Все мы бывали в подобной ситуации. Вы пытаетесь войти в свой банковский аккаунт, используя имя пользователя и пароль, но в ответ получаете стандартную ошибку «неверный пароль». Вы перепроверяете свой менеджер паролей, пробуете несколько вариантов, но после слишком большого количества неудачных попыток система блокирует вас. Теперь вы попадаете в утомительный процесс повторной аутентификации, включающий вопросы безопасности, которые вы едва помните, и форму сброса пароля, которая самодовольно сообщает вам: «Новый пароль не может быть таким же, как старый».
Что такое Passkeys?
Passkey — это безопасная и удобная альтернатива паролю. Вместо запоминания сложных комбинаций вы используете встроенные средства защиты устройства: Face ID, отпечаток пальца или PIN-код. Ничего вводить не нужно.
Passkey хранится в защищённом элементе вашего телефона или компьютера, а значит, сайтам и сервисам не нужно хранить пароли на своих серверах. Это снижает риск утечки данных.
В качестве дополнительного и рекомендуемого шага вы можете хранить свои ключи в безопасном менеджере паролей, таком как Proton Pass, 1Password, Dashlane или Bitwarden. Это позволит вам синхронизировать пароли и получать доступ к ним на разных устройствах.
Создание ключа
Создать Passkey очень просто, и этот процесс одинаков для большинства платформ. Для примера вот как мы создали ключ для Amazon.com и использовали менеджер паролей для его хранения…
Сначала Вы входите в свою учетную запись Amazon и переходите в раздел «Вход и безопасность», чтобы получить доступ к опции passskey.
Далее нажимаете кнопку «Add Passkey», которая создает ключ специально для Amazon. Как показано на скриншоте, ранее уже был создал ключ, который хранится в связке ключей iCloud. Вы можете создать несколько ключей для одного и того же сайта и хранить их в разных местах.
Поскольку для примера мы используем Proton Pass и нас установлено расширение для браузера, добавление ключа автоматически открывает Proton Pass для его генерации и хранения. Если бы не было установлено расширение Proton Pass, веб-браузер (Chrome, Firefox и т. д.) сохранил бы ключ вместо этого.
Теперь Proton Pass будет сохранять этот специальный ключ для Amazon, синхронизированный с именем пользователя. Поскольку этот ключ предназначен для Amazon, он также работает для учетных записей Amazon Web Services (AWS).
Зачем нужны Passkeys?
Согласно исследованиям NordPass, самым популярным паролем по состоянию на 2023 и 2024 годы остается «123456». Второй по популярности? «123456789.» Другие распространенные пароли — это, как правило, последовательные числа или вариации на тему «qwerty». По прошествии шести лет после проведения аналогичного исследования NordPass пришла к выводу, что привычки большинства людей в выборе паролей не слишком изменились.
Passkeys более безопасны, поскольку исключают уязвимости, связанные с паролями, заменяя их криптографическими ключами, которые защищают пользователей от фишинговых атак, кражи учетных данных и утечки информации. Passkeys защищены одним биометрическим фактором, например отпечатком пальца или Face ID, и никакие пароли не передаются через Интернет и не хранятся на внешних серверах.
Где можно использовать Passkeys?
Хотя не все сервисы поддерживают аутентификацию с помощью Passkeys, большинство популярных сайтов это сделали. Среди них Amazon, Google, Apple, Github, Adobe, Uber, Microsoft, Nintendo, PlayStation Network, eBay и Dropbox, а также многие социальные сети.
Финансовые организации (банки) отстают от крупных технологических гигантов в принятии ключей доступа, однако такие компании, как PayPal, Revolut и Robinhood, уже поддерживают их. Dashlane предлагает полезный, созданный сообществом каталог сайтов, на которых реализована функция входа с помощью Passkeys.
Вы уже можете создавать ключи с помощью учетных записей Google, Microsoft или устройств Apple. Многие менеджеры паролей, такие как Proton Pass, Dashlane, 1Password, Bitwarden и LastPass, также поддерживают создание ключей. Как уже говорилось, использование менеджера паролей позволяет синхронизировать ключи на разных устройствах.
Также важно помнить, что пароли уникальны для каждого сайта. Ключ, который вы используете для входа в свой аккаунт Google, не похож на тот, что используется для Amazon. В связи с этим полезный совет: создайте ключ для своего аккаунта Google, а затем используйте аутентификацию Google для входа в другие сервисы (если такая возможность существует). Таким образом, вы сможете использовать только один ключ Google и при этом иметь доступ к нескольким сайтам.
Как работают Passkeys Work(техническое объяснение)
Passkeys (технически известные как Web Authentication или WebAuthn) — это технология, которая позволяет аутентифицировать учетные данные без их хранения на серверах. Они являются частью проекта FIDO2, цель которого — окончательно заменить пароли в качестве метода аутентификации.
В основе концепции лежит инфраструктура открытых ключей (PKI). Вместо того чтобы хранить имя пользователя и пароль, пропуски генерируются на аутентификаторе, контролируемом пользователем.
Таким аутентификатором может быть смартфон (Face ID, отпечаток пальца), операционная система (например, Windows Hello), браузер или физический ключ безопасности, например YubiKey или Titan Key от Google.
Создание Passkey состоит из трех этапов:
Клиент отправляет на сервер открытый ключ, идентификатор учетной записи и подписанный challenge, используя закрытый ключ.
При последующих входах в систему пользователь аутентифицируется с помощью своего устройства, которое подписывает новый challenge и отправляет его на сервер.
Сервер сверяет подпись, сопоставляя её с открытым ключом и идентификатором учетной записи. Если всё совпадает — пользователь успешно входит в систему.
Что же произойдет, если я Вы потеряете свое устройство?
Если вы потеряете устройство, ваши пропуски не пропадут — они будут надежно сохранены в облаке с помощью таких сервисов, как Apple iCloud или Google Password Manager (или выбранного вами менеджера паролей). Эти резервные копии шифруются end-to-end — это значит, что доступ к ним есть только у вас. Они автоматически синхронизируются между вашими устройствами для удобного восстановления.
При настройке нового устройства вы можете восстановить ключи доступа, просто войдя в свою облачную учетную запись. Если у вас нет другого устройства, восстановить доступ помогут такие варианты восстановления, как ключ восстановления или многофакторная аутентификация.
Для использования ключей доступа также требуется биометрическая аутентификация (например, Face ID или отпечаток пальца). Даже если кто-то украдет ваш телефон, он не сможет получить доступ к ключам доступа без ваших биометрических данных.
А что если просто использовать менеджер паролей?
Менеджеры паролей — хороший шаг вперед по сравнению с запоминанием паролей, но они все равно зависят от хранения учетных данных на сервере. Даже такие варианты с открытым исходным кодом, как KeePass, требуют наличия базы данных паролей. Даже такие инструменты с открытым исходным кодом, как KeePass, требуют ведения базы данных паролей.
Passkeys предлагает более безопасный и рациональный подход, избавляя вас от необходимости управлять отдельными логинами. Мы рекомендуем использовать менеджеры паролей вместе с ключами, чтобы обеспечить синхронизацию, резервное копирование и безопасность ваших учетных данных.
Могут ли passkeys защитить от попыток фишинга?
Безусловно. Фишинг обычно направлен на кражу имен пользователей, паролей или конфиденциальных данных. Passkeys не передают учетные данные, что делает их бесполезными для злоумышленника даже в случае перехвата.
Что, если кто-то взломает сервер или базу данных?
В крайнем случае злоумышленник может получить доступ к открытым ключам, хранящимся в базе данных. Поскольку они не могут быть использованы для обратного подбора вашего закрытого ключа, ваша учетная запись остается в безопасности. При необходимости вы можете просто отозвать старый ключ и сгенерировать новый.
Можно ли поделиться ключом с кем-то еще?
Ключи доступа предназначены для обеспечения персональной аутентификации с привязкой к личности, а не для обмена учетными данными. Но технически, да, есть способы поделиться ключами.
Например, Apple позволяет передавать ключи через AirDrop при определенных условиях. Вы также можете поделиться ключами, войдя в один и тот же менеджер паролей.
Существуют ли сценарии, в которых ключи не нужны?
Да. Хотя Passkey являются более безопасной и удобной альтернативой традиционным паролям, они не являются необходимыми или даже идеальными в каждом конкретном случае. Вот несколько примеров:
Учетные записи с низкой степенью защиты
Если в учетной записи не хранится важная информация (например, учетная запись на обычном форуме или местном новостном сайте), надежного пароля может быть «достаточно».
Общие учетные записи
Passkeys привязаны к вам и вашему устройству. Поэтому для учетных записей, общих для нескольких человек (например, общая учетная запись Netflix или вход в бизнес), традиционные пароли все еще работают более гибко — пока что.
Корпоративные или устаревшие системы
Старые корпоративные системы, VPN или внутренние инструменты могут вообще не поддерживать пропуски — некоторые отрасли медленно переходят на новые технологии аутентификации.
Субъекты, не являющиеся физическими лицами (NPE)
Разработчикам, использующим автоматизированные системы или скрипты, может потребоваться аутентификация на сервере для выполнения таких задач, как сканирование или обработка данных. В таких случаях Passkeys нецелесообразны. Это также может распространяться на программное обеспечение, которому требуется аутентификация для безопасных вызовов API.
Кроме того, есть среды, в которых использование Passkey пока просто не уместно. Если вы работаете на устройстве, где нет облачного резервного копирования или синхронизации ключей, например, на старом смартфоне или общественном компьютере, эффективное использование ключей может быть затруднено или вовсе невозможно.
Поэтому, несмотря на то, что за Passkeys будущее аутентификации, в определенных ситуациях все еще есть веские причины использовать пароли.
Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас, оформив заказ или порекомендовав знакомым, облачные VPS для разработчиков от $4.99, уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2697 v3 (6 Cores) 10GB DDR4 480GB SSD 1Gbps от $19 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).
Dell R730xd в 2 раза дешевле в дата-центре Maincubes Tier IV в Амстердаме? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?
Что такое Passkeys?
Passkey — это безопасная и удобная альтернатива паролю. Вместо запоминания сложных комбинаций вы используете встроенные средства защиты устройства: Face ID, отпечаток пальца или PIN-код. Ничего вводить не нужно.
Passkey хранится в защищённом элементе вашего телефона или компьютера, а значит, сайтам и сервисам не нужно хранить пароли на своих серверах. Это снижает риск утечки данных.
В качестве дополнительного и рекомендуемого шага вы можете хранить свои ключи в безопасном менеджере паролей, таком как Proton Pass, 1Password, Dashlane или Bitwarden. Это позволит вам синхронизировать пароли и получать доступ к ним на разных устройствах.
Создание ключа
Создать Passkey очень просто, и этот процесс одинаков для большинства платформ. Для примера вот как мы создали ключ для Amazon.com и использовали менеджер паролей для его хранения…
Сначала Вы входите в свою учетную запись Amazon и переходите в раздел «Вход и безопасность», чтобы получить доступ к опции passskey.
Далее нажимаете кнопку «Add Passkey», которая создает ключ специально для Amazon. Как показано на скриншоте, ранее уже был создал ключ, который хранится в связке ключей iCloud. Вы можете создать несколько ключей для одного и того же сайта и хранить их в разных местах.
Поскольку для примера мы используем Proton Pass и нас установлено расширение для браузера, добавление ключа автоматически открывает Proton Pass для его генерации и хранения. Если бы не было установлено расширение Proton Pass, веб-браузер (Chrome, Firefox и т. д.) сохранил бы ключ вместо этого.
Теперь Proton Pass будет сохранять этот специальный ключ для Amazon, синхронизированный с именем пользователя. Поскольку этот ключ предназначен для Amazon, он также работает для учетных записей Amazon Web Services (AWS).
Зачем нужны Passkeys?
Согласно исследованиям NordPass, самым популярным паролем по состоянию на 2023 и 2024 годы остается «123456». Второй по популярности? «123456789.» Другие распространенные пароли — это, как правило, последовательные числа или вариации на тему «qwerty». По прошествии шести лет после проведения аналогичного исследования NordPass пришла к выводу, что привычки большинства людей в выборе паролей не слишком изменились.
Passkeys более безопасны, поскольку исключают уязвимости, связанные с паролями, заменяя их криптографическими ключами, которые защищают пользователей от фишинговых атак, кражи учетных данных и утечки информации. Passkeys защищены одним биометрическим фактором, например отпечатком пальца или Face ID, и никакие пароли не передаются через Интернет и не хранятся на внешних серверах.
Где можно использовать Passkeys?
Хотя не все сервисы поддерживают аутентификацию с помощью Passkeys, большинство популярных сайтов это сделали. Среди них Amazon, Google, Apple, Github, Adobe, Uber, Microsoft, Nintendo, PlayStation Network, eBay и Dropbox, а также многие социальные сети.
Финансовые организации (банки) отстают от крупных технологических гигантов в принятии ключей доступа, однако такие компании, как PayPal, Revolut и Robinhood, уже поддерживают их. Dashlane предлагает полезный, созданный сообществом каталог сайтов, на которых реализована функция входа с помощью Passkeys.
Вы уже можете создавать ключи с помощью учетных записей Google, Microsoft или устройств Apple. Многие менеджеры паролей, такие как Proton Pass, Dashlane, 1Password, Bitwarden и LastPass, также поддерживают создание ключей. Как уже говорилось, использование менеджера паролей позволяет синхронизировать ключи на разных устройствах.
Также важно помнить, что пароли уникальны для каждого сайта. Ключ, который вы используете для входа в свой аккаунт Google, не похож на тот, что используется для Amazon. В связи с этим полезный совет: создайте ключ для своего аккаунта Google, а затем используйте аутентификацию Google для входа в другие сервисы (если такая возможность существует). Таким образом, вы сможете использовать только один ключ Google и при этом иметь доступ к нескольким сайтам.
Как работают Passkeys Work(техническое объяснение)
Passkeys (технически известные как Web Authentication или WebAuthn) — это технология, которая позволяет аутентифицировать учетные данные без их хранения на серверах. Они являются частью проекта FIDO2, цель которого — окончательно заменить пароли в качестве метода аутентификации.
В основе концепции лежит инфраструктура открытых ключей (PKI). Вместо того чтобы хранить имя пользователя и пароль, пропуски генерируются на аутентификаторе, контролируемом пользователем.
Таким аутентификатором может быть смартфон (Face ID, отпечаток пальца), операционная система (например, Windows Hello), браузер или физический ключ безопасности, например YubiKey или Titan Key от Google.
Создание Passkey состоит из трех этапов:
- Пользователь нажимает кнопку (например, «Создать ключ» или «Зарегистрироваться с Passkey») в приложении или на веб-сайте.
Клиентское устройство (например, смартфон с Android/iOS или компьютер) отправляет запрос на сервер аутентификации.
- Клиентское устройство (например, смартфон на Android/iOS или компьютер) отправляет запрос на сервер аутентификации. На этом этапе клиент инициирует вызов к API WebAuthn и к серверу, чтобы сгенерировать пару ключей — открытый и закрытый. Эта пара создаётся и безопасно сохраняется на устройстве, например в чипе Trusted Platform Module (TPM) или в связке ключей iCloud от Apple.В зависимости от типа устройства и приложения, пользователю предлагается ввести PIN-код или пройти биометрическую аутентификацию (например, Face ID, Windows Hello или отпечаток пальца).
Клиент отправляет на сервер открытый ключ, идентификатор учетной записи и подписанный challenge, используя закрытый ключ.
При последующих входах в систему пользователь аутентифицируется с помощью своего устройства, которое подписывает новый challenge и отправляет его на сервер.
Сервер сверяет подпись, сопоставляя её с открытым ключом и идентификатором учетной записи. Если всё совпадает — пользователь успешно входит в систему.
Что же произойдет, если я Вы потеряете свое устройство?
Если вы потеряете устройство, ваши пропуски не пропадут — они будут надежно сохранены в облаке с помощью таких сервисов, как Apple iCloud или Google Password Manager (или выбранного вами менеджера паролей). Эти резервные копии шифруются end-to-end — это значит, что доступ к ним есть только у вас. Они автоматически синхронизируются между вашими устройствами для удобного восстановления.
При настройке нового устройства вы можете восстановить ключи доступа, просто войдя в свою облачную учетную запись. Если у вас нет другого устройства, восстановить доступ помогут такие варианты восстановления, как ключ восстановления или многофакторная аутентификация.
Для использования ключей доступа также требуется биометрическая аутентификация (например, Face ID или отпечаток пальца). Даже если кто-то украдет ваш телефон, он не сможет получить доступ к ключам доступа без ваших биометрических данных.
А что если просто использовать менеджер паролей?
Менеджеры паролей — хороший шаг вперед по сравнению с запоминанием паролей, но они все равно зависят от хранения учетных данных на сервере. Даже такие варианты с открытым исходным кодом, как KeePass, требуют наличия базы данных паролей. Даже такие инструменты с открытым исходным кодом, как KeePass, требуют ведения базы данных паролей.
Passkeys предлагает более безопасный и рациональный подход, избавляя вас от необходимости управлять отдельными логинами. Мы рекомендуем использовать менеджеры паролей вместе с ключами, чтобы обеспечить синхронизацию, резервное копирование и безопасность ваших учетных данных.
Могут ли passkeys защитить от попыток фишинга?
Безусловно. Фишинг обычно направлен на кражу имен пользователей, паролей или конфиденциальных данных. Passkeys не передают учетные данные, что делает их бесполезными для злоумышленника даже в случае перехвата.
Что, если кто-то взломает сервер или базу данных?
В крайнем случае злоумышленник может получить доступ к открытым ключам, хранящимся в базе данных. Поскольку они не могут быть использованы для обратного подбора вашего закрытого ключа, ваша учетная запись остается в безопасности. При необходимости вы можете просто отозвать старый ключ и сгенерировать новый.
Можно ли поделиться ключом с кем-то еще?
Ключи доступа предназначены для обеспечения персональной аутентификации с привязкой к личности, а не для обмена учетными данными. Но технически, да, есть способы поделиться ключами.
Например, Apple позволяет передавать ключи через AirDrop при определенных условиях. Вы также можете поделиться ключами, войдя в один и тот же менеджер паролей.
Существуют ли сценарии, в которых ключи не нужны?
Да. Хотя Passkey являются более безопасной и удобной альтернативой традиционным паролям, они не являются необходимыми или даже идеальными в каждом конкретном случае. Вот несколько примеров:
Учетные записи с низкой степенью защиты
Если в учетной записи не хранится важная информация (например, учетная запись на обычном форуме или местном новостном сайте), надежного пароля может быть «достаточно».
Общие учетные записи
Passkeys привязаны к вам и вашему устройству. Поэтому для учетных записей, общих для нескольких человек (например, общая учетная запись Netflix или вход в бизнес), традиционные пароли все еще работают более гибко — пока что.
Корпоративные или устаревшие системы
Старые корпоративные системы, VPN или внутренние инструменты могут вообще не поддерживать пропуски — некоторые отрасли медленно переходят на новые технологии аутентификации.
Субъекты, не являющиеся физическими лицами (NPE)
Разработчикам, использующим автоматизированные системы или скрипты, может потребоваться аутентификация на сервере для выполнения таких задач, как сканирование или обработка данных. В таких случаях Passkeys нецелесообразны. Это также может распространяться на программное обеспечение, которому требуется аутентификация для безопасных вызовов API.
Кроме того, есть среды, в которых использование Passkey пока просто не уместно. Если вы работаете на устройстве, где нет облачного резервного копирования или синхронизации ключей, например, на старом смартфоне или общественном компьютере, эффективное использование ключей может быть затруднено или вовсе невозможно.
Поэтому, несмотря на то, что за Passkeys будущее аутентификации, в определенных ситуациях все еще есть веские причины использовать пароли.
Немного рекламы
Спасибо, что остаётесь с нами. Вам нравятся наши статьи? Хотите видеть больше интересных материалов? Поддержите нас, оформив заказ или порекомендовав знакомым, облачные VPS для разработчиков от $4.99, уникальный аналог entry-level серверов, который был придуман нами для Вас: Вся правда о VPS (KVM) E5-2697 v3 (6 Cores) 10GB DDR4 480GB SSD 1Gbps от $19 или как правильно делить сервер? (доступны варианты с RAID1 и RAID10, до 24 ядер и до 40GB DDR4).
Dell R730xd в 2 раза дешевле в дата-центре Maincubes Tier IV в Амстердаме? Только у нас 2 х Intel TetraDeca-Core Xeon 2x E5-2697v3 2.6GHz 14C 64GB DDR4 4x960GB SSD 1Gbps 100 ТВ от $199 в Нидерландах! Dell R420 — 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB — от $99! Читайте о том Как построить инфраструктуру корп. класса c применением серверов Dell R730xd Е5-2650 v4 стоимостью 9000 евро за копейки?
