PROBIV.ONION PROBIV.SPACE PROBIV.ICU Наш Телеграм Светлый дизайн

Статья Passkeys: что это, как работает и почему скоро вы забудете о паролях

BOOX

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
36.633
Репутация
13.555
Реакции
67.297
USD
0
Пароли стали основой цифровой безопасности более 40 лет назад, но технология Passkeys потенциально может их заменить.

Эта инновация обещает сделать вход в онлайн-сервисы проще и безопаснее одновременно. Cyber Media разбирается, как работают ключи доступа, готовы ли они полностью заменить пароли и с какими подводными камнями столкнутся пользователи при переходе на новую технологию.

49gp76sa4x3zhub1o5gs1vi7wz637luh.jpg

Что такое Passkeys

Passkeys — это технология аутентификации, основанная на стандартах FIDO2 и WebAuthn. Вместо запоминания
Для просмотра ссылки необходимо нажать Вход или Регистрация
система создает уникальную пару криптографических ключей для каждого сервиса: публичный отправляется на сервер, а приватный остается в защищенном хранилище устройства.

Если очень просто, то для доступа к каждому сайту создается так называемая ключевая пара – открытый и закрытый ключи. Закрытый остается у вас на устройстве и используется для подписи доступа к сайту. Биометрия или пин-код на вашем телефоне только разблокируют доступ к этому ключу. Таким образом никакого пароля как такового не существует и красть, строго говоря, нечего.
Нажмите для раскрытия...

Главное преимущество технологии — невозможность фишинга. Passkeys запоминают домен регистрации, поэтому даже идеальная копия сайта не сможет получить подпись пользователя. Аутентификация просто не произойдет.

Passkeys можно разделить на два класса: программные, синхронизируемые через менеджер паролей экосистемы и аппаратные неизвлекаемые, находящиеся на отдельном физическом устройстве, например, USB/NFC‑токене. Для защиты от фишинга Passkeys «запоминают» домен, на котором вы регистрировались, поэтому даже идеальная фишинговая копия сайта не сможет получить вашу подпись.
Нажмите для раскрытия...

Как создать и использовать Passkey: пошаговая инструкция для Google, Apple и Яндекс ID

Реализация Passkeys различается между экосистемами, хотя все они основаны на одних стандартах. Google и Apple используют платформенный подход с глубокой интеграцией в операционные системы, а российские сервисы пока предлагают альтернативные решения.

Инструкция для устройств Apple

Чтобы использовать Passkey на устройствах Apple, сначала убедитесь, что «Связка ключей iCloud» включена в «Настройках» > [Ваше имя] > iCloud > «Пароли и связка ключей». Затем, на сайте или в приложении, которое поддерживает Passkey, войдите в свою учетную запись, найдите опцию создания ключа, подтвердите действие с помощью Face ID/Touch ID, и ключ будет автоматически создан и синхронизирован между вашими устройствами.

Инструкция для Chrome

Чтобы создать ключ доступа (Passkey) в аккаунте Google, перейдите в настройки аккаунта Google на
Для просмотра ссылки необходимо нажать Вход или Регистрация
, выберите раздел «Безопасность» → «Ключи доступа и электронные ключи» → «Создать ключ доступа» и следуйте инструкциям на экране для подтверждения личности и выбора устройства. Для использования войдите в аккаунт, выберите опцию «Ключ доступа» и подтвердите вход с помощью биометрии или PIN-кода вашего устройства.

Инструкция для YANDEX ID

Для использования Passkey на Яндекс ID, сначала необходимо перейти в настройки безопасности аккаунта и включить вход с помощью устройства, затем выбрать тип подтверждения, например, вход по лицу или отпечатку пальца на вашем смартфоне.

Далее, выберите устройство и подтвердите привязку с помощью биометрии или PIN-кода, после чего вы сможете использовать это устройство для быстрой авторизации, вместо ввода пароля, сканируя QR-код или используя другие методы подтверждения.

Passkeys vs. пароли: преимущества и недостатки новой технологии

Passkeys реализуют принципиально иной подход к многофакторной аутентификации. Вместо дополнительных неудобств ради безопасности они объединяют удобство и защищенность в одном решении. Технология устраняет основные уязвимости паролей: их нельзя украсть через утечки баз данных, подобрать методом перебора или выманить через фишинг.

Основные преимущества Passkeys

  • Защита от фишинга — ключи привязаны к конкретному домену и не работают на поддельных сайтах
  • Отсутствие утечек паролей — приватные ключи никогда не покидают устройство пользователя
  • Удобство использования — не нужно запоминать сложные пароли или вводить SMS-коды
  • Быстрая аутентификация — вход происходит за секунды через биометрию
  • Многофакторность по умолчанию — автоматически объединяет владение устройством и биометрию
  • Кроссплатформенность — один ключ работает в браузерах и мобильных приложениях

Ключевые недостатки и риски

  • Привязка к экосистемам — сложности с переносом ключей между Apple, Google и другими платформами
  • Зависимость от устройства — потеря смартфона может означать потерю всех аккаунтов
  • Проблемы делегирования — нельзя передать доступ коллеге, как SMS-код
  • Ограниченная поддержка — не все сервисы и старые браузеры поддерживают технологию
  • Новые векторы атак — компрометация облачного аккаунта провайдера становится критичной
Кроме этого имеют место успешные сессионные атаки, позволяющие откатиться к менее безопасным способам аутентификации вроде смс или пароля. Главной угрозой я вижу привязку к провайдеру и, как следствие, зависимость от устройств и провайдеров.
Нажмите для раскрытия...

Однако даже при всех ограничениях эксперты отмечают проблему пользовательского восприятия новой технологии.

Простые люди не понимают ни преимуществ, ни ограничений новой технологии, поэтому просто используют ее как попало. Избежать подобных проблем в корпоративной среде можно через установку жестких корпоративных политик аутентификации. Стоит ограничивать использование экосистемных Passkeys лишь некритичными сервисами.
Нажмите для раскрытия...

В каких отраслях применяются Passkeys: лидеры и отстающие

Внедрение технологии Passkeys происходит неравномерно по отраслям. Лидируют сферы, где критически важны скорость входа и высокий уровень безопасности, а отстают консервативные индустрии с устаревшими IT-системами.

Лидеры внедрения:
  • Финансовые технологии и банкинг первыми оценили преимущества технологии для защиты от фишинга и упрощения процедур входа. Крупные международные банки и платежные системы активно тестируют и внедряют Passkeys для критически важных операций.
  • E-commerce и маркетплейсы используют технологию для снижения количества брошенных корзин из-за сложностей с аутентификацией. Быстрый и безопасный вход напрямую влияет на конверсию продаж.
  • Технологические гиганты — Google, Apple, Microsoft — естественным образом стали первопроходцами, интегрируя поддержку в свои экосистемы и демонстрируя возможности технологии.
Отстающие секторы:
  • Государственные структуры и медицина внедряют Passkeys медленно из-за строгих требований соответствия и длительных циклов согласования изменений в ИТ-системах.
  • Малый и средний бизнес часто ограничен бюджетами на модернизацию IT-инфраструктуры и зависит от готовых решений поставщиков программного обеспечения.
  • Legacy B2B-платформы требуют значительных инвестиций для интеграции современных методов аутентификации в устаревшие системы.
В России поддержка passkeys — пока редкость. Большинство сервисов предпочитают проприетарные методы входа, такие как QR‑коды, пуши, SMS, собственные приложения. Связано это с регуляторикой, импортозамещением и отсутствием поддержки в экосистемах.
Нажмите для раскрытия...

Массовое распространение Passkeys кардинально изменит ландшафт киберугроз. Фишинг, утечки паролей и их подбор станут неэффективными, но и злоумышленники адаптируются к новым реалиям.

Что в итоге

Passkeys представляют собой эволюционный скачок в области аутентификации, решая фундаментальные проблемы парольной безопасности. Технология устраняет риски фишинга, утечек паролей и их подбора, одновременно упрощая процесс входа в онлайн-сервисы. Однако это не универсальное решение — оно создает новые вызовы и зависимости.

Основными ограничениями остаются привязка к экосистемам, сложности с переносимостью ключей между платформами и зависимость от устройств. Потеря смартфона может означать потерю доступа ко всем аккаунтам, а восстановление возможно только через процедуры поставщика услуг.

Переход на Passkeys — это глобальный тренд, который изменит цифровую экосистему в ближайшие годы. Технология заставляет пересмотреть подходы к кибербезопасности, смещая акцент с защиты серверов на обеспечение безопасности конечных устройств. При правильном внедрении и понимании ограничений Passkeys станут важным шагом к созданию более безопасного цифрового мира.


Для просмотра ссылки необходимо нажать Вход или Регистрация
 
Заявка в гарант Авто гарант в телеграмм Проекты в телеграмм Harper в телеграмм
Войдите или зарегистрируйтесь для ответа.

Похожие темы

BOOX
Рasskeys-2025: советы продвинутым пользователям
Ответы
0
Просмотры
673
BOOX
BOOX
Собака
Биометрия вместо паролей: готов ли ваш бизнес к переходу на Passkeys?
Ответы
0
Просмотры
860
Собака
Собака
MISTER X
Новости Gmail под атакой: Google призывает обновить пароли и включить passkeys
Ответы
0
Просмотры
203
MISTER X
MISTER X
BOOX
Новости Microsoft хочет полностью избавиться от паролей — и у неё есть план
Ответы
0
Просмотры
626
BOOX
BOOX
BOOX
Статья Passkeys для аккаунта Google: что, где, как и зачем
Ответы
0
Просмотры
2K
BOOX
BOOX
  • Теги
    passkeys пароль фишинг
    • Назад
    Сверху Снизу