1Password предложит вход только с паролем и без пароля

Служба диспетчера паролей позволит пользователям создавать учетную запись без создания мастер-пароля, вместо этого полагаясь на безопасность ключа доступа, ориентированного на устройство.

(Фото: Getty Images/Андрей Онуфриенко)

Когда-нибудь этим летом людям, подписавшимся на менеджер паролей 1Password, не нужно будет запоминать одну особенно важную и сложную буквенно-цифровую строку — мастер-пароль, который сегодня требуется сервису.

Компания Торонто объявила В четверг вместо этого он предложит клиентам создать и разблокировать учетную запись с ключами доступа — сложными и уникальными токенами, сгенерированными на биометрически защищенном устройстве, которые работают только в непосредственной близости от компьютера, на котором выполняется попытка входа в систему.

Apple, Google и Microsoft совместно объявили о поддержке этого открытого стандарта аутентификации. В мае прошлого года, но менеджер паролей, предлагающий ключи доступа в качестве основной системы аутентификации, является большим шагом вперед.

«В 2022 году редко проходил месяц без взлома высококлассной социальной службы, службы идентификации или безопасности, — говорит директор по продукту Стивен Вон. «Вместо того, чтобы играть с паролями, почему бы не устранить этот путь атаки сразу?»

В демонстрации, показанной во время вызова Zoom, нажатия кнопки Touch ID на Mac в ответ на приглашение «Войти с паролем» было достаточно, чтобы создать учетную запись 1Password.

Текущий опыт работы с новой учетной записью Это намного сложнее: после указания имени и адреса электронной почты вы создаете мастер-пароль, состоящий не менее чем из 10 символов, который вы ни при каких обстоятельствах не сможете забыть. Затем вы загружаете PDF-файл «Аварийного комплекта», который содержит случайно сгенерированный «Секретный ключ» который использовался для дальнейшего шифрования вашего личного ключа шифрования и который вам, возможно, придется вводить для аутентификации входа на новые устройства.

В рекламе 1Password (35,88 долларов в год для частных лиц, 59,88 долларов для семей) подчеркивается важность этого секретного ключа для его безопасности. Особенно после того, как ухудшились разоблачения утечки данных в конкурирующем менеджере паролей LastPass, который скомпрометировал зашифрованные хранилища пользовательских данных и оставил мастер-пароли клиентов в качестве их последней линии защиты.

В сообщении от 28 декабря, например, главный архитектор безопасности 1Password Джеффри Голдберг писал, что «если 1Password подвергнется аналогичному взлому, злоумышленник не сможет взломать вашу комбинацию пароля учетной записи и секретного ключа — даже если они заставят работать каждый компьютер на Земле. Взламывали и прогоняли их в миллионы раз больше возраста Вселенной».

Сообщение от 10 января Технический директор Педро Канахуати подтвердил это: «Наше шифрование с двойным ключом гарантирует, что взлом систем 1Password не будет представлять угрозы для конфиденциальной информации, хранящейся в ваших хранилищах».

Так как же 1Password может оправдать отказ от второго уровня защиты?

В этом звонке Zoom генеральный директор Джефф Шайнер сказал, что эта новая опция гарантирует, что «игра в угадайку» по компрометации выбранного пользователем мастер-пароля никогда не может начаться, в то время как случайно сгенерированный токен в основе аутентификации пароля является более сложным, чем секретный ключ 1Password и дает более сложное для взлома шифрование, чем сегодняшний подход.

«Теперь, в мире паролей, вам не нужно выбирать и запоминать пароль», — сказал он. «Вы используете свое собственное устройство как показатель того, кто вы есть».

Предполагается, что вы будете аутентифицировать каждый вход в систему с помощью таких биометрических методов, как отпечаток пальца или распознавание лица, но базовая спецификация также позволяет менее безопасную разблокировку PIN-кода.

Что, если вы потеряете это устройство? «Мы рассчитываем на то, что платформы предоставят нам дополнительный уровень отказоустойчивости и избыточности», — сказал во время телефонного разговора директор по продукту Митчелл Коэн. Ссылаясь на пример входа с помощью Touch ID, он кивнул на то, как Apple iCloud хранит зашифрованную копию каждого пароля в цепочке ключей iCloud : «Вы сможете восстановить свой пароль».

То, что Apple, Google и Microsoft возглавили раннее продвижение ключей доступа, вызвало опасения по поводу привязки платформы, но 1Password позволяет осуществлять межплатформенную передачу ключей доступа, например, путем сканирования QR-кода на экране старого телефона с нового телефона.

Вон также указал, что проверка близости Bluetooth в архитектуре ключа доступа, подтверждающая, что человек, держащий телефон с ключом доступа, находится рядом с экраном с запрошенным логином, делает потерянное или украденное устройство бесполезным.

«Поскольку этот запрос аутентификации привязан конкретно к устройству, это подтверждает присутствие пользователя», — сказал Вон.

Этим летом первоначальная функция входа в систему с паролем станет дополнительной бета-службой.

«Мы собираемся сделать это необязательным для начала, чтобы людям было комфортно», — сказал Вон. «Моя мечта — иметь возможность сказать в конце этого года: «Эй, у нас самое большое количество паролей в Интернете».

Это может быть несложно, учитывая медленное внедрение аутентификации по паролю. Каталог сайтов с ключом доступа который поддерживает 1Password, показал только 31 запись в среду, одна из них — демонстрационный сайт который 1Password установил в прошлом году.

Компания давно шла к этой цели. В ноябре 1Password приобрела Passage, фирму занимающуюся аутентификацией паролей, чтобы развивать свой бизнес по корпоративному входу в систему.

Вскоре после этого в интервью PCMag на конференции Web Summit Шайнер рассказал о ключевом сообщении, которое 1Password принесет компаниям, и которое теперь читается как предварительный просмотр его нового предложения для индивидуальных клиентов.

«Это будет более безопасно для вас, чем имя пользователя и пароль, но на самом деле это будет более удобно для вас как для конечного пользователя», — сказал тогда Шайнер.