте нашего канадского клиента, который, как и мы, любит всё новое и прорывное. Получилось интересно.

Конечно, как и у любой технологии, у пасскеев есть недостатки, которые следует учитывать, например - недоверие к биометрическим данным у пользователей. Но это не повод отказываться от авторизации без пароля, ведь на устройстве можно использовать PIN или графические ключи. В дополнение к удобству использования и повышению безопасности, эта технология также предполагает высокую степень конфиденциальности, так как применяет шифрование для защиты биометрических данных и защиты от взлома.

Переход на биометрическую аутентификацию может быть плавным, поскольку многие современные устройства уже оснащены считывателями отпечатков пальцев или камерами для сканирования лица.

Кроме того, эти использование PassKeys может повышать доверие пользователей к сайтам и повышать привлекательность для пользователей, что выгодно для вебмастеров.

Подпишитесь на нас и проголосуйте за пост на VC, если хотите чаще видеть подобные обзоры и сделать нашим мейкерам приятно 🙂

1313
10 комментариев

Комментарий недоступен

2
Ответить

Я бы ответил так: это две составные части для безпарольного входа. Webauthn это API для браузера - https://www.w3.org/TR/webauthn-2/ .
Passkeys - это платформенная реализация биометрического входа - https://developers.google.com/identity/passkeys, https://developer.apple.com/passkeys/ .
И это не велосипед гугла, это общий стандарт.

А теперь подпишись :)

1
Ответить

А это как-то связано с ЕБС?

Ответить

Нет, данное решение ни как не связано с единой биометрией. Все биометрические данные, необходимые для аутентификации на вашем сайте, хранятся непосредственно на телефоне или компьютере пользователя и никоим образом не передаются на какие-либо внешние сервера.

1
Ответить

гугл решили догнать китайцев? нуну

Ответить

даже если пустит все свои силы все равно не получится догнать)

Ответить

Почему это должно быть безопаснее обычного пароля в сценарии «товарищ майор in the middle»?

Ответить