У iOS 16 Apple відмовляється від паролів заради безпеки

На WWDC 2022 компанія Apple презентувала нові операційні системи, в яких буде реалізовано функції ключів доступу. Суть функціоналу в тому, щоб користувач проводив авторизацію на веб-сайтах та самих гаджетах за допомогою спеціального токена, який отримав назву passkey:

Під час реєстрації облікового запису операційна система створює унікальну пару асиметричних криптографічних ключів для зв'язку з обліковим записом програми або веб-сайту. Ці ключі генеруються пристроєм безпечно та унікально для кожного облікового запису.

Один із цих ключів є відкритим і зберігається на сервері. Він не секретний. Інший ключ закритий і необхідний фактичного входу в систему. Сервер ніколи не отримає дані про цей закритий ключ.

Apple

Система отримує запит від користувача до автентифікації, надаючи відкритий ключ. Користувач у цей момент за допомогою Face ID або Touch ID підтверджує свою особу, і системі переходить інформація про закритий ключ. У цей момент обидва ключі підтверджуються і відбувається аутентифікація.

Технологія "Ключ доступу" розроблена FIDO Alliance. До наступного року її розкотять на свої пристрої та сервіси не лише Apple, а й Google.

У разі втрати пристроїв або доступу до них Apple пов'язала ключі доступу з iCloud. Для цього користувачам доведеться пройти багатоступінчасту автентифікацію.

FIDO Alliance, яка розробила цей стандарт, стверджує, що ключі доступу безпечніші за паролі.

Такий спосіб дозволить уникнути фішингових атак, коли зловмисники створюють підроблений сайт, щоб вивудити паролі. Справа в тому, що підтвердження буде відбуватися як з боку сервера з відкритим ключем, так і з боку пристрою. Це дозволить захистити особисті дані.