Компанія Google впровадила в один зі своїх веб-сервісів можливість входу за допомогою відбитка пальця, а не пароля. Поки така можливість є тільки при вході в менеджер паролів, але в майбутньому компанія планує додати цей метод аутентифікації в інші сервіси, повідомляється в блозі Google.
Стандартним методом автентифікації в веб-сервісах є комбінація логіна і пароля. Крім того, багато великих сервісів підтримують двофакторну автентифікацію, при якій крім основного пароля користувачеві необхідно пред'явити одноразовий код або фізичний токен. В останні роки багато дослідників в області інформаційної безпеки відзначають, що ця модель на практиці неефективна. По-перше, більшість користувачів використовують вкрай прості паролі, причому відразу на декількох сервісах, що робить їх вразливими проти навіть простих атак. По-друге, при вході в сервіс на смартфоні одноразові коди втрачають свій сенс, тому що вони приходять на той же самий пристрій.
Google розробила для входу в свої сервіси альтернативний спосіб входу, що не вимагає введення пароля. Замість цього користувачеві необхідно використовувати стандартні методи розблокування, що застосовуються в смартфонах на Android - сканування відбитка пальця або введення графічного ключа.
Вхід можна виконати через браузер Google Chrome на смартфонах з Android 7.0 і більш новою версією. Для цього програмісти використовували зв'язку з двох публічних стандартів аутентифікації. При вході браузер запитує у операційної системи підтвердження особи через відбиток або графічний ключ, використовуючи FIDO API. Після введення ключа або прикладання пальця система передає браузеру не самі ці дані, а лише підтвердження того, що відбиток або графічний ключ збіглися зі збереженими. Після цього браузер передає дані про це сайту за допомогою протоколу WebAuthn.
Поки функція доступна лише для онлайн-менеджера паролів Google, але надалі компанія планує розширити її на інші сервіси. Крім того, оскільки в ній використовуються загальноприйняті стандарти, підтримувані, наприклад, Firefox, є ймовірність, що вона буде підтримуватися і іншими браузерами і сервісами.
Раніше Google впровадила в свої веб-сервіси можливість використання смартфона в якості Bluetooth-токена двофакторної аутентифікації. Для цього користувачеві необхідно тільки натиснути кнопку гучності. Ця функція також працює на основі протоколів FIDO і WebAuthn.