Google објави дека воведува поддршка за passkey, стандард за автентикација од следната генерација, за Android и Chrome за да го поедностави најавувањето на апликации, веб-сајтови и уреди.
Google вели дека пристапните клучеви се многу посигурна замена за лозинките и другите фактори за автентикација кои можат да бидат украдени.
„Тие не можат повторно да се користат, отпорни на протекување во случај на хакирање на серверот и ги штитат корисниците од фишинг напади“, велат од Google.
Поддршката за passkey ќе овозможи најавување без лозинка на повеќе платформи, овозможувајќи им на корисниците да креираат и користат клучеви за пристап на уредите со Android.
Оваа функција за прв пат беше објавена во мај 2022 година како дел од пошироките напори за поддршка на заеднички стандард за најавување без лозинка.
Клучевите за пристап, воспоставени од Алијансата FIDO и исто така поддржани од Apple и Microsoft, имаат за цел да ги заменат стандардните лозинки со уникатни дигитални клучеви кои се складирани локално на уредот.
Најавувањето на веб-сајтот на мобилен уред е едноставен процес во два чекора кој вклучува избор на сметката на која корисникот сака да се најави и автентикација со отпечаток од прст, лице или отклучување екран кога од корисникот ќе биде тоа побарано.
Пристапниот клуч на телефонот може да се користи и за најавување на уред во близина. На пример, корисник на Android сега може да се најави на веб-сајт со овозможен пристапен клуч користејќи Safari на Mac. Слично на тоа, поддршката за пристапен клуч на Chrome значи дека корисникот на Chrome на Windows, на пример, може да го стори истото користејќи клуч зачуван на нивниот iOS уред.
Основниот принцип зад клучевите за пристап е механизам наречен криптографија со јавен клуч, каде што „тајниот“ приватен клуч се чува на уредот на корисникот, додека јавниот клуч се чува од онлајн сервис. Така, за време на процесот на најавување, платформата што поддржува клучеви за пристап го користи јавниот клуч за да го потврди потписот со приватниот клуч за да ја потврди автентичноста на корисникот.
Клучот за пристап генериран за сметката на онлајн услугата на корисникот исто така е шифриран на уредите на корисникот користејќи хардверски заштитен клуч за шифрирање.
Google нагласи дека генерираните клучеви за пристап се безбедно складирани и синхронизирани со облакот преку нивниот Управувач со лозинки за да се спречи заклучување, во случај на губење на уредот.
Компанијата рече дека програмерите можат да интегрираат поддршка за клучот за пристап во нивните веб-страници користејќи го WebAuthn API.
„Кога се прави резервна копија на клучот, неговиот приватен клуч се поставува само во шифрирана форма со помош на клуч за шифрирање што е достапен само на уредите на корисникот“, објаснува Google.
„Ова ги штити клучевите за пристап од самиот Google или, на пример, од напаѓачите во Google. Без пристап до приватниот клуч, таквиот напаѓач не може да го користи клучот за пристап за да се најави на соодветната онлајн сметка.
Компанијата соопшти дека планира да објави API оваа година за домашните апликации за Android што ќе им овозможи на корисниците стандардизиран начин да изберат клуч за пристап или зачувана лозинка.