Больше никаких паролей — как пароли заменят ваш пароль

May 15 2023
Во избежание двусмысленности будут использоваться следующие термины; Аутентификатор; Мобильный телефон, используемый для входа на веб-сайт; веб-сайт или приложение, которое пользователь использует для выполнения запроса на вход в систему; Поставщик, предоставляющий данную услугу, например

Во избежание двусмысленности будут использоваться следующие термины;

Аутентификатор ; Мобильный телефон, используемый для входа в систему

веб-сайт ; Веб-сайт или приложение, которое пользователь использует для отправки запроса на вход.

Сервис ; Поставщик, предоставляющий данную услугу, например, Google Mail, Microsoft Outlook.

В чем проблема с паролями?

Пароли являются синонимом нашего использования Интернета, мы используем их для входа в нашу электронную почту, учетные записи в социальных сетях или для проверки нашего банковского баланса. Напоминаем, что нужно устанавливать «хорошие» сложные пароли, причем каждый сайт имеет собственное определение того, что такое «хороший».

Несмотря на эти усилия, пароли остаются слабым местом, поскольку многие используют слабые пароли и/или один и тот же пароль для разных учетных записей. Часто некоторые становятся жертвами веб-сайтов, выдающих себя за настоящие сервисы, известных как фишинг. Здесь пользователи нажимают на ссылку, которую они считают подлинной, но на самом деле это поддельный веб-сайт, созданный для кражи пароля пользователя.

Очень хорошие поддельные «фишинговые» веб-сайты также могут обманом заставить пользователей использовать многофакторную аутентификацию (MFA), если тип MFA не предназначен для защиты от фишинговых атак. Однако наличие любого MFA лучше, чем отсутствие MFA вообще.

Что такое пароли

Ключи доступа заменяют пароли и предназначены для защиты от фишинговых атак. Они также значительно упрощают процесс входа в систему для пользователей и делают их более безопасными.

Возьмем, к примеру, Батул, она использовала пароль для входа в свою учетную запись Gmail. Перейдя к паролю, она может войти в систему, используя свой отпечаток пальца или лицо. Пароль становится альтернативным методом в случае, если она не может использовать пароль (в какой-то момент пароли будут удалены).

Ключи доступа используют концепцию закрытых и открытых ключей , вместо парольной фразы у Батул теперь есть закрытый ключ, который легко создается, хранится и управляется ее мобильным телефоном. Это может быть через приложение аутентификации или в операционной системе.

Телефон Батул знает, как автоматически загрузить ее новый открытый ключ в Gmail в рамках ее создания пароля на Gmail.com.

Gmail теперь знает об открытом ключе Batool и поэтому попросит ее подтвердить, что он принадлежит ей, требуя от Batool разблокировать ее телефон и подписать его с помощью ее закрытого ключа.

Все это происходит в фоновом режиме между Gmail.com и ее телефоном, Батул нужно только беспокоиться об использовании ее отпечатка пальца или биометрической разблокировки лица, как обычно. Возможно, ей придется выбрать, какой пароль использовать, если у нее настроено множество разных учетных записей Gmail.com.

Поддельные веб-сайты теперь представляют меньшую угрозу, поскольку у них нет открытого ключа Батул, и поэтому она не может войти в систему. Помните, что закрытый ключ никогда не покидает ее мобильный телефон.

Так как же Batool переходит от пароля к ключу доступа?

На приведенной ниже диаграмме показано, как Батул переходит от использования пароля к паролю для своей учетной записи Gmail.

Batool создает пароль

1- Батул входит в службу (Gmail), используя свое имя пользователя и пароль.

2- Gmail теперь поддерживает ключи доступа, запрос отправляется в Batool для создания ключа доступа, или ей может потребоваться перейти на g.co/passkeys .

3- Появится уведомление о создании пароля.

4- Батул решает создать пароль, и ей предлагается разблокировать свой телефон с помощью биометрической опции, что позволяет ее телефону безопасно создать новый пароль для Gmail.com и надежно сохранить его для нее.

5- Закрытый ключ привязан к ее профилю пользователя, т.е. синхронизируется между ее устройствами. В этом примере Batool использует iPhone, поэтому его можно синхронизировать с помощью iCloud. Однако разные поставщики могут использовать альтернативные методы, например, Microsoft Authenticator или Google Password Manager.

6 - Соответствующий открытый ключ отправляется в Gmail.

7- ТОЛЬКО Google хранит этот открытый ключ и используется в будущих попытках входа в систему для проверки подписанных подписей от Batool.

Хотя Батул использует свой отпечаток пальца или лицо для использования пароля, это точно так же, как разблокировка устройства или вход в систему онлайн-банкинга — цифровое представление ее отпечатка пальца или лица НИКОГДА не покидает мобильный телефон , оно хранится в телефоне в зашифрованном виде и не может быть к которым обращается Gmail или кто-то, кто сделал устройство, например Apple или Android.

Теперь у Batool есть ключ доступа, как работает процесс входа в систему?

На приведенной ниже диаграмме показано, как Batool войдет в свою учетную запись Gmail, используя свой пароль.

Батул входит в систему со своим паролем

1- Batool просматривает веб-сайт для входа в данную службу, в данном случае Gmail.

2- Batool ранее создал ключ доступа (см. выше) для Gmail, поэтому вызов отправляется из службы Gmail.

3- Вызов принимается телефоном Batool и отображается в виде списка доступных ключей доступа от службы, т.е. если у Batool есть более одной учетной записи Gmail, то появятся два ключа доступа.

4- Batool выбирает пароль для своей учетной записи Gmail, а затем использует биометрические данные для разблокировки своего мобильного телефона, что позволяет ее телефону использовать закрытый ключ.

5- Запрос от Google затем подписывается закрытым ключом Batool.

6. Затем в Google отправляется подписанный запрос, что дает уверенность в том, что Batool входит в систему.

7 — Google использует открытый ключ для Batool для подтверждения успешного входа в систему.

Теперь при входе в Google Google будет запрашивать пароль, когда это возможно. Если ключ доступа недоступен, Batool все еще может использовать свой пароль Google.

Это часть поэтапного перехода на ключи доступа, поскольку все больше сервисов используют ключи доступа, и мы надеемся увидеть будущее без паролей и более высокой устойчивости к фишингу.

Apple, Google и Microsoft сотрудничают, чтобы повысить осведомленность о кодах доступа и принять их. Дополнительную информацию об этом можно найти здесь .

Большое спасибо Джоэлу Сэмюэлю и Али Саррафу за рецензирование этого произведения.