Как страшный сон
Отгадайте загадку: длинный, бессмысленный, трудно запомнить, нельзя записать. Правильно, это надежный пароль. Пароли — пожалуй, самая неудобная и уязвимая технология, которая существует с докомпьютерных времен. WebAuthn — новое слово в аутентификации, которое поможет навсегда забыть о надоевшем password
1Что такое WebAuthn и password
WebAuthn — это способ аутентификации, который обещает избавить пользователей от необходимости придумывать, запоминать и вводить пароли. Технология сравнительно новая и поддерживается не всеми веб-сайтами, но, скорее всего, вы с ней уже знакомы. Она работает и на портале mos.ru, и в аккаунте Google.
Для пользователя все выглядит просто: сайт не запрашивает логин и пароль, а лишь переспрашивает, действительно ли вы хотите войти, и просит разблокировать телефон через пин-код, отпечаток пальца или Face ID.
«Вместо» пароля при этом используется криптографический приватный ключ, который хранится на устройстве пользователя. Кавычки у слова «вместо» очень важны: в отличие от пароля, приватный ключ никогда не пересылается по сети, и технология аутентификации коренным образом отличается. Тем не менее, чтобы было понятнее, для чего нужен новый механизм, компания Apple придумала называть приватные ключи словом passkey, похожим на password.
2А чем плох обычный пароль
Пароль — самое слабое место во всей системе кибербезопасности. Возможно, если бы пользователи и владельцы сервисов соблюдали правила обращения с паролями, этот механизм можно было бы считать надежным. Но законы цифровой гигиены столь сложны и неудобны, что на деле их не выполняют даже профессионалы.
Простой пароль можно подобрать. Чтобы облегчить запоминание, пользователи связывают пароли с памятными датами и именами близких людей, пренебрегают использованием специальных символов и разных регистров.
Если человек осилил запоминание сложного пароля, то он, вероятно, использует его на нескольких сайтах одновременно. Так утечка с кустарного форума любителей рыбалки поможет злоумышленникам проникнуть в суперзащищенный онлайн-банк. Сливы баз с персональными данными пользователей, включая пароли, происходят все чаще, но мало кто после таких случаев меняет пароли в чувствительных сервисах.
Пароль можно перехватить с помощью фишинговой атаки: например, подменив страницу сервиса, в который заходит пользователь, точно такой же и с похожим адресом.
Наконец, люди просто записывают пароли на бумажные стикеры, клеят на монитор, «светят» на селфи в соцсетях, кладут в незапираемые ящики стола и… делают татуировки.
3А если я пользуюсь менеджером паролей?
Менеджеры паролей решают значительную часть проблем. Так, для каждого сайта они создают свой пароль, поэтому сливы баз данных не подвергают пользователя риску. Пароли эти действительно сложные, они исключают подбор как брутфорсом (перебором), так и по личным данным пользователя (день рождения или имя питомца). С другой стороны, пароли по-прежнему не защищены от фишинга методом подмены страницы.