Вход без пароля с паролями

Ключи доступа

Введение

Ключи доступа — более безопасная и простая альтернатива паролям. С помощью паролей пользователи могут входить в приложения и на веб-сайты с помощью биометрического датчика (например, отпечатка пальца или распознавания лиц), PIN-кода или шаблона, освобождая их от необходимости запоминать пароли и управлять ими.

И разработчики, и пользователи ненавидят пароли: они создают неудобства для пользователей, создают трудности при переходе и создают проблемы с безопасностью как для пользователей, так и для разработчиков. Google Password Manager в Android и Chrome уменьшает трение благодаря автозаполнению; для разработчиков, стремящихся к дальнейшим улучшениям в преобразовании и безопасности, ключи доступа и федерация удостоверений являются современными подходами в отрасли.

Ключ доступа может соответствовать требованиям многофакторной аутентификации за один шаг, заменяя как пароль, так и OTP (например, 6-значный SMS-код), чтобы обеспечить надежную защиту от фишинговых атак и избежать проблем с UX, связанных с SMS или одноразовыми паролями на основе приложений. Поскольку ключи доступа стандартизированы, единая реализация позволяет работать без пароля на всех устройствах пользователей, в разных браузерах и операционных системах.

Ключи доступа проще:

  • Пользователи могут выбрать учетную запись для входа. Вводить имя пользователя не требуется.
  • Пользователи могут аутентифицироваться с помощью блокировки экрана устройства, такой как датчик отпечатков пальцев, распознавание лиц или PIN-код.
  • Как только пароль создан и зарегистрирован, пользователь может легко переключиться на новое устройство и сразу же использовать его без необходимости повторной регистрации (в отличие от традиционной биометрической аутентификации, которая требует настройки на каждом устройстве).

Коды доступа безопаснее:

  • Разработчики сохраняют на сервере только открытый ключ вместо пароля, а это означает, что для злоумышленника гораздо меньше пользы от взлома серверов и гораздо меньше действий по очистке в случае взлома.
  • Ключи доступа защищают пользователей от фишинговых атак. Коды доступа работают только на их зарегистрированных веб-сайтах и ​​в приложениях; пользователь не может быть обманут для аутентификации на мошенническом сайте, потому что браузер или ОС обрабатывают проверку.
  • Ключи доступа сокращают расходы на отправку SMS, делая их более безопасным и экономичным средством двухфакторной аутентификации.

Что такое пароли?

Ключ доступа — это цифровое удостоверение, привязанное к учетной записи пользователя и веб-сайту или приложению. Ключи доступа позволяют пользователям аутентифицироваться без необходимости вводить имя пользователя или пароль или предоставлять какой-либо дополнительный фактор аутентификации. Эта технология призвана заменить устаревшие механизмы аутентификации, такие как пароли .

Когда пользователь хочет войти в службу, использующую ключи доступа, его браузер или операционная система помогут ему выбрать и использовать правильный ключ доступа. Опыт аналогичен тому, как сегодня работают сохраненные пароли. Чтобы убедиться, что только законный владелец может использовать пароль, система попросит его разблокировать свое устройство. Это может быть выполнено с помощью биометрического датчика (например, отпечатка пальца или распознавания лица), PIN-кода или шаблона.

Чтобы создать пароль для веб-сайта или приложения, пользователь сначала должен зарегистрироваться на этом веб-сайте или в приложении.

  1. Перейдите в приложение и войдите, используя существующий метод входа.
  2. Нажмите кнопку Создать пароль .
  3. Проверьте информацию, сохраненную с новым ключом доступа.
  4. Используйте разблокировку экрана устройства, чтобы создать пароль.

Когда они возвращаются на этот веб-сайт или в приложение, чтобы войти в систему, они могут предпринять следующие шаги:

  1. Зайдите в приложение.
  2. Нажмите на поле имени учетной записи, чтобы отобразить список паролей в диалоговом окне автозаполнения.
  3. Выберите их пароль.
  4. Используйте разблокировку экрана устройства для завершения входа в систему.

Устройство пользователя генерирует подпись на основе пароля. Эта подпись используется для проверки учетных данных для входа между источником и ключом доступа.

Пользователь может входить в службы на любом устройстве с помощью пароля, независимо от того, где он хранится. Например, пароль, созданный на мобильном телефоне, можно использовать для входа на веб-сайт на отдельном ноутбуке.

Как работают пароли?

Ключи доступа предназначены для использования через инфраструктуру операционной системы, которая позволяет менеджерам ключей доступа создавать, резервировать и делать ключи доступа доступными для приложений, работающих в этой операционной системе. На Android пароли можно хранить в диспетчере паролей Google , который синхронизирует пароли между устройствами Android пользователя, на которых выполнен вход в одну и ту же учетную запись Google. Ключи доступа надежно шифруются на устройстве перед синхронизацией и требуют их расшифровки на новых устройствах. Пользователи с ОС Android 14 или более поздней версии могут хранить свои пароли в совместимом стороннем менеджере паролей.

Пользователи не ограничены использованием ключей доступа только на том устройстве, где они доступны — ключи доступа, доступные на телефонах, можно использовать при входе в ноутбук, даже если ключ доступа не синхронизирован с ноутбуком, пока телефон включен. рядом с ноутбуком, и пользователь подтверждает вход на телефоне. Поскольку ключи доступа основаны на стандартах FIDO , их можно использовать во всех браузерах.

Например, пользователь посещает example.com в браузере Chrome на своем компьютере с Windows. Этот пользователь ранее входил на example.com на своем устройстве Android и сгенерировал пароль. На компьютере с Windows пользователь выбирает вход с помощью пароля с другого устройства. Два устройства подключатся, и пользователю будет предложено подтвердить использование своего ключа доступа на устройстве Android, например, с датчиком отпечатков пальцев. После этого они вошли в систему на компьютере с Windows. Обратите внимание, что сам пароль не передается на компьютер с Windows, поэтому обычно example.com предлагает создать там новый пароль. Таким образом, телефон не потребуется в следующий раз, когда пользователь захочет войти в систему. Дополнительные сведения см. в разделе Вход с помощью телефона .

Кто использует пароли?

Ряд сервисов уже используют пароли в своих системах.

Попробуй сам

Вы можете попробовать пароли в этой демонстрации: https://passkeys-demo.appspot.com/

Соображения конфиденциальности

  • Поскольку вход с помощью биометрии может создать у пользователей ложное впечатление, что это отправляет конфиденциальную информацию на сервер. На самом деле биометрический материал никогда не покидает личное устройство пользователя.
  • Ключи доступа сами по себе не позволяют отслеживать пользователей или устройства между сайтами. Один и тот же пароль никогда не используется более чем для одного сайта. Протоколы ключей доступа тщательно разработаны таким образом, чтобы никакая информация, передаваемая сайтам, не могла использоваться в качестве вектора отслеживания.
  • Менеджеры паролей защищают пароли от несанкционированного доступа и использования. Например, Google Password Manager сквозным шифрованием секретных ключей доступа . Только пользователь может получить к ним доступ и использовать их, и хотя они резервируются на серверах Google, Google не может использовать их для олицетворения пользователей.

Соображения безопасности

  • Парольные ключи используют криптографию с открытым ключом . Криптография с открытым ключом снижает угрозу потенциальных утечек данных. Когда пользователь создает пароль для сайта или приложения, на устройстве пользователя создается пара открытого и закрытого ключей. На сайте хранится только открытый ключ, но он сам по себе бесполезен для злоумышленника. Злоумышленник не может получить закрытый ключ пользователя из данных, хранящихся на сервере, которые необходимы для завершения аутентификации.
  • Поскольку ключи доступа привязаны к веб-сайту или удостоверению приложения, они защищены от фишинговых атак. Браузер и операционная система гарантируют, что ключ доступа можно использовать только с тем веб-сайтом или приложением, которое их создало. Это освобождает пользователей от ответственности за вход на настоящий веб-сайт или в приложение.

Получить уведомление

Подпишитесь на информационный бюллетень разработчиков ключей доступа Google , чтобы получать уведомления об обновлениях ключей доступа.

Следующие шаги