Apple добавила поддержку беспарольной аутентификации в свои обновлённые продукты. Новая технология получила название Passkeys. Она позволяет отказаться от текстового ввода паролей и обеспечивает сквозную аутентификацию для доступа с разных устройств, используя только одно Apple-устройство (iPhone, iPad, Apple Watch) для биометрического контроля.
- Введение
- Беспарольная технология Passkeys
- Ключи доступа
- WebAuthn API может стать обязательным стандартом
- Распространение беспарольной технологии WebAuthn
- Выводы
Введение
Отказ от использования паролей при работе с мобильными и стационарными устройствами и при посещении сетевых сервисов был назван одним из главных трендов 2022 года. Новая технология уже получила поддержку со стороны отрасли, для неё разработаны стандарты многофакторной аутентификации. Не хватало только реальных мобильных устройств, где эта технология имела бы бесшовную интеграцию.
Ежегодное шоу Apple WWDC 2022, которое состоялось на этой неделе, 6 июня, показало, что теперь такие устройства есть. Показанные новинки поддерживают беспарольную аутентификацию, встраиваясь в глобальный процесс отказа от паролей как основного метода доступа к защищённым ресурсам.
Рисунок 1. Регистрация ключей Passkeys для доступа к веб-сайту. Источник: Apple WWDC
Беспарольная технология Passkeys
Новая технология Passkeys была представлена на шоу Apple WWDC 2022 на примере браузера Safari, хотя применять её можно уже на всех обновлённых мобильных устройствах Apple. Новая функция безопасности предусматривает сквозную поддержку работы с учётными данными на разных платформах, и в этом её главная ценность.
Разработка Passkeys велась совместно с отраслевой организацией FIDO Alliance (Fast IDentity Online), созданной в 2012 году для решения задач безопасного доступа в сети с устройств с соблюдением требований строгой аутентификации, и отраслевыми партнёрами, такими как Microsoft и Google. Главная идея новой технологии Passkeys — полный отказ от использования паролей как наиболее слабого звена при строительстве всех современных систем безопасности.
С новой технологией Apple строит большие планы на будущее: качественно пересмотреть технологию работы с учётными данными, используемыми для аутентификации; перейти на использование данных следующего поколения; применять более безопасные, простые в использовании системы, позволяющие отказаться от использования паролей вообще.
Рисунок 2. При подключении с другого устройства можно запросить QR-код, считать его с помощью iPhone / iPad / iWatch
Ключи доступа
В ключах доступа нового типа используются данные полученные с применением биометрических технологий Apple — Touch ID или Face ID.
Демонстрацию новой технологии Apple провела на примере веб-сайта (веб-приложения), поддерживающего Passkeys. Она показала, как после создания ключей доступа для работы с веб-сайтом можно использовать их в дальнейшем. Достаточно просто прочитать QR-код и сделать отпечаток большого пальца или посмотреть в селфи-камеру для аутентификации. Всю остальную часть проверки выполняет механизм аутентификации.
В ходе демонстрации Apple ключи доступа резервировались в цепочке ключей iCloud. Они обеспечили сквозную аутентификацию для разных устройств — Mac, iPhone, iPad и Apple TV. Шифрование было сквозным и единым для всех подключаемых устройств.
Новая технология защищённого доступа к веб-сайту или приложению доступна даже для устройств сторонних производителей, если есть iPhone или iPad для проведения первичной аутентификации. Для подтверждения доступа достаточно отсканировать предоставленный QR-код либо использовать Touch ID или Face ID.
WebAuthn API может стать обязательным стандартом
Для реализации беспарольного доступа Apple использует уже существующую API-технологию веб-аутентификации WebAuthn. Благодаря ей создаются уникальные ключи доступа.
Применение новой технологии предусматривает поддержку этого API на стороне посещаемого веб-сайта или приложения, к которому предоставляется доступ. Созданные ключи для аутентификации хранятся строго на устройстве пользователя, они не передаются на веб-сервер. Вместо ввода пароля посетителю предлагается пройти аутентификацию с помощью биометрической проверки через Touch ID или Face ID.
В результате, используемый пароль не может быть подделан: он никогда не покидает пользовательского устройства Apple. Нет также возможности для фальсификации поддельного сайта; устраняется угроза выманивания ключа доступа, например, через фишинг. Создаваемые ключи доступа работают только в определённых приложениях и безопасно синхронизируются между устройствами Apple с помощью iCloud Keychain.
Рисунок 3. Технология Passkeys обеспечивает сквозной беспарольный доступ с разных устройств. Источник: Apple WWDC
Распространение беспарольной технологии WebAuthn
Поддержка технологии WebAuthn есть и у некоторых веб-сервисов в России. Например, в сентябре 2019 года команда «Почты Mail.ru» сообщила о поддержке WebAuthn, став первым в России и в мире сервисом электронной почты, который реализовал возможность входа в аккаунт с использованием электронных ключей вместо паролей.
О готовящейся широкой поддержке технологии WebAuthn говорят сегодня в Microsoft, Yahoo, Amazon. Эти компании намерены полностью отказаться от парольного доступа и перейти к беспарольным методам аутентификации в своих сервисах уже в самом ближайшем будущем.
Выводы
Очевидно, что полный отказ от использования паролей — процесс длительный. Скорее всего, пароли останутся как опция, уступив основное место новой технологии. Но появление поддержки WebAuthn на новых устройствах Apple указывает на то, что массовый переход уже начался.