Touch ID для вебсайтів? Ні, дякую!

Не використовуйте пропрієтарні вебавтентифікатори – не віддавайте свою безпеку в руки техногігантів

Як зробити типу менеджер паролів і типу так, щоб контроль перейшов від користувача до великих IT-компаній?

Що за відмички? §

Альянс FIDO (“Fast IDentity Online”, складається з Google, Apple, Amazon та інших, зроз) розробив стандарт FIDO2 для безпарольної аутентифікації у вебсервісах — [вебавтентифікації](WebAuthn, і хоче всіх на нього підсадити. Бо паролі, бачте, проблема, але фактично проблема — тільки слабкі паролі та їх перевикористання, що вирішують менеджери паролів.

Вебавтентифікація чимось нагадує користування ключами SSH — ви так само генеруєте пару з публічного та приватного ключа й даєте сервісу (сайту) публічний ключ, а приватний використовуєте, щоб логінитись туди.

Маркетоїди обізвали ці ключі Passkeys, тому я буду далі називати їх відмичками, бо такий переклад у словнику mova.org для stardict.

Це зручно? (НІ) §

Щоб випадкова людина не могла просто так узяти чужий пристрій та використати їх для входу в обліковий запис власника, ключі SSH і паролі в менеджері паролів зазвичай захищають паролем. Але корпорації зла вирішили, що паролі дають людям забагато свободи, тому відмички “захищають” Touch і Face ID (типу зручно, диви, приклав палець — зайшов на сайт, вау). А ще самі відмички не завжди зберігаються на вашому пристрої (добрий повідець придумали!).

  1. Технологічні гіганти кажуть, що використання пальця для логіну на сайт значно зручніше та безпечніше, ніж пароля. Насправді навпаки. Єдине, що в такому випадку зручніше — це замикання вас в екосистемі одної з компаній-пропонентів цієї маячні. Бо вони надіються, що всі танці будуть через їх сервіси — iCloud на аймонстрах, менеджер паролів Google та відповідно їх реалізації Touch/Face ID і так далі. Щоб ви все більше залежали від їх сервісів, щоб вони все сильніше вкорінювались на ринку.

  2. Apple змусила користувача увімкнути iCloud, щоб зберегти ключі. Тобто вони навіть не зберігаються у вас, ТОБТО в будь-який момент у вас можуть забрати дані для входу на всі сервіси в Інтернеті.

Posession-based проти Knowledge-based §

Ось, що пише на сайті Альянсу FIDO:

Enabling a fundamental shift to phishing-resistant authentication From legacy, knowledge-based credentialing To modern, possession-based credentialing

Крінж! Knowledge-based рулить, його значно важче обернути проти вас. Просто обмежте те, що вам треба знати! Саме тому менеджер паролів базований і це все фігня, і ось порівняння:

Відмички + Touch ID Менеджер паролів
Можлива кількість і складність паролів від бази? максимум 20 на людину; навіть підбирати не треба, бо відбитки пальців можна дістати Міняйте пароль, скільки влізе; Можлива будь-яка комбінація і сила пароля залежить тільки від вас
Несанкціонований доступ Ваш палець узяли та приплюснули до сканера АБО зробили копію відбитку на базі фотографії, як уже робили Головний пароль у вас у голові, і, може, десь записаний (тільки ви знаєте, де)
Від чого ви залежні? Копрорація віддалено відімкне свій пропрієтарний сканер відбитку чи просто закриє вам доступ до сервера з ключами, і ви без нічого. Ви можете втратити девайс чи просто зламається сканер відбитків, або ви відріжете собі палець болгаркою, і не зможете навіть зайти на сайт компанії, щоб надіслати запит на відновлення доступу до ключів чи скаргу (геніально!) Від надійності бекапів та своєї пам’яті (пам’яті тексту одного пароля, підкріпленої м’язовою та візуальною пам’яттю)

Я, звісно, вважаю, що менеджер паролів вільний та локальний, що аргументував у цій статті, де давав поради для його вибору. З Touch ID уявити свободу я не можу. До речі, деякі менеджери паролів, зокрема KeePassXC, підтримують менеджмент цих ключів, тобто вам не треба залежати від вендорів із їх збирачами біометрії! Але є ще деякі нюанси.

Ще гірше §

Цитую емейл з кінця цієї статті:

[щодо] рівнів сертифікації FIDO та служби метаданих FIDO MDS.

TLDR: сторона, на якій ви проходите автентифікацію, може просто сказати «ні, я не прийму автентифікацію з цього пристрою».

Сервіси, які вимагають автентифікації, МОЖУТЬ вирішити вимагати певний рівень сертифікації FIDO для прийняття пристрою. Процес сертифікації виглядає як “pay to win”. Кожна служба повинна мати оновлений блоб MDS3, що містить список сертифікованих пристроїв.

Це більше стосується апаратних автентифікаторів типу NitroKey, але це може бути застосовано й до вебсервісів. Уявіть таке майбутнє: щоб зайти на сайт, потрібно мати спеціальний пропрієтарний автентифікатор!