Хватит использовать пароли: почему ключи доступа являются лучшей альтернативой

Ключи доступа вместо паролей – как работает новый способ входа

Почему обычные пароли больше не защищают ваши аккаунты / Коллаж 24 Канала/Freepik

Комбинации из букв и цифр больше не гарантируют защиты. Взломы баз данных, фишинг и похищение сессий стали обыденностью. На смену традиционным паролям приходит другой механизм авторизации, который обещает более высокую безопасность и меньше хлопот для пользователей.

Как работают ключи доступа и действительно ли они безопаснее?

Технологию passkeys продвигает альянс FIDO Alliance. Ее уже внедряют крупные компании – в частности Microsoft, Amazon, Apple и Google. В своей сути это пара криптографических ключей, один из которых публичный и хранится на сервере сервиса, а другой – частный и находится только на вашем устройстве или в менеджере паролей, пишет 24 Канал.

При входе система объединяет эти два ключа после подтверждения личности через Face ID, отпечаток пальца или PIN-код. Сам приватный ключ никогда не передается на сервер, поэтому его невозможно похитить через взлом базы данных или перехватить.

В случае экосистемы Apple ключи синхронизируются через iCloud Keychain, а в Android – через Google Password Manager. Многие сторонние менеджеры, например NordPass или Proton Pass, также поддерживают создание и хранение ключей доступа.

Почему они более устойчивы к атакам?

Ключи доступа имеют несколько ключевых преимуществ:

Их невозможно угадать или подобрать перебором;
Они не работают на фальшивых сайтах – каждый ключ привязан к конкретному домену;
При утечке данных на стороне компании злоумышленник не получает ничего полезного.

Впрочем, полной защиты не существует. Эксперты по кибербезопасности предупреждают, что злоумышленники могут похищать так называемые сессионные cookie через вредоносное ПО. Если cookie уже подтвержден сервером, сайт считает пользователя авторизованным – независимо от того, использовался ли пароль или ключ доступа.

Уменьшить риск можно, устанавливая короткий срок действия сессии в настройках cookie и не оставляя открытые сессии на публичных устройствах.

Распространенные проблемы и ограничения

Несмотря на очевидные преимущества, технология еще не идеальна:

Путаница с терминами. Ключи доступа часто путают с двухфакторной аутентификацией или аппаратными ключами безопасности. На самом деле passkey уже сочетает многофакторную проверку.

Зависимость от устройства. При потере телефона или доступа к менеджеру паролей, восстановление аккаунта может быть сложным, а в некоторых случаях, вероятно, невозможным.
Ограниченная поддержка. Хотя крупные платформы уже добавили новый способ входа, часть сайтов все еще требует классическую пару "логин – пароль".

Как перейти на ключи доступа?

На iPhone необходимо активировать синхронизацию ключей в iCloud и разрешить автозаполнение через приложение Apple Passwords. После этого при создании нового аккаунта или в настройках безопасности существующего профиля появится возможность создать ключ.

На Android достаточно включить Google Password Manager. В браузерах Chrome и Edge поддержка уже интегрирована.

Многие сервисы сначала требуют создать пароль, а затем предлагают перейти на ключи. Однако новые аккаунты в некоторых экосистемах могут быть полностью "беспарольными".

Исчезнут ли пароли полностью?

Полный отказ от паролей – вопрос времени. Крупные компании активно двигаются в этом направлении. Новые аккаунты Microsoft уже создаются без классического пароля по умолчанию.

Однако на переходный период пароли и ключи доступа будут сосуществовать. Для пользователей оптимальная стратегия – использовать ключи там, где это доступно, а для других сервисов применять уникальные сложные пароли и менеджер паролей.