В браузере Chrome может появиться усиленная система одноразовых паролей
Разработчики популярного web-браузера Chrome рассказали о своей работе над интересным проектом. Этот проект предусматривает создание улучшенной системы управления паролями, способной генерировать стойкие случайные пароли каждый раз при регистрации в новых web-сервисах. Идея проекта заключается в том, чтобы усилить безопасность пользователей: с одной стороны, за счет гарантированно стойких паролей, с другой стороны за счет уникальности паролей. Таким образом, даже если один из паролей будет скомпрометирован, остальные пароли не пострадают.
Сегодня, когда у каждого активного пользователя есть десятки, если не сотни учетных записей на самых разных сайтах и в разных сервисах, есть две главные проблемы с защитой этих учетных записей – неустойчивые ко взлому пароли и повторное использование паролей в разных учетных записях. Разработчики Chrome предлагают долгосрочное решение: локальный вход в браузере и сервис OpenID. Получается, что пользователю нужно войти в локальную учетную запись браузера, а далее всю авторизацию будет выполнять OpenID. Само собой, для этого все запрашиваемые сайты должны поддерживать OpenID.
Сейчас борьба с уязвимостью паролей в Chrome ведется с помощью диспетчера паролей и сервиса синхронизации. Тем не менее, пользователи все еще знают свои пароли, поэтому могут их забыть или раскрыть злоумышленникам в ходе фишинг-атак (вроде предложения подтвердить пароль для банковского счета или электронной почты). Разработчики Chrome хотят решить проблему в корне, чтобы пользователи вообще не знали никаких своих паролей, кроме пароля к локальной учетной записи в браузере.
Отличная идея, несмотря на очевидную новизну, имеет ряд серьезных недостатков. В частности, генерируемые пароли могут просто не подойти для регистрации в тех или иных сервисах. Например, один сервис может потребовать, чтобы пароль состоял только из цифр, а другие сервисы накладывают ограничения по длине пароля или по использованию определенных символов. На данный момент генератор случайных паролей в Chrome не предлагает никаких механизмов для приспособления к таким условиям.
Есть и другие аспекты проблемы – некоторые сервисы, особенно банковские, прямо запрещают автоматический ввод пароля через механизмы вроде диспетчера паролей в Chrome. Таким образом, если пользователь не будет знать автоматически сгенерированный пароль для входа в этот сервис, то он просто не сможет войти в свою учетную запись. Еще одна опасность нового подхода заключается в том, что доступ к случайным паролям будет закрыт, если пользователю придется работать в другом браузере, отличном от Chrome. Само собой, разработчики понимают проблемы и говорят о создании некоего портала, где пользователь сможет управлять всеми своими паролями.
На данный момент генератор паролей для Chrome находится в стадии рабочей концепции. Кроме того, существует множество инструментов аналогичного назначения, вроде сервиса LastPass, который как раз и предлагает все недостающие функции – настраиваемый генератор паролей, централизованное управление паролями, плагины ко всем популярным браузерам и мобильные приложения. Тем не менее, если вас заинтересовали новые задумки разработчиков Chrome, подробнее узнать о них можно в официальной документации.