Comments 3
Фактор "знания" пытаются отправить на помойку как не выдержавший столкновения с психологией и привычками среднего обывателя... а жаль. Связка "владение" + "биометрия", которую предлагают на замену, в целом ряде сценариев гораздо менее надёжна.
Ну, при использовании любого менеджера паролей теряется фактор знания, не важно обычный это пароль или passkey. Я свои 40-символьные пароли не запоминаю.
Но авторизация в менеджере паролей никуда не девается, так что в этом случае фактор "знания" просто переместился немного в другое место, т.е. нужно знать пароль к менеджеру, а не сайту. И в случае passkey кажется будет только безопаснее, потому что ему утечь сложнее, чем паролю, который мог засветиться в явном виде где либо (буфер обмена, http, камеры которые смотрели в экран когда ты смотрел свои пароли и т.д.)
Менеджеры паролей тоже авторизоваться по Passkey умеют. В Bitwarden, скажем, хранение Passkey ещё не подвезли, а вход по нему уже есть (естественно, этот Passkey где-то в другом месте хранится) Так что рискуем без паролей остаться совсем, если этот способ снискает популярность.
Но я даже про другое, независимо от наличия менеджеров паролей. Когда у нас в принципе есть пароль - у нас есть и защита от слабостей биометрии. Неправильно отсканировали отпечаток пальца N раз - будьте добры введите пароль. Перезагрузили устройство - первый раз введите пароль. Залочить самостоятельно можно в сомнительных ситуациях, и т.п. Опять же, заставить сказать пароль и принудительно приложить к датчику палец - это разные уровни необходимого насилия, а в некоторых юрисдикциях - ещё и разные права отказаться это делать. Если у нас везде одни passkey и никаких паролей - как эти ситуации обходить?
1Password с 6 июня запустит систему управления паролями Passkey