Вход на «Клерк» без пароля

Пароли — это величайший костыль, который живёт с нами с ранних времён интернета и от которого довольно сложно избавиться. На этой неделе мы добавили возможность входить на «Клерк» без пароля — по отпечатку пальца или по face id или просто с вашего постоянного компьютера. Это была довольно большая и сложная работа, которая в итоге визуально вмещается всего в два экрана:

Если не терпится настроить — то можно сразу переходить и добавлять ключ в профиль.

А для более вдумчивого чтения, расскажу про технологию ниже.

Логин это ваша публичная информация, её знают все и она говорит другим людям о том, с кем они имеют дело. Пароль — ваша приватная информация, её никто не знает кроме вас, но она подтверждает, что вы правда владеете логином.

Проблема с паролем в том, что его легко подобрать. Если сделать простой пароль типа «11111» или «sveta95» — то даже очень легко.

Пароль должен быть сложным. Проблема со сложным паролем в том, что его невозможно запомнить, а кроме того, его надо периодически менять. Потому что даже сложный пароль со временем подбирается.

Ещё одна проблема, даже если вы сделали сложный пароль — одного мало. Например, у вас есть пароль на «Клерке» и тот же самый пароль в интернет-магазине XYZ. Если у интернет-магазина XYZ утечёт база паролей, то дальше её перекупят и начнут пробовать подбирать этот же пароль на других сайтах.

Чтобы не запоминать пароли (которые невозможно запомнить), придумали разные способы записи.

Сначала записывали на бумажках и приклеивали на монитор. Это не безопасно, особенно в офисе. Потом появились оффлайн менеджеры паролей и браузерные менеджеры. Есть и другие способы.

Менеджеры паролей хранят ваши пароли в зашифрованном виде либо в файле, либо в облаке. Эти базы в теории тоже можно украсть, расшифровать и пользоваться.

Относительно новая технология входа без пароля нужна для того, чтобы привязывать устройство (компьютер, телефон) к вашей учётной записи и доверять этому устройству.

Происходит подтверждение того что вы владеете доверенным компьютером/телефоном, а значит вы — это вы.

Зарегистрироваться на сайте таким способом нельзя, можно привязать устройство только к уже существующей учётке, но за то можно сделать безумно сложный пароль и не запоминать его.

По сути, мы не знаем, как именно ваш компьютер хранит секретные ключи для входа и как он вас проверяет, мы даём вам возможность в профиле указать «да, это правда мой компьютер, когда я с него вхожу не спрашивайте у меня пароль».

1. Авторизовываемся на сайте обычным способом (по паролю или по СМС).

2. Заходим в настройки своего профиль в раздел безопасность.

3. Нажимаем на «Добавить ключ» и придумываем для него имя, чтобы не забыть (например, «Мой телефон» или «Домашний компьютер» — имя потребуется если у вас несколько ключей и вы потом захотите один из них удалить, чтобы не запутаться какой ключ с какого устройства.

4. Дальше ваше устройство попросит вас что-то сделать: возможно ввести пин код, возможно, просто добавит в менеджер браузера, возможно запросит отпечаток пальца — тут вы полностью управляете процесом сами — как именно на вашем устройстве будут защищаться ключи. Но обычно там всё интуитивно и делается в 1-2 шага.

5. Если всё прошло хорошо, то в списке, в профиле, появится новый ключ.

6. После этого можно проверять: разлогиниваться и заходить на сайт заново.

7. На странице авторизации выбираете вкладку «Без пароля», нажимаете «Войти»

8. Ваше устройство попросит вас разблокировать ключ (способы так же разнообразны, например, по отпечатку пальца).

9. Заходите на сайт без пароля.

То есть если в двух словах: надо один раз зайти в профиль и добавить ключ для устройства. А после этого входите сколько угодно раз уже без пароля.

Доступ на сайт классическими способами — через СМС или по паролю всегда останутся с вами, но теперь нет необходимости запоминать этот пароль или приклеивать его на монитор.

Ключ который вы добавили будет работать всегда, если вы только не потеряете устройство, или не переустановите операционную систему. Если это произошло, то вы всегда можете в профиле удалить потерянный ключ и добавить новый.