VK завершает тестирование OnePass — системы входа без пароля с помощью биометрии. Утверждается, что данные остаются на устройстве и соответствуют международным стандартам безопасности. Но отсутствие публичного аудита, возможная интеграция с госплатформами и непрозрачная архитектура передачи данных вызывают вопросы: действительно ли это шаг к удобству, или дело может быть в другом?
Цифровая метка
Кто из нас хотя бы раз, вспоминая так некстати забытый доступ к нужному ресурсу, добрым словом вспоминал тех, кто вообще придумал эти пароли, требования к которым год от года становятся все изощреннее, но все равно не спасают от взломов и утечек. Современные компании предлагают альтернативу устаревающим технологиям. Два клика — и готово: FaceID, TouchID, OnePass... И вот ты уже не человек, а профиль в социальной сети. Далеко не всем нравится сама идея получения «цифровой метки». Прилипает так же, как клеймо на свиной вырезке в супермаркете — поставить легко, а стереть уже не получится. Так же и с биометрией, когда подключаешь OnePass: лицо теперь не просто «твоё» — оно маркировано системой, ты стал «учтённым элементом».
Этим летом десятков миллионов россиян (по данным ВЦИОМ, ежедневно соцсетями и мессенджерами пользуются 86% населения нашей страны) коснется довольно спорное нововведение. Самая популярная социальная сеть - «Вконтакте» (зарубежных альтернатив, фактически, не осталось) планирует закончить тестирование системы OnePass и приступить к ее публичному запуску. То есть вход в аккаунт без пароля с помощью распознавания лица или отпечатка пальца. Технология базируется на международном стандарте WebAuthn и passkeys, где данные хранятся на устройстве пользователя и, как утверждается, не покидают его. Но где-то между «FaceID» и «устройством» теряется один неудобный вопрос — а кто теперь будет владеть твоим лицом?
И главное — что именно считается владением. Хранение, доступ, обработка, передача третьим лицам? Пока нет чёткой юридической рамки, каждая новая аутентификация — это кредит доверия.
Ты — биометрия
Суть нововведения проста: «Пароли - отживший век, забудь про них, входи лицом». Но, как часто бывает, под слоем хай-тек‑обёртки прячется совсем не шоколад. Биометрия, на минуточку, не временный цифровой код (что из себя и представляет пароль), а личная и необратимая метка. А если утечка или взлом? Не сменишь, как пароль. Отечественная система обещает хранение данных на устройстве, но методология передачи между сервисами VK остаётся непрозрачной — особенно при интеграции с банковскими приложениями, госплатформами и маркетплейсами. Скептики называют это цифровым авансом на всю жизнь, без права на возврат.
В тишине, да не в обиде
Анонсируемое «Вконтакте» нововведение, несмотря на то что находится в режиме тестирования уже пару лет, не стало поводом для петиций. Да и в принципе не стала предметом обсуждения, кроме, пожалуй, нескольких заметок в российских СМИ. Biometric-as-a-Service оформился в VK как удобная функция — тихо, гладко, почти фоново. Информационная тишина здесь важнее громких анонсов: чем меньше дискуссий — тем меньше вопросов о последствиях.
А ведь это крупнейшая биометрическая платформа в стране, интегрированная в экосистему мессенджеров, платежей, госуслуг, и всего прочего, что использует VK ID. То есть подаваемый под соусом технического апгрейда OnePass для конечного пользователя оформлен, что называется, по умолчанию. Не принято у нас выносить планы в зону публичного аудита и спрашивать пользователя, ведь все что ни делается, делается для его удобства. Да и много ли рядовой пользователь понимает в технических нюансах... Отсутствие осознанного (во всех смыслах этого слова, много кто из нас читает многостраничные примечания и дополнения мелким шрифтом?) согласия превращает удобство в ловушку. Ты уже в системе — но не помнишь, когда и зачем туда пришёл, ты просто нажал галочку.
Потери и приобретения
ВМС Великобритании отказались от традиции найма граждан Китая для работы в прачечных на военных кораблях. Причиной отказа от услуг китайцев стали подозрения в шпионской деятельности.
Кажется, авторизация по лицу или пальцу по сравнению с привычной идентификацией действительно выигрывает. «Я включила, потому что было удобно. Теперь хочу выключить — а вдруг я уже не только в VK?», — говорит Марина, 32 года. «Мне нравится FaceID — но мне бы хотелось, чтобы он не стал FaceEVERYWHERE», — делится Александр, 42 года. Действительно, пользователь получает мгновенный вход и отказ от компрометирующих паролей. Людям явно интереснее быстрее и удобнее, биометрия куда безопаснее, комментировали в Mail.ru). Обратная сторона медали: необратимость биометрии — невозможно сменить лицо, отсутствие безопасного выхода (разлогина). Даже если passkey и действительно хранят локально, копии реальных меток остаются.
Для самой корпорации VK биометрия становится инструментом юзер-капитала — сильный актив для роста экосистемы и усиления идентификации пользователей. Риски в основном репутационные - в случае утечек, взломов или возможных конфликтов с регуляторами. Эксперты предупреждают, что «вся защита должна быть хэш (особый алгоритм кодирования), а не через само изображение. Токен защищает от взлома, но он не защищён от ошибок реализации»... Как все устроено на самом деле, неизвестно, но хакеры славятся умением находить слабое звено даже в самых именитых IT-компаниях.
Для госструктур различного уровня возможность подключения биометрии VK ID к федеральным системам — перспективный инструмент, но пока о широком внедрении особо не слышно. Ко всему прочему, усиливается и без того мощная централизованная система контроля, и в случае инцидентов доверие граждан к государственным университетам окажется под угрозой.
Для рынка в целом биометрия - новый стандарт доверия пользователей. Passkey уже активно внедряется Apple, Google и Microsoft. Минусы: большой риск компрометации данных, о чем прямо предупреждают эксперты: «Нельзя исключать ситуацию, при которой биометрические данные утекут к злоумышленникам даже при грамотной защите».
И что тогда? Ответа нет — потому что в отличие от пароля, лицо ты не отменишь.
Вход и выход
«Что делать в случае утечки биометрии, пока никто не знает», - разводит руками Татьяна Бауэр, советник ГКУ ЦОДД Москвы (BIS Journal). Знакомый автора зарекся иметь дело с таким способом верификации после того как установил доступ к телефону по отпечатку пальцев: очень не хотел, чтобы его жена знала, чем он занимается когда не ночует дома. Жена дождалась пока тот уснет, ну а дальше развод... Согласно опросам ВЦИОМ, 34 % россиян нейтрально относятся к биометрии, 32 % — отрицательно, лишь 27 % — положительно. Из этого напрашивается вывод, что общественное доверие к такой системе пока не сформировано, и OnePass может усилить тревожность. По прогнозам, в 2025 году аудитория «ВКонтакте» составит 94 млн пользователей в месяц, то есть почти 100 млн россиян должны будут ей сдать биометрию, если хотят пользоваться функциями этой социальной сети...
Ну и вишенка на торте. Сейчас с помощью нейросетей можно сымитировать все - от голоса до видео. Выдать чужое лицо взамен твоего для нейросети - задачка из начальных классов. OnePass обещает удобство «входа», но если потом кто-захочет «выйти», придется покопаться в оферте на 12 страниц, где мелким шрифтом прописано всё, что можно делать с твоим лицом.
Оферта, которую мало кто читал, становится социальным контрактом, который заключили все пользователи соцсетей. По‑сериальному иронично: вход — быстро, а выход — не обещали.