Стандарт FIDO превратит пользователей в заложников экосистем Apple и Android.

None

Отказ от паролей может усложнить пользователям переключение между разными экосистемами. То есть, если вместо паролей пользователь будет использовать на своих устройствах производства Apple ключи доступа, он не сможет их перенести на Android-устройства, и наоборот.

Мир без паролей – «голубая мечта» организации FIDO Alliance, чьей миссией является разработка и продвижение стандартов аутентификации, которые «помогут уменьшить чрезмерную зависимость мира от паролей».

Вместо того, чтобы для авторизации на сайтах или в приложениях пользователи вводили пароли, FIDO предлагает авторизовать пользователей с помощью их же устройств (например, iPhone может авторизовать пользователя с помощью Face ID).

Первый пример работы стандарта FIDO на устройствах от Apple был представлен в 2019 году. Позднее компания официально подтвердила, что намерена реализовать его поддержку.

Стандарт поддерживается такими техногигантами, как Amazon, Arm, Facebook, Google, Intel, Microsoft и Samsung. В совет директоров FIDO Alliance также входят American Express, ING, Mastercard, PayPal, Visa и Wells Fargo.

Однако, как отметил журнал Fast Company, в своем нынешнем виде стандарт никоим образом не предусматривает возможности переключения между экосистемами. Ключи доступа хранятся локально на устройствах, поэтому, если пользователь захочет заменить свой iPhone на Android-устройство или наоборот, у него возникнут серьезные проблемы с авторизацией. FIDO попросту не предусматривает возможности перенесения всех ключей доступа пользователя с одной экосистемы на другую.

В свою очередь, пароли переносить очень легко. Популярные браузеры могут импортировать пароли из других браузеров всего в несколько кликов, а большинство менеджеров паролей могут загружать пользовательские учетные данные в электронную таблицу .csv, благодаря чему пользователи могут вручную загружать их в альтернативные сервисы.

Теоретически, проблему с перенесением ключей доступа решить довольно легко – нужно просто разрешить экспорт и импорт ключей доступа. Однако учитывая, что стандарт FIDO позиционируется как более безопасная альтернатива паролям, вряд ли альянс позволит это сделать. Так, если пользователи смогут перемещать свои ключи доступа между провайдерами, то этим легко воспользуются хакеры. В настоящее время трудно сказать, когда и каким образом FIDO Alliance намерен решить эту проблему.

Источник: securitylab