Компания Google внедрила в один из своих веб-сервисов возможность входа с помощью отпечатка пальца, а не пароля. Пока такая возможность есть только при входе в менеджер паролей, но в будущем компания планирует добавить этот метод аутентификации в другие сервисы, сообщается в блоге Google.
Стандартным методом аутентификации в веб-сервисах является комбинация логина и пароля. Кроме того, многие крупные сервисы поддерживают двухфакторную аутентификацию, при которой помимо основного пароля пользователю необходимо предъявить одноразовый код или физический токен. В последние годы многие исследователи в области информационной безопасности отмечают, что эта модель на практике неэффективна. Во-первых, большинство пользователей используют крайне простые пароли, причем сразу на нескольких сервисах, что делает их уязвимыми против даже простых атак. Во-вторых, при входе в сервис на смартфоне одноразовые коды теряют свой смысл, потому что они приходят на то же самое устройство.
Google разработала для входа в свои сервисы альтернативный способ входа, не требующий ввода пароля. Вместо этого пользователю необходимо использовать стандартные методы разблокировки, применяемые в смартфонах на Android — сканирование отпечатка пальца или ввод графического ключа.
Вход можно выполнить через браузер Google Chrome на смартфонах с Android 7.0 и более новой версией. Для этого программисты использовали связку из двух публичных стандартов аутентификации. При входе браузер запрашивает у операционной системы подтверждение личности через отпечаток или графический ключ, используя FIDO API. После ввода ключа или прикладывания пальца система передает браузеру не сами эти данные, а лишь подтверждение того, что отпечаток или графический ключ совпали с сохраненными. После этого браузер передает данные об этом сайту с помощью протокола WebAuthn.
Пока функция доступна лишь для онлайн-менеджера паролей Google, но в дальнейшем компания планирует расширить ее на другие сервисы. Кроме того, поскольку в ней используются общепринятые стандарты, поддерживаемые, к примеру, Firefox, есть вероятность, что она будет поддерживаться и другими браузерами и сервисами.
Ранее Google внедрила в свои веб-сервисы возможность использования смартфона в качестве Bluetooth-токена двухфакторной аутентификации. Для этого пользователю необходимо только нажать на кнопку громкости. Эта функция тоже работает на основе протоколов FIDO и WebAuthn.
Григорий Копиев