Apple объявила на Всемирной конференции разработчиков (WWDC) в этом году, что вход без пароля будет доступен в сентябре для Mac, iPhone, iPad и Apple TV. Пользователи больше не будут использовать пароли для входа на веб-сайты и в приложения на iOS 16 и MacOS Ventura, вместо этого они будут использовать ключи доступа.
«Чтобы создать ключ доступа, просто используйте Touch ID или Face ID для аутентификации, и все готово», и ключи доступа не могут быть подделаны, — сказал Дарин Адлер, вице-президент по интернет-технологиям в Apple. Когда вы снова заходите на этот веб-сайт, ключ доступа позволяет вам аутентифицировать вашу личность, используя ваши биометрические данные, а не ввод пароля.
Это первый крупный шап в реальном мире по устранению паролей.
Итак, почему «вход без пароля» так важен?
Живя в эпоху Интернета, все мы привыкли к форме входа «учетная запись + пароль». По мере того как интернет-приложения и сервисы становятся все более и более распространенными, мы, естественно, создаем все больше и больше учетных записей и паролей.
Хотя на рынке есть отличное программное обеспечение для управления паролями, такое как 1Password, лишь небольшой процент из нас использует их, и большинство людей все еще привыкли запоминать свои собственные пароли. Согласно опросу Yubico, проведенному в 2019 году, пользователи тратят 10.9 часов в год на ввод и/или сброс паролей, что обходится компаниям в среднем в USD 5,2 в год.
Некоторые люди настолько неосторожны, что используют слишком простые пароли или используют один и тот же пароль для многих интернет-сервисов.
200 самых распространенных паролей, источник: https://nordpass.com/most-common-passwords-list/
Чрезмерно простые пароли позволяют хакерам использовать их в своих интересах, а использование одного и того же пароля для многих интернет-сервисов позволяет пользователю войти в один взломанный сервис и получить доступ к своему паролю в нескольких приложениях.
Кроме того, даже промышленные гиганты уязвимы для массовых утечек данных. Вот несколько примеров:
-В 2013 году Adobe заявила, что хакеры украли почти 3 миллиона зашифрованных записей кредитных карт клиентов, а также данные для входа в неопределенное количество учетных записей пользователей Adobe.
-В 2014 году на eBay произошла серьезная утечка данных, в результате которой была раскрыта личная информация около 145 миллионов пользователей, включая имена пользователей, адреса электронной почты, домашние адреса, номера телефонов и дни рождения.
-В 2014 году Yahoo подверглась атаке, и была украдена пользовательская информация 500 миллионов пользователей, включая имена, адреса электронной почты, номера телефонов, даты рождения, зашифрованные пароли и, в некоторых случаях, контрольные вопросы.
-В 2016 году шесть баз данных, принадлежащих Friend Finder Networks, подверглись серьезной утечке данных, в результате чего было раскрыто более 412 миллионов учетных записей.
-В 2021 году хакеры украли из сети личную информацию, включая номера телефонов и полные имена, более 500 миллионов пользователей Facebook.
Ключ доступа: более безопасный вход без пароля
Еще в 2009 году Validity Sensors и PayPal обсуждали использование биометрии для идентификации онлайн-пользователей вместо паролей на встрече. Встреча вдохновила на идею отраслевого стандарта, разработанного на основе криптографии с открытым ключом, позволяющего логин без пароля, поддерживаемый исключительно локальной аутентификацией.
В июле 2012 года был основан Альянс FIDO и началась работа над протоколом аутентификации без пароля.
В 2019 году Альянс FIDO и Консорциум World Wide Web (W3C) объявили спецификацию веб-аутентификации (WebAuthn) официальным веб-стандартом. WebAuthn позволяет серверам регистрировать и аутентифицировать пользователей, используя криптографию с открытым ключом вместо пароля. С точки зрения пользователя, с WebAuthn требуются только следующие шаги:
1.Введите имя пользователя (или адрес электронной почты)
2.Нажмите «Войти»
3.Touch ID
4.Сделано
Источник: https://www.hanko.io/blog/on-passkeys
WebAuthn позволяет серверам интегрироваться с надежными аутентификаторами, которые теперь встроены в устройства, такими как Touch ID от Apple. Вместо пароля для веб-сайта создается пара закрытый-открытый ключ (известная как учетные данные). Закрытый ключ надежно хранится на устройстве пользователя; открытый ключ и случайно сгенерированный идентификатор учетных данных отправляются на сервер для хранения. Затем сервер может использовать этот открытый ключ для аутентификации личности пользователя.
Открытый ключ не является секретным, потому что он фактически бесполезен без соответствующего закрытого ключа. Тот факт, что сервер не получает секрет, имеет далеко идущие последствия для безопасности пользователей и организаций. Базы данных уже не так привлекательны для хакеров, потому что открытые ключи для них бесполезны». (Подробнее: Руководство по веб-аутентификации)
Поэтому WebAuthn прекрасно сочетает биометрию и криптографию.
В марте 2022 года Альянс FIDO опубликовал технический документ, подробно описывающий новую концепцию под названием «учетные данные FIDO для нескольких устройств или короткие «ключи доступа», означающие, что ваша информация для безопасного входа в систему будет доступна на нескольких устройствах. Таким образом, ключ доступа также можно назвать «синхронизированными учетными данными WebAuthn».
Ваши устройства позаботятся о синхронизации ключей доступа. Как только технология будет выпущена позже в этом году, вы сможете использовать свои пароли на всех устройствах, использующих одну и ту же учетную запись iCloud. Он работает как современный синхронизируемый с облаком менеджер паролей (например, iCloud Keychain или 1Password), только без паролей. Если вы потеряете свое устройство, вы просто включите новое, и вы снова в сети. Ваши пароли уже будут на месте, и вы сможете сразу же входить в свои сервисы с помощью Touch ID или Face ID.
Короче говоря, пароли — это замена паролей. Они быстрее входят в систему, проще в использовании и намного надежнее.
Nervos CKB поддерживает функцию Apple Passkey
Одной из причин, по которой Интернет быстро вырос до своих нынешних размеров с учетом как безопасности, так и удобства, является широкое использование криптографических примитивов. Например, SubtleCrypto, алгоритм, существующий почти во всех браузерах, можно использовать даже в мини-программах; WebAuthn, который стал официальным веб-стандартом в 2019 году, делает шифрование браузера таким же мощным, как аппаратный кошелек, сохраняя при этом удобство для пользователя (поскольку пользователи могут разблокировать с помощью Touch ID, Face ID и т. д.).
Пользовательский барьер для dApps может быть значительно снижен, если блокчейн может напрямую использовать криптографическую инфраструктуру Интернета, а не требовать от пользователей загрузки подключаемых модулей или приложений кошелька, а затем проходить процесс хранения мнемонических фраз.
Однако криптографические примитивы, поддерживаемые основными блокчейнами, ограничены:
Алгоритмы подписи этих блокчейнов несовместимы с методами шифрования, используемыми в инфраструктуре, поддерживающей Интернет, поэтому требуется новая инфраструктура.
Что выделяет Nervos CKB, так это то, что CKB-VM является абстрактной и не содержит предварительно скомпилированных контрактов для реализации низкоуровневой функциональности. Даже криптографические примитивы по умолчанию, такие как хеш-функция Blake2b и алгоритм проверки подписи Secp256k1, являются просто смарт-контрактами, работающими на виртуальной машине. Другими словами, разработчики могут сами выбирать криптографические примитивы в смарт-контрактах и даже напрямую использовать существующую инфраструктуру Интернета, включая грядущий Passkey.
Поэтому мы с гордостью можем сказать, что Nervos CKB в настоящее время может быть единственным общедоступным блокчейном, который поддерживает функцию Passkey.
Что Passkey даст Nervos?
Предположим, что мы находимся в будущем на несколько месяцев, и ключи доступа полностью поддерживаются устройствами Apple. Итак, что Passkey даст Nervos Network?
Ответ, вероятно, заключается в более низком входном барьере для новых пользователей, более удобном для пользователя опыте и, в свою очередь, в большем количестве пользователей.
Passkey — это часть инфраструктуры, и для полной реализации ее потенциала требуется участие разработчиков. Мы будем использовать криптовалютный кошелек в качестве примера, чтобы показать, как эта инфраструктура снижает барьер входа для пользователей, улучшает пользовательский опыт и привлекает больше пользователей Интернета в экосистему Nervos.
На данный момент некастодиальные криптовалютные кошельки по-прежнему неразрывно связаны с мнемоникой, открытыми и закрытыми ключами. Таким образом, для пользователя Интернета, который привык входить в систему с Touch ID или Face ID, довольно проблематично самостоятельно сохранять мнемоники из 12 или 24 слов, проверять, что мнемоники в правильной последовательности, и он / она не может делать скриншоты или копировать мнемосхемы и отправлять онлайн.
Кроме того, мнемоника может быть утеряна из-за неправильного хранения, что приведет к краже криптоактивов. Еще одна часто встречающаяся ситуация — потеря мнемоники, а значит, кошелек невозможно восстановить и вывести криптоактивы с кошелька уже нельзя.
Благодаря поддержке Passkey закрытый ключ (и мнемоника) могут быть надежно скрыты и никогда не будут раскрыты пользователям. Таким образом, пользователи смогут создать кошелек Nervos CKB с помощью Touch ID или Face ID после установки приложения кошелька. Им просто нужно авторизоваться с помощью Touch ID или Face ID при создании транзакций или взаимодействии со смарт-контрактами, что очень удобно и безопасно.
Если пользователь потеряет свой смартфон или заменит его новым, он может войти в ту же учетную запись iCloud на новом устройстве, загрузить приложение кошелька, а затем восстановить кошелек с помощью Touch ID или Face ID. Утерянное устройство невозможно взломать, а закрытый ключ нельзя экспортировать, даже если он принадлежит хакеру.
Такие криптовалютные кошельки имеют более низкие пороги и лучший пользовательский интерфейс, а все операции знакомы пользователям Интернета.
Кошельки — это ворота для входа пользователей в мир блокчейна. Благодаря такому удобному и безопасному кошельку миллиардам пользователей Интернета намного проще получить доступ к таким новым вещам, как криптовалюты, DeFi, GameFi и NFT.
Конечно, возможности того, что Passkey принесет Nervos Network и блокчейнам, этим не ограничиваются. Если вы являетесь разработчиком, стремящимся донести блокчейн до каждого пользователя Интернета, мы приглашаем вас присоединиться к программе Build Club и создать больше возможностей:
