Post #77

Пароли не нужны (или пара слов о ключах и двухфакторке) Пароли небезопасны и крайне неудобны, как и многое, придуманное на заре Интернета. Их минусы очевидны: - Возможно подобрать. - Возможно слить. - Возможно перехватить с помощью фишинга. - Сложно запоминать, придумывать и безопасно хранить. И в Интернете будущего паролям явно нет места. Сейчас их недостатки пытаются компенсировать различными вторыми факторами, от PUSH/SMS уведомлений до генераторов одноразовых кодов. Но все понимают, что SMS это не очень безопасно, PUSH уже лучше, но не всегда надежно, а генераторы кодов неудобны для пользователей. Будущее за более эргономичной и надежной технологией – WebAuthn. Технология проста и позволяет веб-приложениям использовать криптографические электронные ключи. Их реализация может быть разной, от специального устройства – токена, вставляемого в порт, до специального хранилища вашего смартфона/ПК. В последнем случае разблокировка смартфона/ПК с помощью лица/пальца/кода даст доступ к хранилищу ключей. Все, больше вам ничего не нужно для входа. Только ключ, который будет одноразово привязан к вашим сервисам. Этот ключ: - Не подобрать. - Не утечет, т.к. нигде не хранится, кроме вашего устройства. - Не перехватить, т.к. он привязан к конкретному источнику. - Нужно только надежно хранить. Буквально на днях эту технологию, представленную в виде сервиса Passkeys, стал поддерживать по умолчанию Google Chrome. Эра безопасности веб-приложений без паролей стала гораздо ближе! Подробнее почитать про это можно тут. Потестировать тут. А почитать как внедряли подобное Mail.ruтут. Там же в конце есть ответы на самые популярные вопросы!