В декабре 2022 года Google добавил поддержку нового способа аутентификации без пароля. Passkeys — это метод входа в систему, разработанный Альянсом FIDO и Консорциумом World Wide Web (W3C), в который входят такие гиганты Кремниевой долины, как Apple, Google и Microsoft. В этой статье мы разберём технологию и поделимся своим впечатлением.
Passkey, хранящийся на устройстве пользователя в зашифрованном виде, называется секретным ключом и применяется в паре с публичным ключом (логином пользователя), который сохраняется в системе аутентификации веб-сайта. Получить доступ к ним можно только через биометрические идентификаторы, такие как распознавание лица, отпечаток пальца, Windows Hello, PIN-код и прочие
Для вебмастеров это значит, что на сайте можно авторизоваться по отпечатку пальца или FaceID, как в популярных мобильных приложениях. Да, даже с десктопа, и забыть пароль теперь не получится, ведь забыть биометрические данные невозможно.
Passkey, хранящийся на устройстве пользователя в зашифрованном виде, называется секретным ключом и применяется в паре с публичным ключом (логином пользователя), который сохраняется в системе аутентификации веб-сайта. Получить доступ к ним можно только через биометрические идентификаторы, такие как распознавание лица, отпечаток пальца, Windows Hello, PIN-код и прочие
Для вебмастеров это значит, что на сайте можно авторизоваться по отпечатку пальца или FaceID, как в популярных мобильных приложениях. Да, даже с десктопа, и забыть пароль теперь не получится, ведь забыть биометрические данные невозможно.
Расскажем коротко о том, как это работает:
- Пользователь заходит на сайт, который поддерживает технологию авторизации без пароля, и выбирает опцию "Войти с помощью Passkeys" (иконка отпечатка)
- Браузер отправляет запрос на устройство пользователя для получения его уникального цифрового ключа (Passkey).
- Пользователь подтверждает запрос на телефоне.
- Устройство создает уникальный токен авторизации и отправляет его на сервер.
- Сервер проверяет токен на подлинность, и, если токен является подлинным, доступ к учетной записи разрешается.
Важно ещё раз отметить, что при использовании технологии Passkeys, никакие пароли или логины не передаются между устройством пользователя и сервером. Это делает процесс авторизации более безопасным, так как пароли могут быть скомпрометированы в случае взлома сервера или перехвата данных.
Нас данная новость обрадовала и не так давно мы реализовали авторизацию по биометрии на сайте нашего канадского клиента, который, как и мы, любит всё новое и прорывное. Получилось интересно.
Конечно, как и у любой технологии, у пасскеев есть недостатки, которые следует учитывать, например - недоверие к биометрическим данным у пользователей. Но это не повод отказываться от авторизации без пароля, ведь на устройстве можно использовать PIN или графические ключи. В дополнение к удобству использования и повышению безопасности, эта технология также предполагает высокую степень конфиденциальности, так как применяет шифрование для защиты биометрических данных и защиты от взлома.
Переход на биометрическую аутентификацию может быть плавным, поскольку многие современные устройства уже оснащены считывателями отпечатков пальцев или камерами для сканирования лица.
Кроме того, эти использование PassKeys может повышать доверие пользователей к сайтам и повышать привлекательность для пользователей, что выгодно для вебмастеров.
Конечно, как и у любой технологии, у пасскеев есть недостатки, которые следует учитывать, например - недоверие к биометрическим данным у пользователей. Но это не повод отказываться от авторизации без пароля, ведь на устройстве можно использовать PIN или графические ключи. В дополнение к удобству использования и повышению безопасности, эта технология также предполагает высокую степень конфиденциальности, так как применяет шифрование для защиты биометрических данных и защиты от взлома.
Переход на биометрическую аутентификацию может быть плавным, поскольку многие современные устройства уже оснащены считывателями отпечатков пальцев или камерами для сканирования лица.
Кроме того, эти использование PassKeys может повышать доверие пользователей к сайтам и повышать привлекательность для пользователей, что выгодно для вебмастеров.