Сервис PayPal объявил, что добавил ключи доступа или Passkeys к набору способов входа в учётную запись на устройствах Apple — пользователи iPhone, iPad и Mac теперь смогут авторизоваться без ввода пароля. Впоследствии PayPal развернёт поддержку ключей доступа и на других платформах.

Источник изображения: Marques Thomas / unsplash.com

Технология Passkey стала новым отраслевым стандартом, созданным организацией FIDO Alliance, с тех пор, как Apple, Google и Microsoft договорились о её кроссплатформенном использовании — сервисы и пользовательские устройства теперь могут обмениваться криптографическими ключами, избавляя пользователей от необходимости вводить пароли. Для входа необходим открытый ключ, который хранится в облаке, и закрытый, который записывается на телефон. Это гарантирует сохранность пользовательских учётных записей даже в том случае, когда сервер подвергается взлому.

Ключи доступа обладают дополнительной защитой, поскольку они позволяют использовать дополнительные средства аутентификации: сканирование отпечатков пальцев, распознавание лиц, графические ключи и PIN-коды. С другой стороны, недостатком локального хранения ключей доступа является невозможность войти в свою учётную запись без доступа к своему телефону или ноутбуку.

Чтобы использовать новый способ входа в PayPal, владельцу устройства под управлением iOS 16, iPadOS 16.1 или macOS Ventura необходимо войти в свою учётную запись и выбрать опцию «Создать ключ доступа». Далее производится аутентификация через Face ID или Touch ID, создаётся ключ и сохраняется на платформе Apple iCloud Keychain. Владельцы других версий iPhone смогут производить вход, сканируя QR-код, который генерирует PayPal после ввода имени пользователя.

Первыми возможность производить вход в PayPal по ключам доступа получили сегодня американские пользователи. В 2023 году функция появится для пользователей из других стран. А впоследствии сервис добавит поддержку и других платформ. Недавно тестирование функции стартовало в Google Android и Chrome.

Компании Apple, Google и Microsoft совместно объявили о намерении обеспечить в следующем году аутентификацию без паролей в наиболее популярных настольных и мобильных платформах, а также браузерах. Иными словами, она будет поддерживаться в Android и iOS, Windows и macOS, а также Chrome, Edge и Safari.

Источник изображения: blog.google

Как уточнили в Google, основным средством аутентификации станет мобильный телефон: с его помощью можно будет входить в свои учётные записи в приложениях, на сайтах и любых других цифровых сервисах. Достаточно разблокировать телефон любым удобным способом: введя PIN-код, изобразив графический ключ или воспользовавшись биометрией — всё остальное сделает уникальный криптографический токен или ключ доступа, используемый и телефоном, и сервисом, в который производится вход.

Авторы инициативы говорят, что вход в систему при помощи физического устройства не только упрощает задачу пользователя, но и обеспечивает дополнительную защиту его данным. Не нужно будет запоминать пароли от разных сервисов или использовать везде один, подвергая свою безопасность риску. Потребность в физическом устройстве также усложнит задачу производящим удалённые взломы или фишинговые атаки хакерам.

Как подчеркнул Васу Джаккал (Vasu Jakkal), вице-президент Microsoft по безопасности, соблюдению законности и конфиденциальности, важнейшим достоинством новой инициативы является кроссплатформенность: «Например, пользователи смогут войти в браузер Google Chrome, работающий под Windows, используя ключ доступа на устройстве Apple». Это стало возможным благодаря стандарту FIDO, который предлагает аутентификацию без пароля, используя открытые криптографические ключи. Уникальный ключ доступа будет храниться на телефоне и при его разблокировке передаваться на веб-сайт для входа. На случай утери телефона резервная копия ключа будет дублироваться в облачном хранилище.

Наконец, стоит отметить, что многие сервисы до настоящего момента уже предлагали аутентификацию на основе стандарта FIDO, однако первый вход в систему всё равно производился по паролю, делая ресурсы пользователей по-прежнему уязвимыми для фишинга. Однако новая инициатива предполагает полный отказ паролей даже при первом входе, пообещал Сампат Сринивас (Sampath Srinivas), директор по продуктам для безопасной аутентификации в Google и президент FIDO Alliance.