Стандарт авторизации с помощью ключей был альянсом FIDO и предполагает наличие уже авторизованного устройства для быстрого логина. Для пользователей это уже привычная схема: даже после ввода пароля многие сервисы предлагают отправить запрос на ранее залогиненный девайс и таким образом подтвердить личность пользователя. Разница только в том, что теперь пароль и вовсе не нужен.
Быстрое тестирование новой технологии показало, что по умолчанию вход с помощью passkey доступен далеко не везде, но эта опция выбирается отдельно. При попытке войти в систему на компьютере запрос отправляется на смартфон, где его можно подтвердить с помощью сканера отпечатков пальцев или другой биометрии. Отдельная фича — проверка, что смартфон находится рядом с ноутбуком.
Достоинства и недостатки такого метода описаны в статье, опубликованной в мае 2022 года. Именно тогда крупные компании, включая Microsoft, Apple и Google, объявили о поддержке стандарта и неизбежном беспарольном будущем. Очевидное преимущество парольных ключей заключается в том, что не надо запоминать сложные пароли, регулярно обновлять их и опасаться утечек (как со стороны пользователя, так и со стороны организации). Но, пожалуй, важнее то, что стандарт FIDO Passkey исключает множество потенциально уязвимых мест, в которых эти утечки происходят. Заманить пользователя на поддельную фишинговую страницу, которая притворяется сервисом GMail, все еще можно, но парольные ключи на ней работать не будут. Такой метод атаки скорее всего будет исключен, но при одном условии — когда вход по обычному паролю перестанет быть возможным.
В случае с сервисами Google это пока не так, и вряд ли ситуация изменится в ближайшем будущем. Простая проверка внедрения парольных ключей тут же выявила сценарий, при котором отправленный на телефон запрос просто не приходит. Паролем пользоваться в целом привычнее. Несмотря на то что «смерть паролей» предсказывают уже много лет — даже при наличии работающей альтернативной технологии пароли будут с нами еще очень долго.
Что еще произошло:
Специалисты «Лаборатории Касперского» провели пользовательских соглашений ИИ-чатботов, включая Google Bard и ChatGPT. Если коротко, «промпты» (запросы пользователей) могут использоваться для дальнейшего обучения модели, если речь идет об обычных учетных записях. Корпоративные учетки работают по другим правилам. Но в любом случае стоит держать в голове риск, что приватные данные, которые попадают в ChatGPT и подобные сервисы, могут «утечь». Причем как традиционным способом (кража учетки), так и инновационным: через попадание в механизм дообучения и внезапное появление в ответах для других пользователей.
А Microsoft тем временем отдельную программу bug bounty, в которой обещают вознаграждение за уязвимости, найденные именно в сервисах на основе машинного обучения.
11 октября вышло утилиты cURL с патчем для «самой серьезной уязвимости за долгое время». Впрочем, уязвимость оказалась не столь опасной: при некоторых вводных можно вызвать переполнение буфера, но вероятность совпадения всех достаточно низка.
Новые патчи выпустили Apple (две zero day в iOS 16), Microsoft (в рамках стандартного пакета патчей исправили эксплуатируемые в WordPad и Skype for Business) и Adobe (в частности, критическую уязвимость в Photoshop, приводящую к выполнению произвольного кода).
В новых релизах Windows по умолчанию будет поддержка VBScript — ранее популярного в веб-разработке языка, который теперь скорее является источником потенциальных уязвимостей.
