Как работает новая технология от Apple.
На прошлой конференции для разработчиков WWDC Apple представила Sign In with Apple: возможность логиниться и создавать профиль с Apple ID. В этом году компания пошла дальше и предложила регистрацию без пароля: достаточно только учётной записи Apple и подтверждения по Face или Touch ID.
На дискуссии Move Beyond Passwords («Не ограничивайтесь паролями»; посмотреть можно здесь) рассказали, как работает технология. Там же пояснили и причины разработки: желание сократить количество паролей и площадок, где их можно найти. Так, для 80% взломов используются слабые или украденные данные входа.
Passkeys работает просто: на сайтах и в приложениях, поддерживающих функцию, пользователю будет достаточно придумать логин, нажать кнопку «Создать аккаунт» и подтвердить операцию с помощью Face или Touch ID. В отличие от существующей технологии Sign Up with Apple, пользователь сам создаёт аккаунт и выбирает, какими данными делиться: на устройстве же хранится лишь «пароль».
Passkeys основан на открытом протоколе WebAuthn, который использует два ключа: публичный и приватный. Публичным ключом можно поделиться со всеми, а приватный остаётся на устройстве и никогда его не покидает. Это делает процесс регистрации и входа проще и надёжнее.
Пошаговый процесс аутентификации с WebAuthn
Скриншот с презентации ApplePasskeys снижает нагрузку на коммерческие серверы: теперь там не будет паролей пользователей, которые можно украсть. Ключевая проблема, которую хочет решить Apple, это количество людей и носителей, «знающих секрет»: любой пароль, хранится ли он в памяти компьютера, облака, внешнего носителя или человека, можно достать и использовать. Аутентификация же через Face или Touch ID, по мнению компании, радикально сокращает возможности и причины атак.
Компания также представила функцию генерации одноразовых кодов (OTP) с Apple Keychain. Код для верификации генерируется на iOS-устройстве и синхронизируется через iCloud. Это дешевле и надёжнее, чем присылать одноразовые коды по SMS, и удобнее, чем использовать стороннее приложение вроде Google Authenticator. Коды для верификации можно будет создать одним нажатием над клавиатурой: там, где сейчас появляется информация из смс.
Сгенерировать одноразовый пароль можно нажатием одной кнопки над клавиатурой
Скриншот с презентации AppleДругие компании уже используют технологии, альтернативные паролям. Microsoft, например, использует Yubico — внешний физический ключ с USB-C — и утверждает, что уже больше 200 миллионов пользователей отказались от паролей в пользу более современных решений.
Passkeys пока работает только на устройствах Apple, и в новых версиях Mac OS и iOS доступна в бета-режиме (и отключена по умолчанию). Разработчикам уже доступен пример кода для имплементации технологии в свои сервисы. Возможность генерации одноразовых кодов будет доступна с выходом iOS 15 и Mac OS Monterey.
Это ESET. На VC будем писать о новых технологиях приватности, идеях цифрового офиса и кибербезопасности для малого и среднего бизнеса. Подписывайтесь!