Биометрическая аутентификация вкупе с менеджерами паролей, которые стали нормой жизни для многих пользователей относительно недавно, практически свели на нет необходимость запоминания данных авторизации. Благодаря им мы зачастую даже не знаем, как выглядит пароль, который мы используем при регистрации на конкретном сайте. Но ведь быстрая авторизация на сайтах без использования паролей существовала и раньше. Просто подтвердить свою личность нужно было не при помощи отпечатка пальца, а при помощи аккаунта в Google. Этот метод авторизации и сегодня пользуется популярностью, но не опасен ли он?
По данным Wired, системы авторизации вроде «Войти с Google», «Войти с Twitter», «Войти с Facebook» или «Войти с Apple» далеко не так безопасны, как о них принято думать. Несмотря на то что они предлагают более быстрый вход, чем при использовании логина и пароля, а также не вынуждают вас запоминать их, такие системы могут привести к тому, что все ваши аккаунты на сайтах, где вы вошли с помощью социальных сетей, могут быть украдены. Ведь в этом случае вы передаёте сайтам свою электронную почту вместо логина, к которой можно подобрать пароль.
Проблемы «Войти с Google»
Когда вы используете систему «Войти с Google» (или любую другую), по сути, всё, что защищает ваш аккаунт – это так называемый мастер-пароль. То есть пароль, который вы используете для авторизации в своей учётной записи Google. Если он будет скомпрометирован или просто подобран, будьте готовы к тому, что злоумышленники получат доступ вообще ко всем вашим аккаунтам – от социальных сетей, где вы авторизовались с Google, до финансовых счетов, программ лояльности, в которых вы участвуете, и многих других сервисов, которыми пользуетесь.
Стоит ли пользоваться системами вроде «Войти с Google»? Это очень сложный вопрос. Люди пользуются ими, потому что не хотят запоминать пароли. Им сложно удержать в памяти сразу несколько защитных комбинаций, тем более если все они разные. Поэтому они просто устанавливают простейший пароль на свой аккаунт Google, а потом авторизуются с его помощью на всех сервисах, которыми пользуются. Это очень опасный подход, который чреват компрометацией сразу всех профилей, — объяснила Вэнди Нокс Эверетт, старший консультант в области кибербезопасности компании Liviathan Security.
«Войти с Apple» на Android
Чтобы спокойно пользоваться системами вроде «Войти с Google», необходимо озаботиться созданием надёжного пароля, которым вы защитите свой мастер-аккаунт. Он должен состоять из букв, цифр, символов – и по возможности сложных. Но меня это пугает не так сильно, как автоподписки. Ведь, когда вы авторизуетесь на сайтах со своей учётной записью Google, вы фактически добровольно оформляете подписку на всевозможные рассылки, которые начинают сыпаться на вас буквально отовсюду. Почему-то поисковый гигант никак не блокирует их, не говоря уже о том, чтобы заранее дать пользователю возможность отказаться от рассылок, которые ему, по сути-то, и не нужны вовсе.
Очень классное решение придумала Apple, которая реализовала систему подставных почтовых адресов, чтобы рассылки уходили в никуда. Но и тут есть проблема. В Купертино решили ограничить использование «Войти с Apple» только фирменными устройствами. Из-за этого я, когда попытался войти в профиль на сервисе бронирования отелей Booking с помощью «яблочной» системы на своём Android-смартфоне, уже не смог этого сделать, потому что кнопки авторизации банально не было, а пароля я, конечно же, не помнил. Вот и думай теперь – где удобство.