На прошлой неделе компания Google сообщила о том, что теперь для входа в сервисы компании опцией по умолчанию будут парольные ключи. Такие ключи (passkey) — это шаг в сторону полного отказа от паролей в сервисах компании. Данная фича была внедрена весной этого года, а теперь при каждом входе в сервис пользователи будут получать предложение создать ключи и использовать новую систему как основную.
Стандарт авторизации с помощью ключей был разработан альянсом FIDO и предполагает наличие уже авторизованного устройства для быстрого логина. Для пользователей это уже привычная схема: даже после ввода пароля многие сервисы предлагают отправить запрос на ранее залогиненный девайс и таким образом подтвердить личность пользователя. Разница только в том, что теперь пароль и вовсе не нужен.
Быстрое тестирование новой технологии показало, что по умолчанию вход с помощью passkey доступен далеко не везде, но эта опция выбирается отдельно. При попытке войти в систему на компьютере запрос отправляется на смартфон, где его можно подтвердить с помощью сканера отпечатков пальцев или другой биометрии. Отдельная фича — проверка, что смартфон находится рядом с ноутбуком.
Достоинства и недостатки такого метода описаны в этой статье, опубликованной в мае 2022 года. Именно тогда крупные компании, включая Microsoft, Apple и Google, объявили о поддержке стандарта и неизбежном беспарольном будущем. Очевидное преимущество парольных ключей заключается в том, что не надо запоминать сложные пароли, регулярно обновлять их и опасаться утечек (как со стороны пользователя, так и со стороны организации). Но, пожалуй, важнее то, что стандарт FIDO Passkey исключает множество потенциально уязвимых мест, в которых эти утечки происходят. Заманить пользователя на поддельную фишинговую страницу, которая притворяется сервисом GMail, все еще можно, но парольные ключи на ней работать не будут. Такой метод атаки скорее всего будет исключен, но при одном условии — когда вход по обычному паролю перестанет быть возможным.
В случае с сервисами Google это пока не так, и вряд ли ситуация изменится в ближайшем будущем. Простая проверка внедрения парольных ключей тут же выявила сценарий, при котором отправленный на телефон запрос просто не приходит. Паролем пользоваться в целом привычнее. Несмотря на то что «смерть паролей» предсказывают уже много лет — даже при наличии работающей альтернативной технологии пароли будут с нами еще очень долго.
Что еще произошло:
Специалисты «Лаборатории Касперского» провели анализ пользовательских соглашений ИИ-чатботов, включая Google Bard и ChatGPT. Если коротко, «промпты» (запросы пользователей) могут использоваться для дальнейшего обучения модели, если речь идет об обычных учетных записях. Корпоративные учетки работают по другим правилам. Но в любом случае стоит держать в голове риск, что приватные данные, которые попадают в ChatGPT и подобные сервисы, могут «утечь». Причем как традиционным способом (кража учетки), так и инновационным: через попадание в механизм дообучения и внезапное появление в ответах для других пользователей.
А Microsoft тем временем запустила отдельную программу bug bounty, в которой обещают вознаграждение за уязвимости, найденные именно в сервисах на основе машинного обучения.
11 октября вышло обновление утилиты cURL с патчем для «самой серьезной уязвимости за долгое время». Впрочем, уязвимость оказалась не столь опасной: при некоторых вводных можно вызвать переполнение буфера, но вероятность совпадения всех условий достаточно низка.
Новые патчи выпустили Apple (две уязвимости zero day в iOS 16), Microsoft (в рамках стандартного пакета патчей исправили эксплуатируемые проблемы в WordPad и Skype for Business) и Adobe (в частности, закрыли критическую уязвимость в Photoshop, приводящую к выполнению произвольного кода).
В новых релизах Windows по умолчанию будет выключена поддержка VBScript — ранее популярного в веб-разработке языка, который теперь скорее является источником потенциальных уязвимостей.
Стандарт авторизации с помощью ключей был разработан альянсом FIDO и предполагает наличие уже авторизованного устройства для быстрого логина. Для пользователей это уже привычная схема: даже после ввода пароля многие сервисы предлагают отправить запрос на ранее залогиненный девайс и таким образом подтвердить личность пользователя. Разница только в том, что теперь пароль и вовсе не нужен.
Быстрое тестирование новой технологии показало, что по умолчанию вход с помощью passkey доступен далеко не везде, но эта опция выбирается отдельно. При попытке войти в систему на компьютере запрос отправляется на смартфон, где его можно подтвердить с помощью сканера отпечатков пальцев или другой биометрии. Отдельная фича — проверка, что смартфон находится рядом с ноутбуком.
Достоинства и недостатки такого метода описаны в этой статье, опубликованной в мае 2022 года. Именно тогда крупные компании, включая Microsoft, Apple и Google, объявили о поддержке стандарта и неизбежном беспарольном будущем. Очевидное преимущество парольных ключей заключается в том, что не надо запоминать сложные пароли, регулярно обновлять их и опасаться утечек (как со стороны пользователя, так и со стороны организации). Но, пожалуй, важнее то, что стандарт FIDO Passkey исключает множество потенциально уязвимых мест, в которых эти утечки происходят. Заманить пользователя на поддельную фишинговую страницу, которая притворяется сервисом GMail, все еще можно, но парольные ключи на ней работать не будут. Такой метод атаки скорее всего будет исключен, но при одном условии — когда вход по обычному паролю перестанет быть возможным.
В случае с сервисами Google это пока не так, и вряд ли ситуация изменится в ближайшем будущем. Простая проверка внедрения парольных ключей тут же выявила сценарий, при котором отправленный на телефон запрос просто не приходит. Паролем пользоваться в целом привычнее. Несмотря на то что «смерть паролей» предсказывают уже много лет — даже при наличии работающей альтернативной технологии пароли будут с нами еще очень долго.
Что еще произошло:
Специалисты «Лаборатории Касперского» провели анализ пользовательских соглашений ИИ-чатботов, включая Google Bard и ChatGPT. Если коротко, «промпты» (запросы пользователей) могут использоваться для дальнейшего обучения модели, если речь идет об обычных учетных записях. Корпоративные учетки работают по другим правилам. Но в любом случае стоит держать в голове риск, что приватные данные, которые попадают в ChatGPT и подобные сервисы, могут «утечь». Причем как традиционным способом (кража учетки), так и инновационным: через попадание в механизм дообучения и внезапное появление в ответах для других пользователей.
А Microsoft тем временем запустила отдельную программу bug bounty, в которой обещают вознаграждение за уязвимости, найденные именно в сервисах на основе машинного обучения.
11 октября вышло обновление утилиты cURL с патчем для «самой серьезной уязвимости за долгое время». Впрочем, уязвимость оказалась не столь опасной: при некоторых вводных можно вызвать переполнение буфера, но вероятность совпадения всех условий достаточно низка.
Новые патчи выпустили Apple (две уязвимости zero day в iOS 16), Microsoft (в рамках стандартного пакета патчей исправили эксплуатируемые проблемы в WordPad и Skype for Business) и Adobe (в частности, закрыли критическую уязвимость в Photoshop, приводящую к выполнению произвольного кода).
В новых релизах Windows по умолчанию будет выключена поддержка VBScript — ранее популярного в веб-разработке языка, который теперь скорее является источником потенциальных уязвимостей.
Комментарии (7)
3ycb
16.10.2023 15:50+2Как дальше-то, без пароля?
Мое ИМХО, что это будет как с внедрением IPv6 в широкий быт, лет через 20, может пароли и исчезнут.(нет)
stkonung
16.10.2023 15:50Окончательно еще очень долго не исчезнут, тяжкий груз старых систем, да.
Но в целом webauthn и FIDO2 это отличный шаг вперед, и при возможности стоит использовать такой тип аутентификации для собственной безопасности
Evengard
А если старое устройство которым больше не пользуешься, но которое осталось доверенным (ну, как пользователи ставят слабые пароли, так пользователи врядли будут "сбрасывать" устройства) попадёт в руки злоумышленника? Ну, выкинул человек телефон, например.
А если по какой-то причине ты окажешься разлогиненным на ВСЕХ устройствах? Ну, например, сгорел у тебя дом, и все устройства залогиненные в нём. Как дальше-то, без пароля? Пароль хотя бы вспомнить в теории можно.
Aelliari
Примерно также, как если пароль сохранен в Chrome на этом же устройстве. Это не проблема решаемая стандартом. Но как минимум я не вижу тут ухудшения
Для гугла же пока нельзя установить passkey не имея альтернативного способа аутентификации? Установка passkey его не отбирает. Кроме того FIDO явно рекомендует использовать как минимум 2 разных токена, на случай утраты одного из них (использовать несколько passkey-совместимых устройств - не запрещено). Ну и passkey приносит синхронизацию внутри платформы, но я не интересовался как оно там реализовано
Evengard
Люди на самом деле не так часто пользуются встроенными сохранялками паролей, особенно те кто хоть чуть заботится о своей безопасности. А тут безальтернативный метод - ты ДОЛЖЕН привязывать хоть что-то. Гораздо проще не вбивать пароль и не запоминать его, чем разбираться как отвязать и ещё и помнить о том, что к этому устройству куча всего привязано (и отчаянно пытаться вспомнить, что же именно и на каких сайтах надо отвязку делать). Так что ухудшение тут есть.
Насчёт того что гугл пока не делает этот метод безальтернативным - вся статья пропитана тезисом, что именно что нужен отказ от парольной системы чтобы оно работало как задумано. Что делать, когда такую систему можно будет установить как единственный (либо строго обязательный второй) фактор? Что делать, когда установка его в таком режиме станет обязательной?
Вы можете сказать что "ну есть механизмы восстановления вторых факторов, так же делать" - да, есть, но чаще всего они завязаны, например, на доступ к эмейлу. Но тут-то мы говорим про гугл. А гугл - это гмейл, и гмейл может быть единственным эмейлом человека, где у него... Все коды восстановления и остались. Достучаться до которых он уже не сможет.
Aelliari
Passkey хоть и является наиболее доверенным, из доступных - все еще не является обязательным. Да и современные мобильные устройства имеют неплохой уровень защиты
Все еще не вижу, мы сначала говорим про тех кто заботится о безопасности - эти точно не продадут устройство без сброса до заводских. А потом говорим про «отчаянно пытаться вспомнить». Предлагаю альтернативу, физический FIDO2 токен, а лучше 2, и не терять его, продавать его не имеет смысла
Это предусмотренный режим, никто, правда, особо не спешит такое поддерживать
Уж точно не ухудшение безопасности, а наоборот закручивание гаек сопряженное с неудобствами. Но да, честный «второй» фактор, ибо к фактору «знания» добавится фактор «владения».
Так а где минусы по отношению к паролю, который может быть простым, или может быть похищен кейлогером? При этом этот способ не подвержен атакам со стороны нечистоплотного поставщика услуг, как например смс
Рассматривай passkey как своеобразный вариант аппаратного токена, проводящего аутентификацию через клиентский сертификат, со всеми вытекающими минусами и плюсами
Evengard
А я говорю не столько про ухудшение безопасности, сколько про возможность "пролюбить" свою учётку с концами, без возможности попасть в неё. Безопасность, конечно, выше, но какой толк, если риск того, что ты учётку теряешь, резко повышается - и неважно, причина увод твоей учётки злоумышленником, или жизненные обстоятельства.
Пароль всегда есть надежда вспомнить. Пролюбленные устройства уже не восстановить.