На этой неделе компания Google добавила новый стандарт безопасной авторизации без пароля в стабильную версию браузера Chrome 108. Это так называемые ключи доступа, которые являются более безопасной альтернативой паролям. Такой ключ фактически никогда не передается сайту, он генерируется при попытке авторизироваться и не выходит за пределы устройства.
Новая функция работает в Chrome как на компьютерах под управлением Windows 11 и MacOS, так и на мобильных устройствах под управлением Android. В ближайших планах перенести его на iOS и Chrome OS. Кроме того, Google также позволяет синхронизировать ключи доступа между устройствами через встроенный менеджер паролей или сторонние программы, вроде 1Password или Dashlane.
Ключ доступа – это уникальная информация, содержащая все необходимые для идентификации пользователя данные. Она хранится на компьютере, смартфоне или физическом USB-ключе безопасности. Для сайтов и программ, в которых реализована поддержка соответствующего API, он позволяет войти в систему с помощью простого и быстрого подтверждения личности в сочетании с биометрическими данными устройства или другой безопасной аутентификацией. При этом ключ не содержит пароль, который может быть украден.
Это работает следующим образом. Когда пользователь пытается войти где-то с мобильного устройства, браузер предлагает использовать ключ доступа, генерирует код и запрашивает биометрическую аутентификацию как дополнительную меру безопасности. На компьютере пользователям будет предложено подключиться к ближайшему устройству для выбора пароля. Важная особенность поддержки ключей доступа в Chrome и других браузерах состоит в том, что сайты постепенно реализуют WebAuthn API для их приема. Некоторые крупные онлайн-сервисы и интернет-магазины уже прибавили соответствующую функциональность.