Нека бъдем откровени – паролите като средство за киберзащита не работят. Легендарният Кевин Митник го доказа по категоричен начин още през 80-те години на миналия век, а оттогава буквално през ден получаваме нови и нови аргументи в подкрепа на неговата теза, че дори най-сигурната система за сигурност в крайна сметка се пропуква на ниво човешки фактор.

Именно оттам идва слабостта на концепцията „парола“ – за средностатистическия потребител тя е огромно неудобство – тромава, трудна за запомняне и се налага да се променя постоянно, за да изпълнява максимално добре функциите си. Затова, огромна част от хората използват като парола лесни за запомняне, но и безкрайно лесни за отгатване фрази, които почти никога не променят, напук на предупрежденията от експертите по киберсигурност.

Въпреки несъвършенствата си, паролите продължават да са най-разпространеният механизъм за защита – просто защото до момента липсваше достатъчно добра алтернатива.
Google обаче са се заели да променят това. Заедно с една организация с идеална цел на име FIDO (Fast Identity Online) софтуерният гигант обещава в следващите няколко години да изпрати добрите стари пароли в заслужена пенсия.

Проблемът „парола“

Както вече споменахме, ахилесовата пета на паролите като средство за защита е, че те представляват солидно неудобство за повечето потребители. В изпълненото ни със стрес напрегнато ежедневие последното нещо, от което имаме нужда, е да помним десетки сложни цифрово-буквени низове за идентификация в най-разнообразни онлайн услуги – като се започне от тривиалните (социални мрежи, Spotify, Netflix) и се стигне до сериозните (бизнес платформи, интернет банкиране, уеб разплащания).

FIDO предлагат интересна алтернатива, която всъщност не е точно нова – идентификация с т.нар. хардуерен ключ.

Този вид конкуренция на традиционните пароли съществува сравнително отдавна и представлява средство за идентификация с помощта на хардуерно устройство – смарт карта, USB или Bluetooth донгъл и, разбира се – мобилен телефон.

Обикновено един такъв ключ включва някакво ниво на биометрична защита (най-често пръстов отпечатък или лицево разпознаване) и позволява лесна и бърза идентификация, без да е нужно потребителят да помни дълги и сложни пароли.

Приносът на организация като FIDO в случая е свързана с унификация и стандартизация на целия процес по идентификация. За целта FIDO заедно с World Wide Web Consortium (W3C) създават проекта FIDO2 – единен протокол за онлайн авторизация с помощта на потребителски криптографски идентификатор – хардуерен ключ или смартфон.

Считано от февруари тази година, всяка версия на Android от 7.0 или по-висока предлага пълноценна поддръжка на този стандарт – първа стъпка към едно бъдеще без пароли.

Сигурност без усилия

Всъщност, една подобна стъпка от страна на Google е повече от логична. Така или иначе днес практически всеки смартфон разполага с някаква форма за биометрична идентификация – била тя под формата на сензор за пръстови отпечатъци, система за лицево разпознаване или комбинация от двете.

До момента класическите хардуерни ключове разчитаха на устройства и услуги от трети компании. Поради тази причина те най-често се използваха от бизнес и правителствени организации, където високото ниво на сигурност е от критично значение. Масовата поддръжка на стандарт като FIDO2 от всеки Android-базиран смартфон обаче ще направи този вид защита достъпен за огромен брой потребители.

По този начин добрите стари пароли отиват в историята. Онлайн идентификацията вече ще е толкова лесна, колкото и отключването на вашия смартфон – било то с лицево разпознаване или с пръстов отпечатък.

Независимо дали става дума за Spotify логин, използване на онлайн банкиране или проверка на електронната ви поща – вместо десетки различни пароли просто ще можете да използвате телефона си като универсален ключ. Звучи страхотно нали? За съжаление нещата далеч не са толкова лесни и прости.

Паролите отвръщат на удара

Проблемът с FIDO2 е, че за да може да стане масово приложим, той трябва да се възприеме като единен индустриален стандарт. А това е процес, който ще отнеме време – вероятно много време.
За момента първата стъпка е направена – практически всички масови браузъри – Microsoft Edge, Google Chrome, Mozilla Firefox и Apple Safari, вече предлагат пълноценна поддръжка на FIDO2. Следващата голяма крачка напред, разбира се, е масовата поддръжка на ниво Android.
Малко след това World Wide Web Consortium (W3C) одобри и стандарта WebAuthn, който всеки уебсайт трябва да имплементира, за да може да се възползва от възможностите на FIDO2 за лесна идентификация.

WebAuthn обаче е отворен протокол – т.е. незадължителен, и всяка уеб организация и услуга трябва сама да прецени желае ли да го поддържа или не. Иначе казано – ако вашата банка, да речем, е по-консервативна, тя може да прецени, че FIDO2 не е достатъчно добра (или сигурна) система за защита, и да продължи да изисква от вас да помните дълги, сложни и тромави пароли.
Друго голямо неизвестно пред масовото разпространение на стандарта се нарича Apple. Засега компанията не е обявила официално дали възнамерява да предложи поддръжка на FIDO2 или сходен стандарт.

Обективно погледнато, FIDO2 не изисква задължително официален сертификат, какъвто предлага Google Android. Едно устройство може да поддържа FIDO2 функционалност и без подобна формалност – в крайна сметка става дума за отворен стандарт, създаден като такъв именно за да се улесни по-широкото му възприемане. Според самите FIDO идеята на FIDO2 сертификата е да бъде от полза за доставчика на услугата или съответната организация, че нейните продукти ще са напълно съвместими с тези на останалите участници в уеб, които поддържат новия протокол.

Дори и да бъде възприета от по-широк кръг от компании обаче, FIDO2 идентификацията вероятно няма да пенсионира веднага досадните пароли. Точно както вашият смартфон все още разполага с опция за отключване с PIN успоредно с биометричните алтернативи, така повечето организации и услуги в уеб вероятно ще продължат да изискват и идентифициране с парола дълго след като въведат FIDO2 поддръжка.

Както се казва – старите навици умират трудно, но от FIDO2, а и от Google са оптимисти, че с времето традиционните пароли ще стават все по-малко интересна и все по-архаична алтернатива. В крайна сметка кой би избрал да е трудно, щом може да е лесно?