RIP пароли: создан новый веб-стандарт для входа в систему
С новым веб-стандартом пароли больше не понадобятся - пользователям не придется запоминать сложные логины для каждого веб-сайта или службы. Об этом сообщает The Guardian. Стандарт Web Authentication (WebAuthn) предназначен для замены пароля биометрией и устройствами, уже имеющимися у пользователей, например, ключ безопасности, смартфон, сканер отпечатков пальцев или веб-камера.
Вместо того, чтобы запоминать длинные строки символов, пользователи могут пройти аутентификацию биометрией или устройствами через Bluetooth, USB или NFC. «WebAuthn изменит способ доступа к Интернету», - заявил исполнительный директор консорциума World Wide Web (W3C) Джефф Джаффе.
Один из примеров работы WebAuthn: когда пользователь посещает сайт, где требуется аутентификация, он вводит имя пользователя, а затем получает предупреждение на свой смартфон. Нажав на него, пользователь может войти на веб-сайт без ввода пароля.
WebAuthn обещает защитить пользователей от фишинговых атак и использования украденных учетных данных. Токен аутентификации генерируется и используется один раз конкретным устройством, когда человек входит в систему.
«После множества случаев серьезных нарушений данных и кражи паролей, для поставщиков услуг настало время применять фишингоустойчивую аутентификацию FIDO для всех веб-сайтов и приложений», - прокомментировал исполнительный директор Альянса FIDO Бретт Макдауэлл. WebAuthn также позволит людям использовать уникальные данные для входа в систему какой-либо службы вместо ввода логина и пароля для каждого сайта.
На данный момент WebAuthn находится на стадии «рекомендации кандидата». Google, Microsoft и Mozilla взяли на себя обязательство поддерживать WebAuthn, а это означает, что все основные веб-браузеры, не принадлежащие Apple Safari, будут внедрять новый стандарт.
«Несмотря на то, что есть еще множество проблем с веб-безопасностью, которые мы пока не в силах решить, продолжать использовать пароли является своего рода слабостью. Благодаря многофакторным решениям WebAuthn мы устраняем это слабое звено», - утверждает Джаффе.
Несколько сайтов и сервисов уже используют аналогичные методы для входа в систему, в том числе Google и Facebook - с помощью USB-ключа безопасности. Но благодаря одному многоплатформенному стандарту, одобренному W3C, другие сайты и службы смогут навсегда избавиться от пароля как метода входа в систему.
WebAuthn стал кульминацией многолетней работы, и не стоит ждать изменений за одну ночь. Но поскольку все больше кажется неизбежным взлом электронной почты или других онлайн-сервисов, отказ от пароля является важным шагом в улучшении безопасности в Интернете и упрощении использования сайтов и услуг.