Листая ленты социальных сетей легко наткнуться на ностальгию по неким добропорядочным временам, когда, уходя из дома, люди без опаски клали ключ от квартиры под коврик входной двери. Ключи и замки — вообще не самое удобное изобретение цивилизации. Стремление упростить их использование появилось вместе с самими замками. Что уж говорить о логинах/паролях, количество которых, как гласит статистика, в современном Интернете превышает девяносто на одного пользователя.
Подавляющее большинство систем авторизации на сайтах построено на использовании стандартной схемы «логин/пароль», которая, в свою очередь, уходит корнями к первым многопользовательским системам 60-х годов. То, что авторизация через пару логин-пароль не является идеальной, было понятно давно. Критические оценки такого подхода высказывались уже в 90-е годы, когда Интернет был доступен не очень большому количеству людей, а браузер был лишь одной из многих программ для работы с ресурсами в Сети. В 2004 году Билл Гейтс заявлял о неизбежной смерти паролей. Ему вторили многие аналитики, разработчики и футорологи.
Предпринимались самые разные попытки: появлялись и исчезали системы единого входа, смарт-карты, различные электронные ключи. Однако, шли годы, но количество стандартных форм авторизации и кнопок «Вспомнить пароль» в Сети только возрастало.
Очередной из многочисленных попыток индустрии решить эту проблему стало основание альянса компаниями «Нок Нок Лабс» (Nok Nok Labs), «Пейпал» (PayPal) и «Леново» (Lenovo) в 2012 году. Название нового объединения — FIDO — может несколько сбить с толку ветеранов IT-отрасли. Но это просто акроним от фразы «Fast IDentity Online» — «быстрая онлайн-идентификация». Довольно быстро к проекту присоединился «Гугл». Не смотря на серьёзный вклад в разработку технологий «ФИДО» (FIDO) сотен разных компаний, именно присутствие «Гугла» дало шанс на реальную смену отраслевых стандартов.
В итоге, в марте 2019 года, после нескольких лет обсуждений и тестирования, ключевой стандарт FIDO2 — WebAuthn — был утверждён Консорциумом World Wide Web (главная организация, разрабатывающая для Интернета единые принципы и стандарты).
Поддержка нового метода авторизации уже есть в современных браузерах и, в принципе, ничто не мешает разработчикам веб-сайтов начать её использовать.
Как это работает? Технически, это традиционная криптографическая система с открытым ключом. Никаких инноваций в этом плане нет.
Главное, что система даёт пользователю возможность логиниться на сайтах при помощи электронного ключа, функцию которого может выполнять любое соответствующее стандарту устройство или программа.
На практике, в первую очередь, это упростит жизнь пользователям мобильных гаджетов — почти все они уже оснащены сканерами отпечатков пальцев и другими биометрическими способами аутентификации. Но даже те устройства, которые не оснащены таковыми, могут использовать стандартный системный пароль или графический ключ для подтверждения входа. Наконец-то, можно будет везде использовать одинаковый пароль без ущерба для безопасности.
Параноиков такая система может насторожить. Но производители браузеров и операционных систем уже давно имеют слишком много возможностей, чтобы это нововведение что-то принципиально меняло в этом смысле. Зато новая технология действительно повысит уровень безопасности для среднестатистического пользователя, вбивающего «оригинальный» пароль 12345 при каждой регистрации.
Автор: Контент-Ревью.