В мае 2023 года компания Google присоединилась к общему тренду отказа от паролей — и выкатила passkeys (ключи доступа), которые позволяют войти в аккаунт без пароля, а по пальцу, лицу, локальному пинкоду или аппаратному ключу. То есть авторизоваться в Google тем же методом, которым вы авторизуетесь в операционной системе (на смартфоне или ПК). Ранее об отказе от паролей заявила Microsoft.

По своей природе парольные ключи невозможно «потерять». Ими не может воспользоваться злоумышленник. Разработчики заявляют, что такие ключи надёжнее обычных паролей и даже надёжнее, чем 2FA через SMS, поскольку SMS легко перехватить.

Хотя некоторые говорят о начале постпарольной эпохи, всё-таки подобный оптимизм кажется слегка чрезмерным.

С мая ключи доступа поддерживаются на всех аккаунтах Google, а с июня — на некоторых аккаунтах Workspace и Cloud (тестирование). Браузер Chrome поддерживает парольные ключи с декабря.

Что это такое?


Ключи доступа как метод двухэтапной верификации (2-Step Verification, 2SV) — это более удобная и безопасная альтернатива паролям. Они работают на всех основных платформах и браузерах, позволяя входить в систему, разблокируя компьютер или мобильное устройство с помощью отпечатка пальца, распознавания лица или локального пинкода.

Чтобы создать ключ доступа, нужно перейти по специальной ссылке и авторизоваться в учётной записи.



После этого Google начнёт запрашивать ключ при входе или выполнении важных действий в аккаунте.



Сам ключ хранится на локальном компьютере или мобильном устройстве пользователя. Для доступа к нему устройство проверяет отпечаток пальца или лицо, или пинкод, чтобы подтвердить личность владельца.

В отличие от паролей, ключи доступа существуют только локально. Их невозможно записать или случайно передать злоумышленнику. Когда вы используете ключ входа, это доказывает, что вы имеете доступ к своему устройству и можете его разблокировать. В совокупности это означает, что ключи защищают также от фишинга, повторного использования паролей или утечки данных. По мнению разработчиков, это более надёжная защита, чем большинство современных методов 2SV (2FA/MFA).

Создание ключа доступа делает его вариантом входа в аккаунт Google. Остальные методы, включая пароль, по-прежнему работают при использовании устройств, которые пока не поддерживают ключи.

Ключи доступа остаются новинкой и пройдёт некоторое время, прежде чем они заработают повсеместно. Однако создание ключа уже сейчас даёт преимущества с точки зрения безопасности, считает Google, потому что позволяет более внимательно отнестись к остальным случаям входа в систему, без использования ключей, как потенциально приметам злоумышленника.

Как это работает?


Ключи работают по стандартной схеме асимметричной криптографии. Основным компонентом является закрытый ключ, который хранится на устройстве. При его создании соответствующий открытый ключ загружается в Google. Когда вы входите в систему, она просит устройство подписать уникальный вызов с помощью закрытого ключа. Устройство делает это только с одобрения пользователя, что требует разблокировки устройства. Затем система проверяет подпись с помощью открытого ключа. Вот и всё.

Такая схема гарантирует, что подпись можно передать только конкретной стороне (Google), а не фишинговым посредникам. Поэтому нет риска утечки и никакой фишинговый сайт не нанесёт пользователю вреда. Единственные данные, которые передаются на сервер в этой схеме — открытый ключ и подпись. Ничего из этого не содержит биометрических данных.

Поскольку каждый ключ можно использовать только для одной учётной записи, нет риска его повторного использования в разных службах.

Ключи доступа построены на протоколах и стандартах FIDO Alliance и рабочей группы WebAuthn. То есть это открытые стандарты. Любой веб-разработчик может внедрить такую схему для аутентификации пользователей на своих серверах.

Дополнительно о поддержке ключей на платформах Chrome и Android см. в документации для разработчиков.

Мультимодальная аутентификация


На самом деле, пароли уже стали очень привычны для среднего пользователя за многие годы их использования.

Среди самых распространённых методов аутентификации самым простым и безопасным считается сканирование отпечатка пальца (см. таблицу внизу). В то же время чуть более комфортным и естественным является ввод пароля (вторая строчка в таблице), хотя разница между ними не слишком велика.


Источник: «Мультимодальная аутентификация пользователей в „умных“ средах: Исследование отношения пользователей» (arXiv:2305.03699v2, вторая версия препринта опубликована 23 мая 2023 года)

Интересно, что желание людей применять всё более сложные методы аутентификации возрастает, когда они остаются в одиночестве (или хотя бы в обществе супруга). На публике желание использовать серьёзную аутентификацию уменьшается:


Источник тот же

Будущее без паролей?


В целом человечеству ещё есть куда стремится на пути к улучшению аутентификации, а именно — для достижения баланса между комфортом, надёжностью, приватностью, простотой в использовании и безопасностью. Этот пентабазис изображён на следующей иллюстрации:



Будем надеяться, что Passkeys — шаг в правильном направлении. Но не стоит забывать, что среди всех методов аутентификации наиболее комфортным и естественным для пользователей по-прежнему остаётся ввод пароля (см. результаты исследования выше).

А в случае ключей доступа нужно помнить, что в данном случае утрата контроля над устройством (смартфоном) автоматически означает компрометацию аккаунта Google, потому что парольная защита отсутствует. Google сама признаёт проблему и пишет: «Любой человек, имеющий доступ к устройству и возможность разблокировать его, сможет войти в ваш аккаунт Google. Хотя это может показаться немного тревожным, большинству людей проще контролировать доступ к своим устройствам, чем поддерживать высокий уровень безопасности с помощью паролей и постоянно следить за попытками фишинга».

Возможно, мы действительно наблюдаем начало беспарольного будущего, но это ещё неясно. Некоторые специалисты считают WebAuthn сомнительным стандартом: «Он снимает почти все риски с поставщика услуг и возлагает всю ответственность на пользователя. Поскольку ключи — это просто строки, ничто не мешает нам хранить их где угодно. Мы уже делаем это — хранение ключей SSH или GPG — это то, что мы делаем каждый день. Однако это не относится к массовой публике. Я не могу представить себе бабушку, которая должна следить за тем, чтобы никогда не потерять этот файл, — пишет Михал Сапка, польский разработчик. — Как уже упоминалось выше, Apple и Google пытаются стать хранителями закрытых ключей. Поначалу это звучит замечательно: в аккаунте Google или Apple iCloud ключ будет храниться и синхронизироваться автоматически. Но после некоторых размышлений выясняется, что это не лучшая идея для большинства людей».

Во-первых, это небезопасно. Известно, что корпорации могут без причины заблокировать аккаунты пользователей. Во-вторых, это затрудняет одновременное использование разных экосистем, а тем более — альтернативных ОС и браузеров. То есть передавать свои ключи на хранение внешней стороне— не всегда хорошая идея, считают некоторые специалисты.

В любом случае, в самых защищённых системах отказываться от паролей пока рано.

Комментарии (92)


  1. Number571
    02.07.2023 15:21
    +4

    По своей природе парольные ключи невозможно «потерять». Ими не может воспользоваться злоумышленник.

    То есть, отпечаток пальца или скан лица не переводятся в цифровой вид и их нельзя будет скопировать? Магия будущего?

    И как понимаю опечатка в "парольные".


    1. ris58h
      02.07.2023 15:21
      +2

      Ключ хранится на устройстве и он не биометрический, а вот доступ к ключу - да.


      1. Wesha
        02.07.2023 15:21
        +9

        Ключ хранится на устройстве и он не биометрический, а вот доступ к ключу - да.

        Как правило, все сливаются на следующих вопросах:

        • Как быть, если уронил устройство в { унитаз | реку | за борт на круизе |

          прое увели из кармана }? Пароль "потерять" невозможно (а если человек потерял память с паролем, то, скорее всего, он вообще не помнит, что там в принципе что-то было.

        • Если хозяина телефона вырубили или арес насильно удерживают, то "разблокировать ключ" можно и безо всякого его согласия: отпечатки/прочая физия — вот они! Пароль так просто "выковырять из мозга" (а особенно — мёртвого мозга) не получится.

        От статических паролей надо уходить, да. Но не в сторону "давайте использовать что-то ещё", а в сторону алгоритмических паролей.


        1. BugM
          02.07.2023 15:21
          +1

          Пароль забыть как раз элементарно. Не зря везде накручено куча всякого для восстановления пароля. Это на самом деле нужно.

          Устройство восстанавливается с бекапа и все. Ключ расшифровки бекапа полезно иметь более чем на одной устройстве. Ну и пароль на крайний случай.

          Украденное устройство это вообще не проблема. Кусок пластика. Его даже сбросить к заводским настройкам нельзя зачастую.

          Пароль увы незаменим для экстренных случаев. Сдохло устройство и нет второго тоже привязанного к вам под руками - обычно такой случай. Бывает редко, но метко. А вот от регулярного ввода паролей в куче мест стоит уходить. Что в общем все и делают потихоньку.


          1. inkelyad
            02.07.2023 15:21

            Ну и пароль на крайний случай.

            Разделенный по Шамиру и полученным кусочкам растолканный по нескольким географически разделенным местам. И лучше бы чтобы прямо в сервисе так работало -- "для добавления нового артефакта доступа нужно предъявить n ключевых артефактов из m существующих". Где артефакты - другие устройства, разные записанные коды как одноразовые так и многоразовые.

            Но кто бы так делал-то... Максимум, что умеют - спрашивать на другом залогиненном устройстве "а пустить новое?"


            1. BugM
              02.07.2023 15:21

              Но кто бы так делал-то... Максимум, что умеют - спрашивать на другом залогиненном устройстве "а пустить новое?"

              И это отличный способ. Купить надежно защищенные устройства может любой. И это совсем недорого по сравнению с любыми другими способами защиты данных.

              Разделенный по Шамиру и полученным кусочкам растолканный по нескольким географически разделенным местам

              Тут есть некоторая проблема с восстановлением когда понадобится. Продолбать такое ну слишком просто. Потерянных и забытых будет больше чем успешно использованных.


              1. inkelyad
                02.07.2023 15:21

                И это отличный способ.

                Не совсем. В некоторых случаях хочется, чтобы подтверждение требовалось с двух устройств. Потому что одно - может быть у злодея. И начинается гонка - ты быстрее успеешь его выкинуть или он тебя.


                1. BugM
                  02.07.2023 15:21

                  А откуда у злодея возьмется ваше разблокированное устройство? Так чтобы вы при этом были свободны. Ну я в теории могу представить что его у вас на улице из рук выхватили, но это же минуты до блокировки все равно. Выглядит не очень страшно.


                  1. inkelyad
                    02.07.2023 15:21

                    Речь идет не только о доступе к устройству. А вообще к чему-нибудь.

                    Например, доступ к администрированию какого-нибудь форума может быть у нескольких человек, которые изначально не враждовали, но потом поссорились. И решили доступ друг у друга отобрать.


                    1. BugM
                      02.07.2023 15:21

                      Не надо решать социальные проблемы техническими методами. Это путь в никуда.

                      Если оно важно велкам в суд. Который сделает все по закону. И передаст права кому надо. Если нет, то и пофиг.


                      1. inkelyad
                        02.07.2023 15:21
                        +1

                        Не надо решать социальные проблемы техническими методами. Это путь в никуда.

                        Может и так. Но социальные проблемы появляются, если создатели сервиса хорошо не подумали про техническую сторону - и выходят истории вроде такой.

                        Но согласен, это, скорее, подпорка. Но не для социальной проблемы, а технического недостатка - очень редко где есть разные уровни доступа для сессии. Скажем, ну не предусмотрен в системе уровень 'только для чтения'/'редактирование разрешено только там-то'/'этой сессии запрещено менять атрибуты доступа' - и что делать?


                      1. BugM
                        02.07.2023 15:21

                        Не использовать системы где нет нормальной ролевой модели (с) Кэп.

                        В Телеграмме есть 2fa. Очень рекомендую.

                        Вроде бы это очевидно? И в современном мире достаточно несложно. Ролевые модели и 2fa делать почти все научились делать. Без тех кто не научился вполне можно обойтись.

                        Делайте сами нормально, используйте тех кто делает нормальные сервисы и людям вокруг себя помогите так же поступать. И мир станет немного лучше и безопаснее.


                      1. p07a1330
                        02.07.2023 15:21

                        Спреведливости ради, для доступа к некоторым системам нужно одновременно провернуть 2 разных ключа. Удаленных достаточно друг от друга, чтобы 1 человек не дотянулся
                        Так что идея ка минимум не нова


          1. Wesha
            02.07.2023 15:21
            +3

            Не зря везде накручено куча всякого для восстановления пароля. Это на самом деле нужно.

            Мне "это нужно", потому что в одном сайте "в пароле не может быть цифр", в другом "в пароле обязана быть цифра", при этом в подсказке для ввода пароля этой информации нет!


            1. BugM
              02.07.2023 15:21

              Я не про подсказку. А про "пришлите нам свое фото с паспортом" и всякое такое. Для тех кто надежно забыл пароль от чего-то важного. Чтобы и восстановить можно было и взломать это восстановление было сложнее чем пароль.


              1. K0styan
                02.07.2023 15:21

                Это городить всё равно придётся. Потому что ситуация "сломалось последнее устройство с passkey, бэкапа нет" тождественно равна "надёжно забыт пароль, в хранилке нет" и имеет ненулевую вероятность.


              1. Wesha
                02.07.2023 15:21

                "пришлите нам свое фото с паспортом" — это глупость несусветная, потому как что это докажет? Когда я регистрировался, я ни фото не предъявлял, ни паспорт, соответственно, сравнивать не с чем.


                1. K0styan
                  02.07.2023 15:21
                  +1

                  Товарищу майору всегда есть с чем)


        1. inkelyad
          02.07.2023 15:21

          Как быть, если уронил устройство в { унитаз | реку | за борт на круизе |

          Взять другое, синхронизировать на него криптоконтейнер от менеджера паролей (а теперь и PassKey-ев), залогинится при помощи них куда надо, потерянное устройство снести из доверенных, добавить новое.

          Или - взять другое устройство, которое не утопил, а которое все еще дома лежит. Планшет, скажем. Или воспользоваться длинным резервным кодом, которого не помнишь, но который в надежном месте лежит.

          В общем - с точки зрения использования ничем от работы с паролями в менеджере паролей не отличается.

          Если хозяина телефона вырубили или арес насильно удерживают, то "разблокировать ключ" можно и безо всякого его согласия: отпечатки/прочая физия — вот они! 

          Боишься этого - пользуйся просто паролем/пином на устройстве. Так же как паролем на криптоконтейнере от менеджера паролей. Хотя да, немного раздражает, что эту возможность замыливают. И что для блокировки устройства или хотя бы открытия защищенного хранилища с ключами нельзя использовать и биометрию, и ввод чего-нибудь одновременно.


          1. brammator
            02.07.2023 15:21

            Взять другое, синхронизировать на него криптоконтейнер от менеджера паролей (а теперь и PassKey‑ев), залогинится при помощи них куда надо, потерянное устройство снести из доверенных, добавить новое.

            Это хорошо, когда таких «куда надо» с десяток, а если все ресурсы массово перейдут на пасскейство?


            1. inkelyad
              02.07.2023 15:21

              Не вижу, что изменится от того, что внутри криптоконтейнера, что на 'google drive' лежит не 10 записей, а 150.

              Если же речь идет о тех сервисах, которые криптоконтейнер хранят - то, вроде, отменять всякие account recovery никто не рекомендует.


      1. berng
        02.07.2023 15:21

        Для этого устройство тоже должно быть насквозь шифрованное. На большинстве стационарных компов проблема может решаться загрузочной флэшкой.


  1. PereslavlFoto
    02.07.2023 15:21
    +15

    безопасная альтернатива паролям… пинкод

    Пинкод это безопасная альтернатива паролю. Ладно, хорошо.

    Когда вы используете ключ входа, это доказывает, что вы имеете доступ к своему устройству и можете его разблокировать.

    Однако пароль-то нужен именно для того, чтобы входить с чужого устройства, без своего.

    Когда вы входите в систему, она просит устройство подписать уникальный вызов с помощью закрытого ключа.

    Но закрытый ключ остался на компьютере, а компьютер в другом городе. Что уж тут поделать.

    А в случае ключей доступа нужно помнить, что в данном случае утрата контроля над устройством (смартфоном)

    Стоп-стоп, это всё для смартфонов? А что делать людям, у которых нету смартфона?


    1. dartraiden
      02.07.2023 15:21
      +3

      А что делать людям, у которых нету смартфона?

      Пользоваться паролями.


      1. Abyss777
        02.07.2023 15:21

        Увы в IMAP ящик Google я уже не могу зайти по паролю...

        Да знаю знаю, не пользоваться Google :)


        1. dartraiden
          02.07.2023 15:21

          Создайте пароль приложения, если приложение, которым вы ходите по IMAP, не умеет входить с аккаунтом Google и получать индивидуальный токен.


          Обладателям кнопочных телефонов доступна даже полноценная 2-факторная авторизация, при условии, что телефон поддерживает J2ME.


          1. Abyss777
            02.07.2023 15:21

            Я не могу создать пароль приложения, не включив двухфакторную авторизацию.

            Т.е. для того чтобы иметь доступ к почте по IMAP мне надо:
            - знать пароль OAuth
            - иметь некое приложение TOTP (или упаси боже отдать гуглу свой номер телефона)
            - знать какой-то пароль приложения.

            Не сложновато для такого простого действия?

            Ну и это было в ответ на предыдущий коммент "Пользоваться паролями", а не получится!


            1. dartraiden
              02.07.2023 15:21

              Так включите двухфакторную авторизацию.


              знать пароль OAuth

              Вам его знать не нужно, вам его даже не показывают. Его получает клиентское приложение и хранит у себя.


              иметь некое приложение TOTP

              Вообще не проблема, их под любую платформу полно. Хоть под кнопочные телефоны, хоть под экзотику типа Maemo.


              знать какой-то пароль приложения

              Создать, скормить его приложению, которое не поддерживает OAuth.


              1. Abyss777
                02.07.2023 15:21

                Вам его знать не нужно

                А как мне в интерфейс Gmail то попадать?

                > Вообще не проблема.

                Проблема, мой SonyEricsson P1i не имеет таких приложений

                Еще раз: я не могу "Пользуйтесь паролями" меня заставляют, не оставляя ни какого выбора: пользуйтесь одним паролем, приложением TOTP или СМС и другим паролем.


    1. inkelyad
      02.07.2023 15:21

      Стоп-стоп, это всё для смартфонов? А что делать людям, у которых нету смартфона?

      Пользоваться токенами вроде таких. Сервису/сайту должно быть совершенно все равно, что запрос подписывается хранятся не в внутри защищенного хранилища смартфона, а в другой железке.


      1. PereslavlFoto
        02.07.2023 15:21

        Как правило, эти токены — очень дорогая штука. Намного дороже пароля.


        1. inkelyad
          02.07.2023 15:21
          +5

          А вот тут мне давно хочется придумать какую-нибудь конспирологическую теорию, почему эти токены (в варианте что PIN-ом открывается, а не биометрией) не лежат на каждом углу по цене SIM или банковской карты. Ибо чипы же там вроде по смыслу те же самые. Гуглоамазоны могли бы просто завалить им все и даже почти не заметить по расходам. Но видимо не очень хотят или их старательно отговаривают.


          1. PereslavlFoto
            02.07.2023 15:21

            Банковская карта не имеет цены, её банк выдаёт за просто так.


            В остальном остаётся вопрос, почему 4-буквенный пин лучше, чем 24-буквенный пароль.


            1. inkelyad
              02.07.2023 15:21
              +5

              В остальном остаётся вопрос, почему 4-буквенный пин лучше, чем 24-буквенный пароль.

              Потому что PIN

              1) действует только на конкретном устройстве. На другом перебрать не получится.

              2) после очень небольшого количества попыток чип решает, что ему надоело и умирает вместе с хранящимися внутри ключиками.


              1. PereslavlFoto
                02.07.2023 15:21
                +1

                (1) Спасибо, не знал об этом. Хорошее свойство.


                (2) Очень неудобное свойство. Этак забудешь пин, и пока пытаешься вспомнить, уже надо платить за новый чип.


                1. inkelyad
                  02.07.2023 15:21
                  +9

                  Очень неудобное свойство.

                  Ну так злодею, который на руки чип получил, тоже неудобно. Для того и делалось.


                1. Sulerad
                  02.07.2023 15:21
                  +3

                  надо платить за новый чип

                  Конкретно YubiKey всегда (в т.ч. после исчерпания всех попыток) можно сбросить в ноль и залить на него новый ключ. Но старый при этом умирает безвозвратно, в чём и идея. Платить не придётся =)


          1. Wesha
            02.07.2023 15:21

            Но видимо не очень хотят или их старательно отговаривают.

            Их старательно отговаривают. Потому что при такой схеме очень сложно будет отмазываться "это был не я, мой пароль спёрли", тащи маЁры будут "как же спёрли — вот и лицо ваше, и отпечатки...."


          1. K0styan
            02.07.2023 15:21

            В формате смарт-карты - пучок за пятачок, только вот с ридерами сложнее. А с удобным интерфейсом - уж извините.


          1. event1
            02.07.2023 15:21

            Криптомикросхемы (HSM) стоят 5-10 американских денег за штуку. Вокруг них надо развести плату; прицепить какой-никакой контроллер, память; упаковать в корпус; сертифицировать; отрекламировать и продать. Навскидку, меньше 30 баксов за штуку никак не выйдет. Это очень сильно дороже SIM или банковской карты. Если гугл выдаст такую штуку каждому из своего миллиарда пользователей, то будут расходы 30 миллиардов. Сами граждане на безопасность (на которую им плевать) 30 баксов не потратят. А кто беспокоится, либо купят сами, либо защитятся иным способом. Например, не будут кликать на фишинговые ссылки.


            1. inkelyad
              02.07.2023 15:21

              Криптомикросхемы (HSM) стоят 5-10 американских денег за штуку.

              ..

              Это очень сильно дороже SIM или банковской карты.

              Почему? И те и какие-то ключики хранят и что-то криптографическое с ними делают.

              А по поводу USB интерфейса и разной разводки - то это, по суди, кард-ридер для флешек. 30 долларов тут - уже некоторый перебор.


              1. event1
                02.07.2023 15:21

                Почему? И те и какие-то ключики хранят и что-то криптографическое с ними делают.

                Меньше память, нет универсальности. Кроме того, симка — это soc залитый пластиком. Намного технологичнее в производстве.

                А по поводу USB интерфейса и разной разводки - то это, по суди, кард-ридер для флешек. 30 долларов тут - уже некоторый перебор.

                Основные деньги — это контроллер, HSM, корпусировка и сертификация. Ну и разработка софта. Хотя, если выпускать, миллионными тиражами, разработка вносит незначительно.


    1. vikarti
      02.07.2023 15:21

      А что делать людям, у которых нету смартфона?
      У них же есть комп с Windows (там поддержка Passkey через Windows Hello) — правда есть вопросы как это работает с не очень популярными браузерами вроде Brave/ЯндексБраузера. И НЕ переносится между машинами (пока)
      Либо комп с macOS — и тогда все переносится (привязка к Apple Account) (правда не работает во всяких мелких непопулярных на macOS браузерах вроде Firefox)

      Вообще что где работает сейчас — https://www.passkeys.io/ табличка внизу, более полное описание — https://passkeys.dev/device-support/


      Еще у 1Password в бете поддержка Cross-Device Authentication Authenticator заявлена. Правда еще не заявлена, но присутствует еще дискриминация по национальному признаку.


      Ну и — в случае с Windows Hello — совсем не обязательно доступ — биометрией (на компе с которого я пишу — ну нет считывателя биометрии, спокойно используется пинкод нужной мне длинны). В случае телефона — использутся указанный при настройке телефона способ разблокировки.
      Ну и всякие YubiKey внезапно тоже можно (если есть поддержка на уровне ОС — в Android и ChromeOS не завезли пока) — да, это будет device-bound passkey и если что — восстановить никак — ну так кто ж вам мешал использовать больше одного токена?


      1. inkelyad
        02.07.2023 15:21

        Ну и — в случае с Windows Hello — совсем не обязательно доступ — биометрией (на компе с которого я пишу — ну нет считывателя биометрии, спокойно используется пинкод нужной мне длинны). 

        Вот только

        Chrome on Windows stores passkeys in Windows Hello, which doesn't synchronize them to other devices as of May 2023.

        Ну и всякие YubiKey внезапно тоже можно (если есть поддержка на уровне ОС — в Android и ChromeOS не завезли пока) — да, это будет device-bound passkey и если что — восстановить никак — ну так кто ж вам мешал использовать больше одного токена?

        Вот чего я не понимаю - неужели сделать так, чтобы телефон притворялся USB или bluetooh хардваным токеном по стандартным протоколам(вместо Yubikey его втыкать)? В телефоне вроде как соответствующие интерфейсы есть.

        А то что-то то что получается - смотри известный комикс про стандарты.

        Еще можно вспомнить, что у нас, вообще-то https умеет использовать (а браузер - спрашивать "какой использовать будем?") клиентские сертификаты. Можно было использовать в духе:

        1) Пользователь говорит "хочу тут учетку"

        2) Браузер генерирует Certificate Request, посылает сайту.

        3) Сайт подписывает его своим собственным Certificate Authority, возвращает браузеру.

        4) Браузер сохраняет его в локальном кейсторе

        5) Кейстор потом синхронизируется, так же как сейчас passkeys научили.

        6) При следующем посещении - идет https хандшейк, в процессе которого этот клиентский сертификат предъявляется (а сайту вроде как идентификтор этого сертификата вполне доступен).

        Так что логику, почему сделали именно так, а не иначе - было бы интересно почитать.


  1. Helldar
    02.07.2023 15:21
    +7

    И у Гугла будет часть биометрических данных, которые они смогут использовать где угодно, когда угодно и в каких угодно целях. На шаг ближе к цифровому концлагерю.

    Тот же Гугл недавно на телефоне обновил приложение Google Authenticator, хранящее коды для 2FA. И теперь оно все эти коды сливает себе в облако. Зачем? А затем, что без этого у Гугла не было доступа к этим кодам, во всяком случае официально. А теперь есть. Официально. Нужно кому-то авторизоваться под кем-то чтобы что-то узнать - пожалуйста, вот 2FA код, а вот тут биометрический идентификатор. Пользуйтесь, на здоровье.


    1. dartraiden
      02.07.2023 15:21
      +4

      И у Гугла будет часть биометрических данных

      С чего бы?


      Ну, если мы не говорим про рукожопов из HTC, которые во времена Android 4 хранили прям изображения отпечатков в виде картинок во внутренней памяти.


      1. Helldar
        02.07.2023 15:21
        -1

        С того, что хэш отпечатка пальца и является тем самым биометрическим идентификатором. Когда входим в телефон или ещё куда, камера снимает отпечаток хоть с пальца, хоть с лица, затем из полученной информации вычисляется хэш. Когда есть готовый хэш идентификатор, процесс его расчёта можно пропустить - берём значение и вперёд.

        Работал с системой отпечатков пальцев. У нас в офисе в начале рабочего дня и в конце сотрудники должны были палец прикладывать к датчику. Так руководство следило кто во сколько пришёл и ушёл. При этом, можно было легко из базы взять идентификатор (для разработчиков, имеющих доступ к базе, конечно) и выполнить запрос к серверу, подписав его этим хэшем. Тот отпечаток был где-то 512 символов длиной. Точно не считал. Так что это очень легко.


        1. inkelyad
          02.07.2023 15:21
          +4

          Когда есть готовый хэш идентификатор, процесс его расчёта можно пропустить - берём значение и вперёд.

          Вперед куда? Потом что если все делать хоть сколько то нормально, то хэш будет подходить только для того защищенного хранилища, что в конкретном смартфоне стоит. И на каждом устройстве будет считаться со своей солью.


          1. Helldar
            02.07.2023 15:21

            Возможно. Это уже зависит откуда руки растут у разрабов приложения, для которого этот хэш будет использоваться.


            1. Wesha
              02.07.2023 15:21
              +1

              Это уже зависит откуда руки растут у разрабов приложения

              (со вздохом) Оттуда, молодой человек, оттуда...


          1. event1
            02.07.2023 15:21

            Вперед куда?

            На основании хэша считаете шифроключ хранилища и расшифровываете хранилище. На знаю зачем это надо, но можно.


        1. BugM
          02.07.2023 15:21
          +6

          Так делать нельзя.

          Сейчас есть золотой стандарт работы с биометрией:

          Любая биометрия никогда не покидает устройство пользователя. Ни при каких обстоятельствах. Биометрия используется локально на устройстве пользователя чтобы достать ключи из локального хранилища и дальше для всего чего надо используются эти ключи. Ключи от биометрии конечно же никак не зависят. И по биометрии их вычислить нельзя. И наоборот биометрию нельзя вычислить по ключу.

          Если вам кто-то пытается продать архитектурно другое решение, то гоните его. Он ничего не понимает в современных стандартах.


          1. Helldar
            02.07.2023 15:21
            -1

            Так-то оно так, да вот кто скажет что он сливает данные себе? Тот же Google Authenticator взял и обновил приложение, а при запуске оно взяло и слило все секреты в облако гугла. Типа удобство, но платить за это приходится наличием секретов в облаке, где Гугл может их использовать как захочет и никто кроме них не узнает об этом. То же самое и с биометрией - введут в браузере и вуаля - что и куда оно сливает, кто ж знает.

            Так что все эти договорённости и условные стандарты - это лишь голословные заявления, по сути. Как ни крути, а контролированием и программированием людей корпорации давно занимаются. Почитайте историю того же Сноудена или любого другого сотрудника крупной корпорации. Конечно, бывшего сотрудника. Нынешние мало чего расскажут, т.к. им контракт напрямую запрещает это делать.

            Технологии это и хорошо, и плохо одновременно. И если бы это всегда было хорошо, то вряд ли бы тоннами блокировались сайты по всему миру и вводилась бы та же цензура. А получение ключей, в том числе биометрических идентификаторов, вопрос времени. И также не стоит забывать про трояны, актуальные до сих пор. Случайно или специально зашли не туда или качнули не то - софт на устройстве и тырит всё, до чего сможет дотянуться. Вот и всё.

            Даже у Telegram защиту секретного чата давно сломали. Дуров ещё в начале обещал, не помню точно, 50к зелени, что ли, тому кто прочтёт переписку из его секретного чата с братом. Один хакер смог даже получить тело сообщения, но расшифровать не смог. А спустя время силовики смогли прочитать секретные чаты некоторых людей - забирают телефон и читают. А подобные passkeys сервисы позволят им облегчить эту задачу - достаточно будет через суд обязать сервис выдать ключи биометрии и всё, вот она переписка в прямом эфире, так сказать. И никто не спалит, потому что читающий - владелец этого хэша. И не важно кто им воспользуется и для каких целей.


            1. BugM
              02.07.2023 15:21
              +1

              Теорией заговора объяснить можно все. Но не стоит так делать. Так вы быстро скатитесь до американцы не были не Луне и Земля плоская.

              Есть производитель публично декларирует что он поддерживает такой стандарт работы, производитель достаточно крупный чтобы дорожить репутацией и эта репутация у производителя есть, то ему можно верить. Все просто. Поддерживайте хороших ребят своими деньгами.

              Ошибки случаются у всех. В том числе rce всякие. Ну что поделать. Вероятность что вы станете целью такой атаки совсем небольшая. Как бы не нулевая. А вот если сам производитель работает с вашей биометрией некорректно это можно узнать на 100%. Просто почитать что и как они делают. Это обычно описано в публично доступных документах. Если ничего не пишут - разумно предположить худшее. Не покупайте у таких и гоните их куда подальше. Все тоже просто.

              Айфон даже с аппаратом на руках поломать совсем непросто. Вы точно уверены что за взлом вашего Айфона кто-то заплатит хотя бы 100 тысяч долларов? Я вот не уверен. Значит он надежно защищен.


              1. Helldar
                02.07.2023 15:21

                Нет, то что я очевидно далеко не популярная фигура и что смысла нет "ломать" мои устройство далеко не показатель того что аппараты не ломаются. Вон, сколько случаев было когда нюдсы голливудских звёзд сливали в сеть, ломая Apple Cloud, или как он там называется.

                Так что кому надо, смогут взломать кого надо, а для тех кто эти ключи хранит, и вовсе ломать ничего не надо - взял ключ да используй.

                Теория заговора теорией, но именно с этим мы и живём, и если закрыть глаза, проблема не исчезнет.


                1. BugM
                  02.07.2023 15:21
                  +3

                  Вы опять уходите в теорию заговора. На практике звезды свои нюдсы "сливают" сами. Это же упоминаемость бесплатная. Часто так делать не стоит, но если надо напомнить о себе вот прям сейчас чтобы взяли в большой проект например, то рабочий способ.

                  Кому надо это так не работает. Нет этих магических людей. И магических способов нет. Есть стоимость. Порядок 100 тысяч долларов за взлом можно считать абсолютной неуязвимостью для любого обычного человека. Убить человека дешевле, если что. Вы тоже будете из-за этого переживать?

                  Итого: Проблемы нет. Если вам важна защита, то используйте хорошие устройства от хороших производителей. Чтобы не думать можно взять Айфон. Если думать, то еще есть варианты. С облаками сложнее. Там стоит смотреть на поддержку е2е шифрования и юрисдикцию облака. Меня icloud для бекапа телефона+облако гугла для всяких файликов+облако яндекса для фоточек с отпуска по этим параметрам устраивают. Возможно для вас актуальнее какой-то другой набор облаков, тут вам виднее. Но такой набор облаков точно есть.

                  Эти методы лично для вас гарантирует что никто не получит доступ к данных в вашем телефоне.


                  1. Helldar
                    02.07.2023 15:21
                    +1

                    Да, но гарантий нет, по сути.


                    1. Wesha
                      02.07.2023 15:21
                      +1

                      Да, но гарантий нет, по сути.

                      Ну... да...


              1. venanen
                02.07.2023 15:21
                +2

                Ох, ваши данные сливают буквально все. Нет хороших, нет плохих - это бизнес. Про Вас знают все, где вы ходите, что покупаете, что смотрите на телевизоре/ютубе. Посмотрите сливы баз данных, посмотрите в профиле гугла сколько у него на вас инфы (на меня архив весом 70(!!!) Гб). А про документы - в компаниях тоже не дураки сидят, и строчек вроде "не храним никакой информации кроме логина и пароля" вы не увидите, если это не сервисы, у которых приватность - одна из важнейших вещей (например, DuckDuckGo, и то с нюансами). И обратного тоже.

                Ошибки случаются и вскрывают невероятные вещи. Например, что айфон, про который вы говорите дальше вскрывается одним сообщением в iMessage, и там настоящий RCE, который, конечно, там появился по ошибке, да. В документах айфона вряд-ли это описано. И следили за высокопоставленными людьми тоже совершенно случайно. Или истории про Pegasus, который вообще за первыми лицами государств. Но если это можно с трудом списать на какие-то теории заговоров, уязвимостями, о которых никто кроме спецслужб не знает, то про телевизоры - тут всем известный факт, что телевизоры очень подешевели, потому что теперь производители зарабатывают на продаже ваших данных. Я вот зашел на Lg Smart TV, в раздел "политики конфиденциальности" и не нашел там не одной строчки о том, что информацией обо мне торгуют. А еще такого нет ни у Sony, ни у Phillips.

                Вы точно уверены что за взлом вашего Айфона кто-то заплатит хотя бы 100 тысяч долларов? Я вот не уверен.

                Это как в анекдоте, про неуловимого Джо, который неуловимый, потому что его никто не ловит. Если вся защита устройства сводится к тому, что кому это надо - это значит, значит защиты нет. Зачем Вы придумываете длинные и сложные пароли для сайтов, почему не qwerty123? Ведь вряд-ли кто-нибудь будет брутфорсить ваш аккаунт на хабре? Потому что руководствуясь такими аргументами, можно вообще пароли отменить.


                1. BugM
                  02.07.2023 15:21

                  Вы точно уверены? Сможете мне в личку прислать пару моих неопубликованных нигде фоточек которые у меня в облаках? Яндекс, Гугл, Эппл. На выбор из любого. Обещаю не подавать в суд, не писать заявлений о взломе и все такое.

                  Уязвимости бывают везде. Хотите это исправить? Начините с себя. Пишите софт без багов. Или еще лучше идите в Эппл работать такой софт там писать. Я уверен что такие люди им нужны.

                  А меня бигбаунти платящий миллион за такие уязвимости полностью устраивает. Он гарантирует что такая уязвимость будет стоит слишком дорого чтобы ее против меня использовали. Деньги это лучшая гарантия.

                  Для защиты данных стоящих миллион долларов надо предпринимать особые усилия. Согласен. Начать стоит с телохранителя. Для защиты от самого очевидного вектора взлома. Дальше уже думать надо.

                  Это как в анекдоте, про неуловимого Джо, который неуловимый, потому что его никто не ловит. Если вся защита устройства сводится к тому, что кому это надо - это значит, значит защиты нет. Зачем Вы придумываете длинные и сложные пароли для сайтов, почему не qwerty123? Ведь вряд-ли кто-нибудь будет брутфорсить ваш аккаунт на хабре? Потому что руководствуясь такими аргументами, можно вообще пароли отменить.

                  Вы не так поняли. Платить за взлом меня 100 тысяч долларов никто не будет. Это не имеет смысла. А вот бесплатно или почти бесплатно достать сканером почему бы и нет?

                  Все что надо для полной безопасности это обеспечить достаточно высокую стоимость взлома ваших данных. И все.

                  Плохой пароль или тем более без пароля не подходит по этому критерию. Это дает околонулевую стоимость взлома, что имеет смысл.


                  1. anzay911
                    02.07.2023 15:21
                    +1

                    Вас соблазнили променять нулевую вероятность на околонулевую.


                    1. doctorw
                      02.07.2023 15:21
                      +6

                      Потому что защит с гарантированно нулевой вероятностью взлома не существует и скорее всего не может существовать.


                1. aik
                  02.07.2023 15:21
                  +2

                  на меня архив весом 70(!!!) Гб)

                  Лично у меня в архиве гугла по объёму 90% составляют видеоролики, которые я грузил на ютуб. Ещё почты полтора десятка гигов. Всё остальное — копейки.


    1. Didimus
      02.07.2023 15:21

      Потому использовать фирменный аутентификатор для сторонней аутентификации можно использовать только для неважных сайтов


      1. Helldar
        02.07.2023 15:21

        В этом случае как раз не важно - они получат код активации только по своему секрету, который в аутентификатор добавляется. А вот Гугл получит доступ ко всем сервисам, добавленным в это приложение. Также как и все, кто имеет власть над Гуглом.


        1. doctorw
          02.07.2023 15:21

          Но это же 2fa-код, пароля то у гугла при этом нет.


          1. Helldar
            02.07.2023 15:21

            Да, но прецедент есть. А passkeys призван отказаться от паролей в пользу аутентификации по лицу и/или отпечатку пальца.

            То есть, по сути, теперь вместо рандомного сложного пароля везде будет использоваться максимум 11 вариантов по количеству пальцев на руках или лицу, да и те будут лежать в этом хранилище, доступ к которому явно будет не только у разработчика и не только с целью улучшить жизнь.

            Вдобавок спецслужбам не нудно будет взламывать устройства - достаточно приложить палец или показать лицо. И, как мы знаем, они далеко не всегда бандитов ловят...


            1. inkelyad
              02.07.2023 15:21

              А passkeys призван отказаться от паролей в пользу аутентификации по лицу и/или отпечатку пальца.

              Это почему-то такое впечатление создают. На самом деле passkeys отдельно, а способ их хранения и доступа к ним -- отдельно. Не хочешь разлочивать устройство биометрией - используй другой способ.

              Оно, в общем, ничем не отличается от хранения кучку рандомных сложных паролей в криптоконтейнере любимого менеджера паролей. Которые наверняка тоже этому научатся и уже начинают - у 1password уже какая-то поддержка есть. И на мобильных устройствах эти менеджеры тоже приблизительно все умеют при помощи биометрии свой контейнер открывать (очевидно, сохраняя ключ шифрования контейнера в кейсторе системы, который "доступ к которому явно будет не только у разработчика и не только с целью улучшить жизнь.")


              1. Helldar
                02.07.2023 15:21

                Даже если не смотреть на технический процесс, можно взглянуть на физическое взаимодействие. Допустим, кому-то понадобится доступ к устройству гражданина. Сейчас органы любой страны делают запрос в инстанцию, и она предоставляет им все нужные данные, хранящиеся у них. Это время и неполные данные. И всё потому, что человек не скажет свой пароль. А в случае применения биометрии это всё будет не нужно - пальцы и лицо всегда при себе. В том числе поэтому те же политологи не рекомендуют использовать биометрические данные для разблокировки того же телефона.


                1. doctorw
                  02.07.2023 15:21
                  +1

                  Именно так, пароль можно забыть а биометрию не забудешь, всегда при себе.


                  1. Helldar
                    02.07.2023 15:21

                    И в случае с лицом даже силу не надо применять - показал аппарат и всё, разблокировано. И на сайтах авторизовало.


                  1. Wesha
                    02.07.2023 15:21

                    биометрию не забудешь, всегда при себе.

                    Зато так легко поменять, если скомпрометирована... /s


    1. kasthack_phoenix
      02.07.2023 15:21

      Зачем?

      Бэкапы. Проепотерять устройство с ключами очень больно, потому что коды восстановления найти -- та ещё задача. Я ради облачных бэкапов на Microsoft Authenticator перешёл, а с товарищем использовал Authy, где все ключи автоматически синкаются между устройствами, подключёнными к аккаунту.


  1. Actaeon
    02.07.2023 15:21
    +1

    В практическом смысле , это как я понимаю - новое средство дискриминации иранов, суринамов и нашей богоспасаемой. Оно поддается программной эмуляции на стороне пользователя, или таки нет ?? Из статьи - неясно ...


  1. K0styan
    02.07.2023 15:21
    +2

    Я во всей этой истории одного понять не могу: сценария первой авторизации на новом устройстве.

    Вот есть аккаунт. Я хочу авторизоваться в нём на новом устройстве - то есть каким-то боком залить на него закрытый ключ. Я правильно понимаю, что для этого я как минимум должен иметь под рукой ещё одно устройство, где я уже авторизован - или таки зайти со старым-добрым паролем?


    1. inkelyad
      02.07.2023 15:21

      Я правильно понимаю, что для этого я как минимум должен иметь под рукой ещё одно устройство, где я уже авторизован - или таки зайти со старым-добрым паролем?

      Да. Но это касается только криптоконтейнера с ключами и/или той учетки, где он хранится. Все остальное, что поддерживает PassKeys - можно, теоретически, сразу при помощи их регистрировать, не заводя пароля.


      1. K0styan
        02.07.2023 15:21

        С регистрацией вопрос понятен: пока жива та сессия, в которой проходила регистрация, можно меня считать авторизованным и сохранить мой открытый ключ с уверенностью.

        Как раз вся интрига в ситуации, когда аккаунт уже есть, и надо доказать, что вот это свеженькое устройство принадлежит тому же пользователю. Но без другого уже авторизованного устройства.


        1. inkelyad
          02.07.2023 15:21

          Не понимаю никакой интриги. Ситуация в точности соответствует "у меня пароль от учетки соцсети в зашифрованном контейнере менеджера паролей хранится. А контейнер - на google drive."

          Соответственно, вопрос с доказыванием 'принадлежит тому же пользователю' - это кому доказать?

          Гугл драйву? Да, нужен пароль, чтобы это контейнер открыть.

          Соцсети? Нет, не нужен, - ключик достается из того файлика, что google drive скачивается.


          1. K0styan
            02.07.2023 15:21

            Так весь прикол этих passkey - в том, что пара открытого и закрытого ключей своя для каждого устройства. Нет контейнера как такового. Есть бэкап, но это другая история.

            Ну и да, вопрос "а как авторизоваться в Гугле?" никуда не девается...


            1. inkelyad
              02.07.2023 15:21
              +1

              Так весь прикол этих passkey - в том, что пара открытого и закрытого ключей своя для каждого устройства. Нет контейнера как такового

              Отдельный на каждом устройстве - это Гугл для своих учеток немного параноит. А вообще-то нет. Именно контейнер с одними и теми же ключиками и есть.

              Вот тут Гугл объясняет, как это работает.

              To address the common case of device loss or upgrade, a key feature enabled by passkeys is that the same private key can exist on multiple devices.


  1. Jetmanman
    02.07.2023 15:21
    +3

    Когда дело касается безопасности мессенджеров всегда вспоминают неуловимого Джо, но когда доступа к другим аккаунтам, то все трясутся как осиновые листы.


  1. DimmoNz
    02.07.2023 15:21
    +1

    затрудняет одновременное использование разных экосистем

    Не проблема, менеджеры паролей такие как 1Password и Bitwarden заявляют о поддержке Passkey. А они кросс-платформенные.

    Даже сейчас у Apple есть свой родной «парольный менеджер» (Keychain вроде называется), есть выбор, использовать нативное решение iOS, но тогда на другой платформе без устройства от Apple не зайдешь или добавить пароль сразу в сторонний менеджер паролей и спокойно прыгать по платформам без привязки к одной.

    Лично использую сторонний менеджер, но вот если родственник использует только iPhone и iPad, то приучаю их использовать родное решение, зачем им другая платформа, так ещё это надежнее, чем когда они прям в чехле носят бумажку с паролем или постоянно забывают. Достаточно обучить их одной вещи на свете – пин-код при людях не вводить, а разблокировать гаджет по лицу/пальцу, всё (ну и записываю в свой менеджер их пароль от Apple аккаунта, так что могут спать спокойно и не бояться потерять телефон). Всё зависит от сценариев использования, лично я об этом уже давно мечтал, если пользователь ответственный - дайте нам такие инструменты, мы сами позаботимся обо всём и будем в ответе сами, если пользователь не очень в этом разбирается - есть другие инструменты, где они делегируют ответственность типа эплам и гуглам. Это ни минусы, ни плюсы, а просто разный подход.

    А хотелось бы более экзотической вещи, представьте, одна сид-фраза и любой аппаратный кошелек становится вашим ключом в любой сервис. Даже облако не нужно, а ключи подписываются в самом хардвалете, что уже исключает саму утечку приватного ключа и не надо хранить в смартфоне/ноуте. Вот это было бы реально будущее.


  1. aik
    02.07.2023 15:21

    А выбор пользователю никто дать не думает?
    Хочет — пароль, хочет — на почту код, хочет — по смс, а хочет — в приложение на телефоне.


    1. event1
      02.07.2023 15:21

      Проблема (с точки зрения гугла) заключается в том, что пользователь выбирает какую-то дичь (прилепить пароль на монитор), а виновным оказывается гугл. По-этому, они (справедливо) считают, что пользователь не может сделать правильный выбор для защиты своих данных и делают этот выбор за него.


      1. aik
        02.07.2023 15:21

        Пароль на мониторе тоже имеет свои достоинства.
        К примеру, его можно передать другому лицу.


  1. alex-open-plc
    02.07.2023 15:21

    Из личной практики:
    - смотри, я пароль сделал по анализу лица. Не надо ничего печатать и фиг кто войдет!

    Напечатал фотографию на А4, поднес к камере: вуаля...

    С отпечатками чуть больше возни, но история я думаю похожая...


    1. Wesha
      02.07.2023 15:21

      Не так надо!

      (В оригинальном анекдоте мужик использовал несколько другой палец...)


  1. DimmoNz
    02.07.2023 15:21

    Судя по обсуждению не все правильно поняли про биометрию, она не нужна в Passkeys, ключи хранятся на устройстве, чтобы получить к ним доступ надо подтвердить лицом/пальцем или пин-кодом телефона как при разблокировке экрана. Это просто мастер-пароль к ключам.


    1. vikarti
      02.07.2023 15:21

      Возможно авторам статьи стоило https://passkeys.dev/ еще перевести целиком или хоть ссылку на него дать.
      Как и на https://www.passkeys.io/ где можно потыкатся на своем железе и посмотреть как оно более менее должно работать.


      1. 3ycb
        02.07.2023 15:21

        где можно потыкатся на своем железе и посмотреть как оно более менее должно работать.

        Зашел на этот сайт с компа в Лисе в Минте и че? Как этим пользоваться? Ввел мыло. При нажатии "Save a passkey", в адресной строке выплывает непонятное сообщение типа Сайт хочет зарегить аккаунт с одним из моих ключей. Ты можешь подключить какой нибудь из них или уйти и только кнопка Cancel. И иконка фингерпринта. Как дальше то? Как подключить? Или это только для смартфонов? С мобилы удалось, но я с компа хочу.


        1. inkelyad
          02.07.2023 15:21

          Зашел на этот сайт с компа в Лисе в Минте и че

          На линуксе - не завезли пока. Потому что считается, что тут не браузер, а сама ось должна всем этим заниматься по его запросу.


  1. domix32
    02.07.2023 15:21

    Лол, ждём ещё поддержку SQRL от гугла.