Google выпустила пароли для учетных записей пользователей 3 мая в рамках запланированных усилий по обеспечению безопасного доступа к своим платформам без использования паролей.
“Пароли мертвы. Пусть нам никогда не придется их видеть, запоминать или вводить ”, – объявил в Twitter руководитель проекта passkey Кристиан Бранд, менеджер по продуктам Google для идентификации и безопасности.
Пароли предназначены для того, чтобы в конечном итоге заменить пароли, поскольку они рассматриваются как более безопасный метод аутентификации, чем пароли. Этот метод позволяет пользователям входить в приложения и на сайты, используя ту же аутентификацию, чтобы разблокировать устройства с помощью сканирования лица, отпечатка пальца или PIN-кода.
Учитывая, что переход на аутентификацию без пароля займет некоторое время, пароли и 2SV пока будут продолжать работать в учетных записях Google. Администраторам учетных записей Google Workspace в ближайшем будущем будет предоставлена возможность включать пароли для конечных пользователей при входе в систему.
Google объявила о запланированном внедрении паролей в прошлом году в сотрудничестве с альянсом FIDO, Apple и Microsoft. Проект passkey был направлен на добавление метода аутентификации в Chrome и Android и его сервисы, такие как Docusign, Kayak, PayPal, Shopify и Yahoo! Япония.
Брэнд рассказал о важности ключей доступа на конференции RSA 2023 на прошлой неделе в Сан-Франциско, отметив, что план использования ключей доступа начался почти 10 лет назад в надежде отвлечь “мир от паролей”.
“Мы, наконец, достигли точки массового перехода от паролей к ключам доступа”, – сказал Бранд. “Это означает, что мы можем начать отходить от устаревших пластырей, которые мы использовали для паролей на протяжении многих лет, таких вещей, как двухфакторная аутентификация и многофакторная аутентификация”.
“Эти [инструменты] – это пластыри, которые мы наклеили на наши пароли, потому что они не оправдали наших ожиданий”, – продолжил он. “Пароли – это своего рода чистый лист. В то же время, это миграция от всех проблем, связанных с паролями ”.
Пароли намного безопаснее, как целенаправленная структура, построенная на прочном фундаменте, объяснил он. Инструмент следует рассматривать как альтернативу этим индивидуальным решениям для аутентификации, которые все еще основаны на модели паролей. Большинство этих альтернатив – просто “пароли с дополнительными слоями сверху”.
Цель паролей – имитировать способ, которым каждый использует шифрование транспортного уровня, объяснил Бранд. TLS встроен прямо в платформу, продолжил он: “Об этом даже не говорят, мы используем TLS, и это конец истории”.
Инструмент состоит из открытого и закрытого ключей, что решает проблему повторного использования пароля и уменьшает потерю данных при взломе. Бренд подчеркнул, что учетные данные с открытым и закрытым ключами устойчивы к фишингу, поскольку они не являются учетными данными с одной строкой — это криптографический ключ.
“Пользователь не может прочитать часть криптографического ключа с устройства”, – объяснил он.
Использование должно физически присутствовать как на телефоне, который используется для сопряжения, так и на устройстве, с которого они пытаются войти в систему.
Но, как и во всех новых технологиях, путь к широкому внедрению паролей займет время, поскольку пользователи и администраторы работают над адаптацией. Бренд надеется, что мы на правильном пути для осуществления замены паролей, что потребует времени и инвестиций от большего числа компаний в этой области.