11 октября 2023

После перерыва по личным причинам, возвращаемся к новостям. Google (вслед за Apple) начинает предлагать своим пользователям Passkeys как дефолтный способ авторизации.

Passkeys — это форма авторизации без пароля, где носителем приватного ключа выступает ваше доверенное устройство, например, смартфон. При создании passkey создаётся пара ключей, один из которых хранится у сервиса, а второй — на устройстве пользователя. Само устройство при этом защищено ключом доступа или авторизацией по отпечатку пальца или FaceID, в-общем, по идее, это более надежно, нежели просто пароль. Впрочем, поддержка паролей сохраняется.

Честно говоря, сложно сказать, насколько это станет удобнее — например, логин в iCloud по Passkeys (используя iPhone), хоть и не требует теперь второго фактора, но все равно содержит достаточно много дополнительных действий — надо нажать в форме “использовать телефон”, потом на телефон прилетает запрос авторизации, потом срабатывает FaceID и ощущение громоздкости процесса остаётся, хотя и непонятно, что можно улучшить.

Если что, поддержку Passkeys объявлял еще в прошлом году и 1Password.

В августе этого года Amazon, Google и Cloudflare зафиксировали крупнейшую DDOS-атаку в истории — она достигала 398 млн запросов в секунду, что в 8 раз выше предыдущего рекорда, и использовала уязвимость в HTTP/2 протоколе, создавая сотни тысяч запросов внутри одного соединения и немедленно отменяя их. В результате это позволяет сделать недоступным любой сервис, использующий HTTP/2 — а на этом протоколе сейчас работает до 60% всего интернета.

Печально, конечно, что всё, что придумывается человечеством, немедленно искажается и используется во вред.

UPDATE: В первой версии была неверно указана мощность атаки.