Apple, Microsoft и Google внедрят единый стандарт авторизации без паролей до конца 2023 года Статьи редакции
Компании объявили о следующем шаге к «беспарольному будущему».
- 5 мая 2022 года, во Всемирный день паролей, Apple, Microsoft и Google объявили, что в течение года внедрят на свои платформы единый стандарт беспарольной авторизации, в том числе на веб-сайтах.
- Платформы компаний начнут поддерживать протокол беспарольной онлайн-аутентификации, разработанный альянсом технологических компаний FIDO и консорциумом World Wide Web.
- Пользователи смогут выбрать в качестве основного устройства аутентификации свой смартфон. После этого у них появится возможность входить в приложения, на сайты и в прочие цифровые сервисы путём биометрического сканирования или ввода PIN-кода мобильного устройства.
- Безопасность такого процесса аутентификации обеспечит уникальный криптографический токен passkey, который передаётся между смартфоном и веб-сайтом. Такие ключи шифрования будут ассиметричными. Это означает, что если злоумышленники получат доступ к одной части токена в результате взлома сайта, никакой угрозы для пользователей не возникнет.
- Главная идея консорциума FIDO — сделать процесс авторизации зависимым от физического устройства. За счёт этого повысится не только безопасность входа на сайты, но и удобство.
- Беспарольная аутентификация не позволит хакерам подбирать пароли потенциальных жертв или использовать украденные защитные комбинации в результате фишинговых атак. Злоумышленникам в целом станет значительно сложнее удалённо взламывать пользователей сети.
- В Apple, Microsoft и Google сообщили, что токен passkey будет легко перенести на другое устройство, в том числе из «облака» в случае потери смартфона.
- Возможность беспарольной авторизации появится в Windows, macOS, iOS, Android, а также браузерах Chrome и Safari до конца 2023 года.
14
показов
17K
открытий
3
репоста
токен passkey будет легко перенести на другое устройство, в том числе из «облака»
ЯСНО
Надежно как швейцарские часы
И отключить страну-другую тоже будет легко
В Apple подобное уже присутствует. И вот обновлял я на Айфоне прошивку, выбрал верификацию с помощью устройств. А потом раз, и чтобы верифицировать айфон, нужно верифицировать его через доверенное устройство, но на аймаке и на Айпаде фичп включены и верифицированного устройства нет. пришлось звонить в службу поддержки и проходить верификацию по телефону. Представил что подобное было бы в Гугле и загрустил. Потому что в эппл дозвониться вполне реально, а в google уже давно нет.
ага, с помощью паяльника
Если без "бла-бла-бла" про безопасность, то цель всех этих нововведений лишь в том, чтобы убрать остатки анонимности в сети. Юзер ассоциируется с физическим устройством, которое имеет уникальный IMEI и заодно имеет встроенный модуль геопозиционирования. Шутки про регистрацию в Интернете по паспорту заметно теряют свою актуальность :)
Комментарий недоступен
Паспорт уже никому и не нужен. Гугл и без него про тебя всё знает))
Комментарий недоступен
Давно с интересом читаю комментарии в похожих темах и сделал вывод, что 99% вообще не думают об анонимности и готовы отдавать любому встречному абсолютно любые свои данные. А если и не готовы, то никто из них не предпринимает никаких попыток этому помешать.
Но вместе с этим наблюдаю интересную тенденцию: среди заходящих на мои сайты появилась небольшая аудитория с высочайших уровнем безопасности, скрыто абсолютно все кроме ip адреса, да и тот скорее всего не приведет никуда. И эта аудитория растет в процентном соотношении, так что не все потеряно.
А массам рюшечки важнее безопасности, их выбор:)
О какой анонимности идет речь, если этот функционал предназначен для авторизации на сайтах и разного рода облаках?
Комментарий недоступен
вообще интернет всегда был на много порядков менее анонимным чем реальный мир.
Может да, но что-то подсказывает, что если я регулярно захожу на Vc с телефона и ПК под одним логином, то устройства уже связаны
Ну наконец-то. Довольно долго пользуюсь гугл аутентификаьором (да, есть у него минусы, даже дыры), но не везде его возможно использовать. Скажу задорное ДА единой платформе. По крайней мере, потестирую обязательно.
А теперь сарказм: нам-то, горемычным, дадут им пользоваться или тоже под санкции?
если только, единый профиль через госуслуги в ближайшей перспективе))
Для нас, простых россиян, нужно будет в начале слетать в Америку и очно подтвердить свой профиль в офисе гугла тогда все станет доступно. Ах да...этот вариант тоже отпадает так как упрощён 😁😁
Если честно, то Authy лучше имхо.
Боюсь что сарказм ваш вполне может оказаться пророческим
Давненько уже пользуюсь беспарольной аутентификацией Microsoft: при логине мне приходит push-сообщение на смартфон и необходимо подтвердить с использованием биометрии.
Подобные вещи есть ещё у Яндекса и Okta, я только рад созданию единого стандарта.
В статье, кстати, используется слово «авторизация» (проверка прав доступа), что некорректно в данном контексте, правильно «аутентификация» (проверка айдентити, типа цифровой личности)
FIDO возвращается :D
Хуйня ебанная, блять, как им вообще в голову такие идём приходят?
Я больше доверяю своей голове, помнящей или не помнящей пароль. Мою голову взломать несколько сложнее, нежели пароль/отпечаток на телефоне.
Посмотрел, у меня 2700 паролей. Вряд ли их можно запомнить.
Комментарий недоступен
Когда Find My iPhone присылает код проверки на утеряный телефон.
По факту, выпустят штуку, чтобы собирать ещё больше данных и шарить друг с другом, она будет сырая - будут ещё годы её допиливать до состояния "безопасно" с миллионными бюджетами, а к тому времени возможно и не понадобится уже.
Комментарий недоступен
как-то не верится, что злоумышленникам станет сложнее взламывать БЕЗПОРОЛЬНУЮ систему
Какова вероятность от имени смартфона выполнить аутентификацию злоумышленнику, атаковав смартфон жертвы, который защищен меньше сервера….
У телефона нет белого IP адреса, как у сервера. У Microsoft беспарольная аутентификация уже годы работает и о взломах слышно не было.
Это правда намного лучше паролей - так как пароли ли это слишком простые, либо пользователи их забывают. Рекомендация здесь использовать парольный менеджер, для создания сложных и уникальных паролей. Пароли в менеджере паролей все равно приходится синхронизировать между устройствами.
Интересно, а чем новый стандарт будет отличаться от стандартов OpenID и OAuth? Имхо, те же яйца только вид сбоку.
Комментарий недоступен
Я чего-то не поняла: а если смартфон утерян, то как я войду в свой аккаунт в облаке , чтобы выковырять этот passkey?
девичью фамилию матери никто не отменял!
Нужно будет воспользоваться единой авторизацией.
Если вы используете Microsoft Authenticator, то хоть на каком-то компьютере вы будете залогинены в MS аккаунте.
В противном случае придётся воспользоваться формой восстановления доступа к аккаунту.
смс никто не отменял)
Я уже название знаю
Multipass
Комментарий недоступен
Комментарий недоступен
Ага, что-то не очень верю в нормальную реализацию. Google сейчас сделал двухфакторку через смартфон обязательной и отключить её нельзя. Чтобы отключить он предлагает — «выйдите на телефоне из аккаунта». 🤮
Я хочу нормальные TOTP, просто нормальные TOTP, а не вот эти вот выдумки.
Комментарий недоступен
как раз тут телефон проёбывал в начале весны, всё отключамбается
Привязать авторизацию к физическому устройству это какая-то дичь. По крайней мере, в том виде, как это описывается в статье. Никто не ответил на вопрос, что будет при утере телефона.
А потом тебя один из сервисов блочит и ты теряешь доступ ко всему остальному. Помню историю с фейсбуком, который заблочил парнишку и тот потерял доступ ко всем своим сервисам в которые логнился через FB. Мне как-то по старинке через почту спокойнее, тем более после того что произошло с этого февраля в мире и у нас.
ахах, то есть теперь пароли ко ВСЕМ сайтам они предлагают хранить в ОДНОМ месте, чтобы нужно было взломать только один сайт.
телефон как раз легко взломать при физическом доступе к нему.
симку любого номера перевыпускает блондинка в салоне любого опсоса, и получает доступ ко всей вашей телеграм переписке.
Пароль - надежнее нет.
Комментарий недоступен
Прочитал - и нихрена не понял. Объясните далёкому от этого человеку - это они аналог нашего Сбер ID придумывают или как? И чем эта хрень надёжнее паролей типа v21vekevGoogleKarlMarkssnowaetBrina4erezanysvmozg.
Ну типа пароль можно подсмотреть или добыть кейлогером (перехватчиком сигнала беспроводной клавиатуры). И у многих пароли вроде "qwerty123uiop" (т.е. такие, которые просто запомнить).
А тут нужно украсть физическую мобилу + подобрать пин-код + сделать это быстрее чем владелец заблокирует украденный телефон.
Ура!
Народ стал заводить много параллельных аккаунтов, проблема. Решили позаботиться о народе. Ну что бы проще было отслеживать. Все для народа, все для рекламы.
Ну ну, безопасности ради
Да, а вы не верите? Как можно?
Придумали ssh ключи, все ясно
Правильная аналогия скорее с Yubikey
главное чтоб деньги были
А где будут храниться пароли? В облаке корпораций?
Не пароли, а токены с ограниченным сроком действия.
А у нас в ЧёБухнэте свой стандарт будет — «Майор-коннект» через госуслуги…
Такими темпами к 30 году можно будет отключить неугодного человека от жизни в принципе
А при потере устройства что делать?
Похоже, это задел на то пресловутое чипирование, с чипом, который всегда с тобой.
А не хочешь чипироваться - мы тебе сайтики-то и отрубим, и сиди себе одиноко в русграмме. ))
чего? 5 мая 2022 года, Всемирный день паролей??? даже такой праздник существует?
Вот бы ещё вопросы про куки туда убрали автоматом.
Терпеть не могу все эти 2FA и смс одноразовые пароли... Обычный логин занимает 2 секунды, а всякие придурки вешают эту фигню на свои сайты и сидишь ждешь смски минутами
То есть, если у человека нет смартфона, он вообще не сможет авторизоваться? Или они планируют оставить альтернативный вход с паролем?
Раньше меня бесило, что при регистрации требовали указать номер телефона, затем подтверждеие по СМС стали массово менять на звонок робота, использовать USB-модем стало невозможно.
Чем дальше, тем веселее.
Ну наконец-то! Давно пора от этого д...а избавится!
Чебурнет по-буржуйски.
Одним кликом мышки банить провинившегося сразу везде.
Но идея стара. Еще в 80-90 были компы с механическими или магнитными ключами.
Потом ключи научились генерить проги, например, Webmoney.
Была еще эпопея с ключами на флешке.
Хорошая идея по контролю за интересами пользователей.
Но есть плюс - повысится качество таргетирования рекламы)))
Наконец-то. Google Аутентификатор хоть и надёжный, но неудобный для большинства юзеров
Он отвратителен, если что. Т.к. не переносится и не экспортируется.
Authy — переносится, но не экспортируется и привязан к телефону.
Есть решение на платном тарифе Bitwarden, но плохо пароли и двухфакторку хранить в одном приложении.
Хороший вариант Enpass — у них есть пожизненный план, который регулярно продают со скидкой типа 70%.
Комментарий недоступен
Ужас какой, у тебя нет денег га приличную трубу? 😳😳😳
Вовремя переехал на надёжный Яндекс
Яндекс — сила! Фейсбук — могила!
your planetID
а если телефон потерял?
Как и куда подать жалобу на Аpple за отказ от Apple Pay?
плюсую) уже пользоваться айфоном неприятно становится после всех этих фокусов
Аналитику отсылает, причём выборочно, Сбербанк онлайн, Почта, И так далее
Отключал все функции аналитики всё равно анализирует!)))
Теперь коллеге (или жене) не дашь свой пароль - подтверждение все равно прилетит на твой смартфон... Который ты, возможно, потерял в метро, и теперь сидишь неавторизованный в ожидании курьера с новым смартфоном, который еще надо настраивать и авторизоваться в нем, а для авторизации нужен смартфон...
годная фича, жду её выхода. а то уже надоели пароли
Qwerty style
Комментарий недоступен
Сие новшество меня обойдёт, ведь я русский, Русский, - выходит Изгой!
И плача сопли размазывая пью из гранёно гранён'ную пакость)
Наконец-то, все бы так отказались от паролей
В декабре мою жену обворовали, это было в поездке. Было очень занимательно восстанавливать доступы к банкам и сервисам, поскольку они завязаны на телефон и смс.
Надеюсь, эта технология позволит поддерживать авторизацию через несколько устройств одновременно
Что только не придумают, лишь бы составить "единый профиль" пользователя интернета 😂
Каждый раз в телефон лазить чтобы зайти на сайт - это удобно????
Потеря телефона и так было хуже потеря паспорта, а теперь вообще в трусы прятать.
Полная деанонимизация :|
Давно пора, отличная тема. Фанатам движения затобойвсеследят вопрос: мобильником тоже не пользуетесь?
Не знаю, что все ноют о конфиденциальности. Сейчас и так нет выбора при регистрации отказаться от обработки личных данных. Кроме этого если ты пользуешься геолокацией и совершаешь онлайн покупки, то и так никакой конфиденциальности нет.