1. Главная
  2. Статьи
  3. Passkeys: что это, как работает и почему скоро вы забудете о паролях

Passkeys: что это, как работает и почему скоро вы забудете о паролях

Passkeys: что это, как работает и почему скоро вы забудете о паролях

Пароли стали основой цифровой безопасности более 40 лет назад, но технология Passkeys потенциально может их заменить. Эта инновация обещает сделать вход в онлайн-сервисы проще и безопаснее одновременно. Cyber Media разбирается, как работают ключи доступа, готовы ли они полностью заменить пароли и с какими подводными камнями столкнутся пользователи при переходе на новую технологию.

Содержание:

  1. Что такое Passkeys
  2. Как создать и использовать Passkey: пошаговая инструкция для Google, Apple и Яндекс ID
  3. Passkeys vs. пароли: преимущества и недостатки новой технологии
  4. В каких отраслях применяются Passkeys: лидеры и отстающие
  5. Что в итоге

Что такое Passkeys

Passkeys — это технология аутентификации, основанная на стандартах FIDO2 и WebAuthn. Вместо запоминания паролей система создает уникальную пару криптографических ключей для каждого сервиса: публичный отправляется на сервер, а приватный остается в защищенном хранилище устройства.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

Если очень просто, то для доступа к каждому сайту создается так называемая ключевая пара – открытый и закрытый ключи. Закрытый остается у вас на устройстве и используется для подписи доступа к сайту. Биометрия или пин-код на вашем телефоне только разблокируют доступ к этому ключу. Таким образом никакого пароля как такового не существует и красть, строго говоря, нечего.

Главное преимущество технологии — невозможность фишинга. Passkeys запоминают домен регистрации, поэтому даже идеальная копия сайта не сможет получить подпись пользователя. Аутентификация просто не произойдет.

Кирилл Мещеряков

Эксперт по аутентификации и электронной подписи, компания «Актив»

Passkeys можно разделить на два класса: программные, синхронизируемые через менеджер паролей экосистемы и аппаратные неизвлекаемые, находящиеся на отдельном физическом устройстве, например, USB/NFC‑токене. Для защиты от фишинга Passkeys «запоминают» домен, на котором вы регистрировались, поэтому даже идеальная фишинговая копия сайта не сможет получить вашу подпись.

Как создать и использовать Passkey: пошаговая инструкция для Google, Apple и Яндекс ID

Реализация Passkeys различается между экосистемами, хотя все они основаны на одних стандартах. Google и Apple используют платформенный подход с глубокой интеграцией в операционные системы, а российские сервисы пока предлагают альтернативные решения.

Инструкция для устройств Apple

Чтобы использовать Passkey на устройствах Apple, сначала убедитесь, что «Связка ключей iCloud» включена в «Настройках» > [Ваше имя] > iCloud > «Пароли и связка ключей». Затем, на сайте или в приложении, которое поддерживает Passkey, войдите в свою учетную запись, найдите опцию создания ключа, подтвердите действие с помощью Face ID/Touch ID, и ключ будет автоматически создан и синхронизирован между вашими устройствами.

Инструкция для Chrome

Чтобы создать ключ доступа (Passkey) в аккаунте Google, перейдите в настройки аккаунта Google на myaccount.google.com/security, выберите раздел «Безопасность» → «Ключи доступа и электронные ключи» → «Создать ключ доступа» и следуйте инструкциям на экране для подтверждения личности и выбора устройства. Для использования войдите в аккаунт, выберите опцию «Ключ доступа» и подтвердите вход с помощью биометрии или PIN-кода вашего устройства.

Инструкция для YANDEX ID

Для использования Passkey на Яндекс ID, сначала необходимо перейти в настройки безопасности аккаунта и включить вход с помощью устройства, затем выбрать тип подтверждения, например, вход по лицу или отпечатку пальца на вашем смартфоне. Далее, выберите устройство и подтвердите привязку с помощью биометрии или PIN-кода, после чего вы сможете использовать это устройство для быстрой авторизации, вместо ввода пароля, сканируя QR-код или используя другие методы подтверждения.

Passkeys vs. пароли: преимущества и недостатки новой технологии

Passkeys реализуют принципиально иной подход к многофакторной аутентификации. Вместо дополнительных неудобств ради безопасности они объединяют удобство и защищенность в одном решении. Технология устраняет основные уязвимости паролей: их нельзя украсть через утечки баз данных, подобрать методом перебора или выманить через фишинг.

Основные преимущества Passkeys

  • Защита от фишинга — ключи привязаны к конкретному домену и не работают на поддельных сайтах
  • Отсутствие утечек паролей — приватные ключи никогда не покидают устройство пользователя
  • Удобство использования — не нужно запоминать сложные пароли или вводить SMS-коды
  • Быстрая аутентификация — вход происходит за секунды через биометрию
  • Многофакторность по умолчанию — автоматически объединяет владение устройством и биометрию
  • Кроссплатформенность — один ключ работает в браузерах и мобильных приложениях

Ключевые недостатки и риски

  • Привязка к экосистемам — сложности с переносом ключей между Apple, Google и другими платформами
  • Зависимость от устройства — потеря смартфона может означать потерю всех аккаунтов
  • Проблемы делегирования — нельзя передать доступ коллеге, как SMS-код
  • Ограниченная поддержка — не все сервисы и старые браузеры поддерживают технологию
  • Новые векторы атак — компрометация облачного аккаунта провайдера становится критичной

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

Кроме этого имеют место успешные сессионные атаки, позволяющие откатиться к менее безопасным способам аутентификации вроде смс или пароля. Главной угрозой я вижу привязку к провайдеру и, как следствие, зависимость от устройств и провайдеров. 

Однако даже при всех ограничениях эксперты отмечают проблему пользовательского восприятия новой технологии.

Кирилл Мещеряков

Эксперт по аутентификации и электронной подписи, компания «Актив»

Простые люди не понимают ни преимуществ, ни ограничений новой технологии, поэтому просто используют ее как попало. Избежать подобных проблем в корпоративной среде можно через установку жестких корпоративных политик аутентификации. Стоит ограничивать использование экосистемных Passkeys лишь некритичными сервисами.

В каких отраслях применяются Passkeys: лидеры и отстающие

Внедрение технологии Passkeys происходит неравномерно по отраслям. Лидируют сферы, где критически важны скорость входа и высокий уровень безопасности, а отстают консервативные индустрии с устаревшими IT-системами.

Лидеры внедрения:

  • Финансовые технологии и банкинг первыми оценили преимущества технологии для защиты от фишинга и упрощения процедур входа. Крупные международные банки и платежные системы активно тестируют и внедряют Passkeys для критически важных операций.
  • E-commerce и маркетплейсы используют технологию для снижения количества брошенных корзин из-за сложностей с аутентификацией. Быстрый и безопасный вход напрямую влияет на конверсию продаж.
  • Технологические гиганты — Google, Apple, Microsoft — естественным образом стали первопроходцами, интегрируя поддержку в свои экосистемы и демонстрируя возможности технологии.

Отстающие секторы:

  • Государственные структуры и медицина внедряют Passkeys медленно из-за строгих требований соответствия и длительных циклов согласования изменений в ИТ-системах.
  • Малый и средний бизнес часто ограничен бюджетами на модернизацию IT-инфраструктуры и зависит от готовых решений поставщиков программного обеспечения.
  • Legacy B2B-платформы требуют значительных инвестиций для интеграции современных методов аутентификации в устаревшие системы.

Ярослав Яцкевич

Аналитик информационной безопасности SkyDNS

В России поддержка passkeys — пока редкость. Большинство сервисов предпочитают проприетарные методы входа, такие как QR‑коды, пуши, SMS, собственные приложения. Связано это с регуляторикой, импортозамещением и отсутствием поддержки в экосистемах.

Массовое распространение Passkeys кардинально изменит ландшафт киберугроз. Фишинг, утечки паролей и их подбор станут неэффективными, но и злоумышленники адаптируются к новым реалиям.

Что в итоге

Passkeys представляют собой эволюционный скачок в области аутентификации, решая фундаментальные проблемы парольной безопасности. Технология устраняет риски фишинга, утечек паролей и их подбора, одновременно упрощая процесс входа в онлайн-сервисы. Однако это не универсальное решение — оно создает новые вызовы и зависимости.

Основными ограничениями остаются привязка к экосистемам, сложности с переносимостью ключей между платформами и зависимость от устройств. Потеря смартфона может означать потерю доступа ко всем аккаунтам, а восстановление возможно только через процедуры поставщика услуг.

Переход на Passkeys — это глобальный тренд, который изменит цифровую экосистему в ближайшие годы. Технология заставляет пересмотреть подходы к кибербезопасности, смещая акцент с защиты серверов на обеспечение безопасности конечных устройств. При правильном внедрении и понимании ограничений Passkeys станут важным шагом к созданию более безопасного цифрового мира.

Теги:
erid: 2SDnjcA4LZu

РЕКОМЕНДУЕМ

похожие материалы

Стрелочка
Стрелочка
VirusTotal для ИБ-специалиста: как эффективно использовать сервис и не попасть в ловушку
VirusTotal для ИБ-специалиста: как эффективно использовать сервис и не попасть в ловушку

VirusTotal уже стал привычным инструментом для специалистов по информационной безопасности — через него проверяют подозрительные файлы, анализируют URL-адреса и собирают контекст об угрозах.

подробнее Стрелочка
Искусственный интеллект для хакеров: как нейросети меняют пентест
Искусственный интеллект для хакеров: как нейросети меняют пентест

Нейросети значительно трансформировали пентест – они автоматизируют рутинную разведку и сканирование, ускоряют подготовку отчетов и повышают покрытие, одновременно ставя новые требования к контролю, конфиденциальности и экспертизе.

подробнее Стрелочка