Security Week 2342: беспарольный вход по умолчанию в сервисах Google

На прошлой неделе компания Google сообщила о том, что теперь для входа в сервисы компании опцией по умолчанию будут парольные ключи. Такие ключи (passkey) — это шаг в сторону полного отказа от паролей в сервисах компании. Данная фича была внедрена весной этого года, а теперь при каждом входе в сервис пользователи будут получать предложение создать ключи и использовать новую систему как основную.

7vrbajfwgdjuklnfp1khpbrwg9e.png

Стандарт авторизации с помощью ключей был разработан альянсом FIDO и предполагает наличие уже авторизованного устройства для быстрого логина. Для пользователей это уже привычная схема: даже после ввода пароля многие сервисы предлагают отправить запрос на ранее залогиненный девайс и таким образом подтвердить личность пользователя. Разница только в том, что теперь пароль и вовсе не нужен.
Быстрое тестирование новой технологии показало, что по умолчанию вход с помощью passkey доступен далеко не везде, но эта опция выбирается отдельно. При попытке войти в систему на компьютере запрос отправляется на смартфон, где его можно подтвердить с помощью сканера отпечатков пальцев или другой биометрии. Отдельная фича — проверка, что смартфон находится рядом с ноутбуком.

Достоинства и недостатки такого метода описаны в этой статье, опубликованной в мае 2022 года. Именно тогда крупные компании, включая Microsoft, Apple и Google, объявили о поддержке стандарта и неизбежном беспарольном будущем. Очевидное преимущество парольных ключей заключается в том, что не надо запоминать сложные пароли, регулярно обновлять их и опасаться утечек (как со стороны пользователя, так и со стороны организации). Но, пожалуй, важнее то, что стандарт FIDO Passkey исключает множество потенциально уязвимых мест, в которых эти утечки происходят. Заманить пользователя на поддельную фишинговую страницу, которая притворяется сервисом GMail, все еще можно, но парольные ключи на ней работать не будут. Такой метод атаки скорее всего будет исключен, но при одном условии — когда вход по обычному паролю перестанет быть возможным.

В случае с сервисами Google это пока не так, и вряд ли ситуация изменится в ближайшем будущем. Простая проверка внедрения парольных ключей тут же выявила сценарий, при котором отправленный на телефон запрос просто не приходит. Паролем пользоваться в целом привычнее. Несмотря на то что «смерть паролей» предсказывают уже много лет — даже при наличии работающей альтернативной технологии пароли будут с нами еще очень долго.

Что еще произошло:

Специалисты «Лаборатории Касперского» провели анализ пользовательских соглашений ИИ-чатботов, включая Google Bard и ChatGPT. Если коротко, «промпты» (запросы пользователей) могут использоваться для дальнейшего обучения модели, если речь идет об обычных учетных записях. Корпоративные учетки работают по другим правилам. Но в любом случае стоит держать в голове риск, что приватные данные, которые попадают в ChatGPT и подобные сервисы, могут «утечь». Причем как традиционным способом (кража учетки), так и инновационным: через попадание в механизм дообучения и внезапное появление в ответах для других пользователей.

А Microsoft тем временем запустила отдельную программу bug bounty, в которой обещают вознаграждение за уязвимости, найденные именно в сервисах на основе машинного обучения.

11 октября вышло обновление утилиты cURL с патчем для «самой серьезной уязвимости за долгое время». Впрочем, уязвимость оказалась не столь опасной: при некоторых вводных можно вызвать переполнение буфера, но вероятность совпадения всех условий достаточно низка.

Новые патчи выпустили Apple (две уязвимости zero day в iOS 16), Microsoft (в рамках стандартного пакета патчей исправили эксплуатируемые проблемы в WordPad и Skype for Business) и Adobe (в частности, закрыли критическую уязвимость в Photoshop, приводящую к выполнению произвольного кода).

В новых релизах Windows по умолчанию будет выключена поддержка VBScript — ранее популярного в веб-разработке языка, который теперь скорее является источником потенциальных уязвимостей.

© Habrahabr.ru