Исследователи из Cybernews обнаружили крупнейшую подборку паролей, состоящую из 9 948 575 739 уникальных комбинаций, хранящихся в открытом виде. Файл с паролями rockyou2024.txt был замечен на одном из хакерских форумов и, по сути, он является желанной целью для злоумышленников, которые используют метод перебора паролей для взлома аккаунтов.

Источник изображения: Shutterstock

«По своей сути утечка RockYou2024 представляет собой компиляцию реальных паролей, используемых людьми по всему миру. Раскрытие такого количества паролей существенно повышает риск проведения атак, связанных с подбором паролей», — говорится в сообщении Cybernews.

Согласно имеющимся данным, упомянутый файл был опубликован 4 июля пользователем с ником ObamaCare, который с момента регистрации на форуме уже публиковал данные из более ранних утечек. Исследователи отмечают, что база RockYou2024 может быть задействована злоумышленниками для проведения атак методом перебора с целью получения несанкционированного доступа к разным онлайн-аккаунтам, которыми пользуются люди, чьи пароли попали в этот список.

Источник изображения: Cybernews

В сообщении сказано, что файл RockYou2024 сформирован на основе нескольких утечек данных, которые произошли за последние два десятилетия. При этом в файл добавлено 1,5 млрд паролей, которые утекли в сеть в период с 2021 по 2024 годы. Эксперты предупреждают, что столь обширная база паролей может использоваться злоумышленниками для проведения разного рода атак, причём в опасности могут оказаться не только онлайн-сервисы, но и промышленное оборудование, камеры видеонаблюдения и др.

«Более того, в сочетании с данными из других утечек на хакерских форумах и торговых площадках, которые, например, содержат адреса электронной почты пользователей и другие данные, RockYou2024 может способствовать появлению целого каскада новых утечек данных, случаев финансового мошенничества и краж личной информации», — говорится в сообщении Cybernews.

Специалисты «Лаборатории Касперского» в июне 2024 года проанализировали 193 млн паролей, которые были обнаружены в публичном доступе в даркнете. В результате было установлено, что 45 % из них, или 87 млн паролей, злоумышленники могут подобрать менее чем за минуту.

Источник изображения: Pixabay

Большая часть из проанализированных паролей может быть легко скомпрометирована с помощью умных алгоритмов. Для подбора 14 % паролей (27 млн) требуется не более часа, 8 % (15 млн) — не более суток. Отмечается, что умные алгоритмы способны учитывать замену символов, например, «e» на «3», «1» на «!» или «a» на «@», а также знают популярные комбинации вроде «qwerty» или «12345». При этом 23 % паролей оказались достаточно стойкими: на их взлом у злоумышленников ушло бы более года.

Отмечается, что 57 % проанализированных паролей содержат существующее словарное слово, а это в значительной степени снижает их устойчивость к взлому. Наиболее часто люди используют в паролях имена, а также некоторые популярные слова, такие как «forever», «hacker», «admin» и «password». Распространены комбинации «qwerty12345» и «12345».

«Для подбора паролей злоумышленникам не требуются глубокие знания или дорогостоящее оборудование. Вычислительные мощности можно арендовать в облачных сервисах, для этого не нужны большие бюджеты. Часто для кражи учётных данных киберпреступники используют специальные программы — инфостилеры. По данным исследования нашей команды, за последние пять лет с их помощью были скомпрометированы логины и пароли для входа на 443 тыс. сайтов по всему миру, а в зоне .ru таким же образом были украдены 2,5 млн пар логинов и паролей. Эффективным методом защиты учётных данных от таких атак остаётся использование менеджеров паролей. Такие приложения, во-первых, позволяют создавать наиболее стойкие к взлому, полностью случайные комбинации, а во-вторых обеспечивают их безопасное хранение», — считает Юлия Новикова, руководитель сервиса Kaspersky Digital Footprint Intelligence «Лаборатории Касперского».

В рамках ежегодно мероприятия WWDC компания Apple анонсировала ряд любопытных новинок, одной из которых стало приложение «Пароли» (Passwords). Данный инструмент расширяет возможности сервиса iCloud Keychain и позволяет синхронизировать учётные данные на большем количестве устройств.

Источник изображения: Apple

Приложение «Пароли» будет доступно на различных устройствах Apple, включая гарнитуру смешанной реальности Vision Pro, компьютеры Mac, смартфоны iPhone и планшеты iPad. Приложение также будет доступно на компьютерах с Windows через iCloud для этой ОС. Apple не упомянула, будет ли программный продукт «Пароли» совместим с мобильной ОС Android и браузером Google Chrome.

Пользователи смогут хранить и просматривать пароли от сайтов и приложений, разных сетей Wi-Fi в одном месте и делиться учётными данными с доверенными людьми через приложение «Пароли». Одним из главных преимуществ нового продукта Apple может стать более глубокая интеграция с учётными данными от сервисов компании, чем у других аналогов, таких как 1Password или Bitwarden. Кроме того, для многих пользователей, которые обеспокоены вопросами обеспечения конфиденциальности, Apple может оказаться значительно более надёжным поставщиком услуг, чем, например, сервис LastPass, который неоднократно сталкивался с инцидентами, связанными с утечками данных пользователей.

По сообщениям сетевых источников, компания Apple планирует представить новое приложение под названием «Пароли» (Passwords). Из названия можно понять, что продукт представляет собой менеджер паролей, предназначенный для хранения разных учётных данных. Ожидается, что приложение будет представлено на ежегодной конференции WDC 2024, которая пройдёт на следующей неделе.

Источник изображения: AbsolutVision / Pixabay

В настоящее время пользователи устройств Apple могут хранить свои логины и пароли с помощью сервиса iCloud Keychain. Новое приложение «Пароли» будет синхронизироваться аналогичным образом, но данные учётных записей в нём можно будет разделить на категории. По данным источника, это приложение будет доступно на iPhone, iPad, Vision Pro и Windows. Будет ли оно доступно на устройствах с Android, не упоминается.

Ожидается, что приложение «Пароли» дебютирует в iOS 18, iPadOS 18 и macOS 15. Пользователи также смогут задействовать новинку для генерации паролей, автозаполнения форм и создания кодов аутентификации, таких как у Google. В дополнение к этому Apple на предстоящем мероприятии анонсирует ряд новых функций, включая инструменты на основе искусственного интеллекта и переработанного голосового помощника Siri.

Менеджер паролей Google теперь позволяет делиться паролями с членами семьи, хотя и в ограниченной степени, передаёт Android Authority. Функция доступна только для пользователей, добавленных в одну семейную группу.

Источник изображения: androidauthority.com

«Благодаря этой функции вы теперь сможете безопасно делиться паролями со своей семейной группой в „Менеджере паролей“ Google. Когда вы делитесь паролем, члены вашей семьи получают его копию в своём „Менеджере паролей“ Google — готовую к использованию», — гласит описание на странице техподдержки Google.

Компания анонсировала эту функцию в феврале 2024 года в рамках «Дня безопасного интернета», но развёрнута она лишь сейчас, с обновлением Google Play Services v24.20 от мая 2024 года. Совместное использование паролей строго ограничивается членами семейной группы. Чтобы воспользоваться этой функцией, необходимо создать семейную группу и добавить участников, которые смогут ей пользоваться. В настольной версии она пока не включена, уточняет Android Authority.

Google привела пару примеров, когда функция совместного использования паролей может оказаться полезной. Она пригодится, если два члена семьи пользуются доступом к системе детского сада через одну учётную запись, или когда ребёнок открывает доступ к своим школьным заданиям лишь одному из родителей.

Ключи доступа (Passkey) полностью заменяют пароли. Они позволяют отказаться от придумывания и запоминания сложных последовательностей символов. Этот подход основан на аутентификации на основе устройства, что делает вход в систему более быстрым и безопасным. По данным Google, более 400 млн учётных записей Google (из 1,5 миллиардов с 2018 года) использовали ключи доступа с момента их развёртывания, совершив более миллиарда аутентификаций.

Источник изображения: Pixabay

Технология Passkey базируется на криптографии с открытым ключом. При регистрации создаётся пара ключей шифрования — секретный и публичный (закрытый и открытый). Зашифрованную при помощи открытого ключа информацию можно расшифровать лишь при помощи закрытого. Секретный ключ остаётся на устройстве пользователя, а публичный отправляется сервису. В дальнейшем между сервисом и устройством пользователя происходит обмен информацией по шифрованному каналу, где пользователь может безопасно подтвердить свою личность при помощи биометрических датчиков своего устройства.

Google утверждает, что большинство пользователей находят ключи доступа более простыми в использовании, чем пароли, отмечая, что «с момента запуска passkeys оказались более быстрыми, чем пароли, поскольку они требуют от пользователей только простой разблокировки своего устройства с помощью отпечатка пальца, сканирования лица или PIN-кода».

Однако многие люди сталкиваются с проблемами при попытках использования Passkey, несмотря на поддержку этой технологии со стороны Microsoft, Apple, Google и сторонних менеджеров входа в систему, таких как 1Password и Dashlane. «Разочарование в технологии, похоже, является скорее нормой, чем исключением, — считает ведущий блога Firstyear Уильям Браун (William Brown). — Беспомощность пользователей в этих темах очевидна, а ведь это технические первопроходцы, которые должны быть сторонниками перехода от паролей к ключам доступа. Если они не могут заставить это работать, как справятся обычные пользователи?»

Источник изображения:pexels.com

Менеджер по продуктам в области аутентификации и безопасности Google Кристиан Брэнд (Christiaan Brand) утверждает, что «путь перехода не всегда прост, и у вас будет целая группа очень громких пользователей, которые настолько привыкли делать что-то определённым образом, что считают всё новое неправильным». Он признаёт, что в обозримом будущем беспарольная технология аутентификации будет сосуществовать с классическими методами входа в систему. «Я думаю, что нам, как отрасли, нужно немного поучиться. Мы пытаемся справиться с этим, но иногда тоже допускаем ошибки», — полагает он.

Брэнд считает, что постепенное усложнение процесса использования потенциально небезопасных паролей может подтолкнуть пользователей к использованию Passkey. Он приводит пример, в котором пользователей, которые входят в систему, используя пароль вместо ключа доступа, могут попросить подождать 24 часа, пока Google проводит проверки безопасности, чтобы убедиться, что учётная запись не была скомпрометирована.

Google объявила, что Passkey вскоре будут поддерживаться её программой расширенной защиты (APP), которая обеспечивает безопасность учётных записей журналистов, активистов, политиков и бизнесменов. Пользователи приложения смогут использовать ключи доступа отдельно или вместе с паролём или аппаратным ключом безопасности.

Google также расширит программу «дополнительного сотрудничества», которая предусматривает обмен уведомлениями о подозрительной активности в учётной записи Google с другими платформами. Это поможет лучше защитить миллиарды пользователей, предотвращая получение киберпреступниками доступа к точкам входа, которые могут раскрыть другие их учётные записи.

Вечер минувшей пятницы, как сообщает ресурс 9to5Mac со ссылкой на множественные жалобы на страницах социальных сетей, принёс владельцам устройств Apple определённые неудобства, связанные с проблемами при входе в Apple ID, последующей его блокировкой, а также необходимостью смены пароля.

Источник изображения: 9to5Mac

Как сообщают очевидцы, владельцы самых разных устройств столкнулись с тем, что их буквально «выкинуло» из аккаунта Apple ID, а попытка войти повторно с прежним паролем завершалась неудачей и приводила к необходимости сброса пароля. После назначения нового пароля в учётную запись Apple ID удавалось войти, повторных проблем не возникало.

Особенно не повезло тем, кто включил опцию защиты от кражи устройства Apple, которая подразумевает дополнительные проверки при восстановлении пароля в случае, если географические координаты устройства в момент запроса находятся за пределами тех мест, которые пользователь ранее назначил как доверенные. Скажем, совершая поездку по нетипичному маршруту, пользователь устройства Apple сталкивался с тем, что восстановление пароля к Apple ID требовало от него дополнительных усилий по подтверждению личности.

Восстановление пароля Apple ID также приводит к сбросу паролей внутри определённых приложений, которые ранее были установлены через iCloud. Это тоже создаёт некоторые неудобства для пользователей. Официальные представители Apple пока никак не прокомментировали ситуацию, жалобы пользователей на страницах социальных сетей при этом оказались достаточно многочисленными.

На прошлой неделе Apple начала поставки гарнитуры дополненной реальности Vision Pro на территории США. Как утверждают представители Bloomberg, первым владельцам предстоит столкнуться с неприятной ситуацией, если они забудут пароль от устройства: снять блокировку Apple сможет лишь в фирменном сервисе, куда устройство нужно будет отправить для этой манипуляции.

Источник изображения: Apple

Как и прочие устройства Apple, гарнитура Vision Pro позволяет осуществлять несколько последовательных попыток ввода кода доступа, но если пользователь исчерпает доступный лимит даже после обязательной в таких случаях паузы, то он будет заблокирован. Способа снять блокировку в домашних условиях не существует, а потому гарнитуру Vision Pro придётся отправить в фирменный сервис Apple, заодно простившись со всеми хранящимися в памяти устройства данными, поскольку там её банально сбросят к заводским установкам. Появится ли более удобный для конечных пользователей способ сброса в будущем, не уточняется.

По данным Bloomberg, сотрудники службы технической поддержки Apple не были готовы к подобным неудобствам, и теперь вынуждены огорчать тех пользователей, которые попали в соответствующую ситуацию. Серийная версия гарнитуры даже лишена порта USB-C для подключения к компьютерам Apple, который можно было бы использовать для резервного копирования данных или манипуляций по снятию блокировки. Впрочем, разработчикам соответствующий адаптер предлагается за $300, но частным клиентам Apple он не продаётся. По информации Bloomberg, у пользователей гарнитуры также возникают проблемы с использованием функции Optic ID, позволяющей проходить аутентификацию путём сканирования радужной оболочки глаза.

Начавшийся в 2022 году геополитический кризис, последовавшие за ним беспрецедентные санкции в отношении Российской Федерации и массовый уход зарубежных вендоров резко повысили риски, связанные с применением иностранного софта в бизнесе и государственных организациях. Стала очевидной серьёзная зависимость отечественного IT-рынка от импортных поставок программного обеспечения, влекущих угрозу информационному и технологическому суверенитету страны.

Изображение предоставлено компанией «Пассворк»

Ситуация осложнилась с кратным ростом кибератак на органы власти и коммерческие структуры. Если раньше злоумышленниками двигала, как правило, финансовая мотивация, то в 2023 году рекордно увеличилось число политически мотивированных кибератак, направленных на хищение ценных данных либо нанесение ущерба IT-инфраструктуре предприятий, связанных с критической информационной инфраструктурой (КИИ), госсектором и оборонной промышленностью. Изменение ландшафта киберугроз, возросшая активность хактивистов и прогосударственных групп заставили российские власти заняться экстренной проработкой соответствующих мер защиты и ускорением перевода критически важных IT-систем на отечественное ПО с гарантированной поддержкой в течение всего срока его эксплуатации.

В частности, главой государства был подписан указ о мерах по обеспечению технологической независимости и безопасности национальной КИИ. Согласно документу, с 1 января 2025 года вводится полный запрет на использование зарубежного софта на значимых объектах критической инфраструктуры, к ним относятся информационные и телекоммуникационные системы, а также автоматизированные системы управления технологическими процессами (АСУ ТП), которые используются в государственных органах, здравоохранении, на транспорте и в связи, кредитно-финансовой сфере, топливно-энергетическом комплексе и различных отраслях промышленности: атомной, оборонной, ракетно-космической, химической и других.

Предполагается, что данная мера позволит организациям повысить общий уровень защищённости критической инфраструктуры и обезопасит предприятия от санкционных и других рисков.

Поскольку импортозамещение является одной из приоритетных национальных задач, российские разработчики активно запускают проекты миграции с зарубежного софта, чтобы гарантировать стабильную работу отечественных заказчиков в условиях санкционных ограничений и соблюдения требований законодательства. Как хороший пример в сфере информационной безопасности эту инициативу планомерно и уверенно реализует аккредитованная Минцифры IT-компания Пассворк, предлагающая рынку одноимённый продукт для безопасного управления паролями в корпоративной среде, способный заменить такие иностранные менеджеры паролей, как — 1Password, Keepass, LastPass и Bitwarden.

Корпоративный менеджер паролей Пассворк

Пассворк выступает в качестве централизованного хранилища паролей, доступ к которым предоставляется сотрудникам в зависимости от занимаемых ими должностей и выполняемых обязанностей. Программный комплекс позволяет создавать стойкие к подбору пароли, хранить их в удобном структурированном виде, легко обмениваться ими и авторизироваться на веб-сайтах в один клик с помощью соответствующего браузерного расширения. Также с помощью продукта можно проводить аудит безопасности паролей, управлять правами доступа, отслеживать все действия пользователей и вносимые ими изменения. Предусмотрена возможность быстрого поиска всех паролей, к которым имели доступ ушедшие из компании сотрудники. Все данные в программе хранятся в зашифрованном виде.

Главными преимуществами менеджера паролей Пассворк являются — открытый для аудита исходный код, который позволяет убедиться, что в продукте нет скрытых закладок и недокументированных функций, и конечно возможность установки на сервер вашей компании с единоразовой оплатой системы. Подписка на обновления и техподдержку в течение первого года предоставляется бесплатно для всех клиентов.

Пассворк включён в единый реестр российского ПО, поддерживает ГОСТ шифрование и доступен для закупок по 44 и 223 ФЗ.

Более подробно с возможностями менеджера паролей Пассворк можно ознакомиться в нашем обзоре программного решения или на их официальном сайте.

Согласно нашей оценке и прогнозам аналитиков, рынок информационной безопасности в России сохранит положительную динамику и продолжит расти как минимум до 2027 года. Его драйверами остаются растущие цифровые угрозы, усиливающиеся кибератаки на российские организации, а также потребность в импортозамещении зарубежных систем ввиду ужесточения законодательства и увеличению внимания регуляторов к использованию отечественного ПО.

Все эти тенденции будут вести к повышению уровня безопасности в российских компаниях и организациях, как в госсекторе, так и бизнесе, а значит и благоприятно влиять на развитие программных решений от отечественных разработчиков, что в свою очередь является позитивными шагами в новое цифровое будущее Российской Федерации.

Британские исследователи обучили искусственный интеллект (ИИ) точно распознавать нажатия клавиш на компьютерной клавиатуре по звуку. Таким образом можно следить за тем, что печатает человек, и даже «подслушать» его пароли. В эксперименте для проверки ИИ в качестве микрофона выступал смартфон, размещённый рядом с ноутбуком, на клавиатуре которого осуществлялся ввод.

Источник изображения: Pexels

Для обучения нейросети исследователи сопоставили звук каждой клавиши на клавиатуре с соответствующей ей буквой. Далее экспериментаторы преобразовали аудиозаписи в изображения в виде волновых диаграмм и спектрограмм и использовали их для обучения искусственного интеллекта.

Затем набирался пароль на ноутбуке, и алгоритм просили вычислить, какое слово было введено, основываясь на последовательности звуков. ИИ в этом тесте распознал пароль с точностью 95 %. Чтобы сделать подобную атаку с подбором пароля более реалистичной, экспериментаторы проверили, можно ли использовать этот метод для подбора паролей во время видеозвонка через Zoom или Skype. ИИ в этом случае продемонстрировал чуть меньшую, но всё ещё очень высокую точность распознавания: 92 % для Skype и 93 % в случае видеозвонка Zoom.

Исследователи в данном тестировании использовали MacBook Pro с чипом М1 и 16-дюймовым экраном 2021 года. Компанию ему составил iPhone 13 mini, размещённый на расстоянии 17 сантиметров от ноутбука, а также приложения для видеоконференций Zoom и Skype.

В качестве средства защиты исследователи рекомендуют пользователям применять при наборе текста десятипальцевую технику печати. В этом случае точность распознавания звука от отдельных клавиш значительно снижается. Использование верхнего и нижнего регистра букв в паролях, а также специальных символов также может усложнить задачу восстановления паролей с помощью подобного ИИ.

Однако наилучшую защиту в подобном случае обеспечит всё же менеджер паролей, который автоматически подбирает сложные пароли одним щелчком мыши. Менеджеры паролей вводят пароли с помощью комбинации клавиш, либо автоматически в поля для входа в систему. Это означает, что данные не могут быть перехвачены ИИ, применяющим распознавание звуков с клавиатуры.

В честь «чёрной пятницы» российский разработчик «Пассворк» запустил акцию, предлагающую выгодные условия для приобретения флагманского продукта компании — менеджера паролей для бизнеса «Пассворк». В рамках распродажи, в период с 24 до 29 ноября включительно, коробочную версию программного решения можно купить с 50-процентной скидкой.

«Пассворк» упрощает совместную работу с корпоративными паролями. Все данные надёжно хранятся на сервере организации в зашифрованном виде, не передаются ни в какое облако, а сотрудники быстро находят нужные пароли. Администратор управляет правами пользователей, отслеживает все действия с паролями и проводит аудит безопасности. Продукт позволяет создавать стойкие к подбору пароли, хранить их в удобном структурированном виде, легко обмениваться ими и авторизироваться на веб-сайтах в один клик с помощью браузерного расширения. «Пассворк» зарегистрирован в реестре отечественного ПО и может использоваться государственными и корпоративными заказчиками для реализации проектов по импортозамещению программных решений.

В рамках акции доступны для приобретения со скидкой 50 % коробочные версии «Пассворк» в следующих редакциях:

• «Команда» (до 10 пользователей): 24 000 ₽ → 12 000 ₽
• «Старт» (до 25 пользователей): 39 000 ₽ → 19 500 ₽
• «Бизнес» (до 50 пользователей): 72 000 ₽ → 36 000 ₽
• «Премиум» (до 100 пользователей): 132 000 ₽ → 66 000 ₽

Успейте купить «Пассворк» со скидкой 50 % до 29 ноября!

В 2023 году компания NordPass, известная своими решениями для управления паролями, опубликовала свежий рейтинг самых распространённых паролей, и результаты неутешительны. Простейший пароль «123456» возглавил список, тем самым подчёркивая общее пренебрежение пользователей вопросами кибербезопасности. Пароль «password», лидировавший в прошлом году, опустился на 7-е место. Этот рейтинг подчёркивает продолжающуюся тенденцию использования слабых и предсказуемых паролей, что ставит под угрозу цифровую безопасность пользователей.

Источник изображения: AbsolutVision / Pixabay

Анализ рейтинга 200 наиболее распространённых паролей показывает, что большинство из них крайне уязвимы. В топ-10 входят такие простые комбинации, как «123», «1234», «12345», «12345678», «123456789» и «1234567890», а также «Aa123456» и, конечно же, «password». Особенно обескураживает, что эти пароли могут быть взломаны злоумышленниками менее чем за секунду с помощью простых методов брутфорса — подхода к взлому паролей путём перебора всех возможных комбинаций.

Впрочем, есть и исключения, такие как «theworldinyourhand», занимающий 173-е место в рейтинге. Этот пароль практически не поддаётся взлому обычными методами и потребовал бы столетий для его подбора вручную. В то время как пароль «admin», занявший 2-е место, является стандартным на многих устройствах и легко взламывается.

Добавление «123» к «admin» или использование символа «@» между словом и числами значительно увеличивает время взлома. Например, «admin123» и «admin@123» требуют значительно больше времени для подбора. Интересным является факт популярности пароля «Eliska81», занимающего 40-е место в рейтинге, используемого более чем 75 755 людьми. Это подчёркивает, как случайные и неожиданные комбинации могут стать популярными.

Кроме того, стоит отметить, что пароль «admintelecom» находится на 54-м месте. Этот пароль требует около 23 дней для взлома методом брутфорса, что делает его одним из самых безопасных в списке.

Специалисты прогнозируют, что в следующем году список наиболее распространённых паролей останется практически неизменным. От выбора пароля зависит безопасность личных данных и надёжность защиты от несанкционированного доступа. В современном цифровом мире ответственность за сохранность своих данных лежит на каждом пользователе.

Компания Google продолжает продвигать в массы технологию Passkey (Ключи доступа), которая позволяет отказаться от использования традиционных паролей, заменив их одним из доступных вариантов аутентификации. Начиная с сегодняшнего дня, пользователям аккаунтов Google предлагается создать ключ доступа и использовать его по умолчанию для авторизации.

Источник изображения: Google

Технологию Passkey принято считать более безопасной и удобной альтернативой традиционным паролям. Она позволяет отказаться от использования паролей и SMS-верификации, заменяя их PIN-кодом или биометрической аутентификацией, например, по отпечатку пальца или скану лица. При этом биометрические данные пользователя не передаются Google или кому-либо ещё, за счёт чего обеспечивается высокий уровень конфиденциальности.

Ключи доступа продвигает не только Google, но и другие компании, такие как Microsoft и Apple. Хотя общеотраслевая цель состоит в том, чтобы сделать технологию новым стандартом для авторизации в веб-пространстве, пока говорить об этом рано. В сообщении Google отмечается, что традиционные пароли по-прежнему остаются актуальны, и пользователи, которые не хотят использовать Passkey по каким-то причинам, смогут в дальнейшем авторизовываться в своих аккаунтах с помощью обычных паролей.

За последний год Google реализовала поддержку Passkey в нескольких своих продуктах. На данный момент пользователи могут использовать технологию для авторизации в аккаунтах Workspace и Cloud, а также в браузере Chrome. Кроме того, постепенно поддержка ключей доступа распространяется на крупные веб-платформы и приложения.

Ранее на этой неделе Microsoft объявила, что очередное функциональное обновление для операционной системы Windows 11 станет общедоступным 26 сентября. Оно содержит в себе множество нововведений, одним из которых является поддержка ключей Passkeys, которые позволят отказаться от использования обычных паролей, заменяя их биометрическими данными, получаемыми из ПК пользователя или смартфона.

Источник изображений: Microsoft

Благодаря поддержке ключей Passkeys пользователи могут авторизовываться на сайтах, используя не символьный пароль, а отпечаток пальца, скан лица или PIN-код устройства. Нововведение позволит пользователям создавать, управлять и хранить ключи Passkeys, а также использовать их для авторизации на совместимых ресурсах.

Тестирование этой функции в рамках программы предварительной оценки Windows Insider началось в июне этого года, и уже через несколько дней она станет общедоступной. Ключи Passkeys в Windows создаются с помощью инструмента Windows Hello. Доступ к ним можно получить как из десктопной версии Windows 11, так и на мобильном устройстве, которое используется для проверки личности пользователя.

«В течение последних лет мы стремимся работать с нашими отраслевыми партнёрами и альянсом FIDO над продвижением к будущему без паролей. Passkeys — это будущее кроссплатформенного и кроссэкосистемного доступа к веб-сайтам и приложениям», — сказано в сообщении, опубликованном в блоге разработчиков.

В качестве примеров использования Passkeys разработчики приводят сайты GitHub и Docusign, поскольку ключи могут использоваться только на сайтах, в приложениях и сервисах, в которых поддерживается механизм аутентификации WebAuth. Ожидается, что в конечном счёте ключи Passkeys полностью заменят пароли и станут новым общепринятым стандартом, но для их широкого распространения потребуется какое-то время.

Учёные из Хунаньского и Фуданьского университетов (Китай), а также Наньянского технологического университета (Сингапур) разработали способ считывать нажатия на дисплей смартфона, подключённого к сети Wi-Fi, при помощи анализа беспроводного сигнала. Виной всему недостаточная защищенность функции BFI (Beamforming Feedback Information).

Источник изображения: arxiv.org

BFI — это механизм обратной связи, появившийся в 2013 году, когда был опубликован стандарт Wi-Fi 802.11ac. Он предполагает отправку клиентскими устройствами данных о своём местоположении, что помогает точкам доступа более точно направлять на них сигнал. Проблема в том, что эти данные передаются без шифрования и могут перехватываться без взлома сетевого или клиентского оборудования. Учёные условно назвали разработанный ими тип атаки WiKi-Eve — он актуален для любого стандартного сетевого интерфейса, который допускает мониторинг сигналов.

На начальном этапе атаки условный злоумышленник перехватывает в беспроводном эфире MAC-адрес устройства своей жертвы. После этого начинается запись данных BFI от устройства жертвы — учёные исходили из того, что нажимаемые клавиши на виртуальной клавиатуре смартфона или планшета изменяют параметры сигнала Wi-Fi. Собранную информацию учёные попытались интерпретировать как пароль, предположив, что он отправляется по беспроводной сети на раннем этапе сеанса связи.

Далее в дело вступает система искусственного интеллекта, обученная на данных BFI, которые транслируются в формате открытого текста. Авторы исследования установили, что атака WiKi-Eve позволяет интерпретировать нажатия отдельных клавиш на дисплее с точностью до 88,9 %, а также перехватывать пароли приложений с точностью до 65,8 %.