Что такое Passkey
Новый стандарт разработал альянс FIDO (Fast IDentity Online) в сотрудничестве с крупными технологическими компаниями, включая Apple, Google, Microsoft.
Впервые технологию представили в 2022 году. Она уже внедряется в новые версии операционных систем iOS, Android и Windows. Также механизм поддерживают популярные браузеры Google Chrome, Safari, Microsoft Edge.
Придумывать и запоминать какой-либо пароль в случае с Passkey не требуется. В основе технологии лежат два криптографических ключа, которые генерируются автоматически:
- Публичный — регистрируется и хранится на сайте или в приложении, к которому подключается пользователь.
- Приватный — записывается на устройстве, например смартфоне или ноутбуке. Владеет им только пользователь.
Запрос на каждую новую авторизацию подписывается приватным ключом со смартфона или планшета человека. После этого сервер, на котором работает нужный сайт или приложение, проверяет вход публичным ключом. Операции проходят в автоматическом режиме, поэтому занимают несколько секунд.
При использовании приватного ключа необходимо подтвердить, что операцию проводит его владелец. Для этого применяется PIN-код смартфона или компьютера либо биометрия — отпечаток пальца или FaceID, если соответствующие технологии поддерживаются. Личность подтверждается локально, данные для аутентификации не передаются через Интернет на внешние серверы. Благодаря этому их невозможно украсть.
Ключевые преимущества Passkey
Технология превосходит классические пароли и двухфакторную аутентификацию благодаря функциональным особенностям.
Устойчивость к фишингу. Ключи доступа привязываются к конкретному сайту или приложению. Если пользователь попадает на фишинговую копию ресурса, смартфон с приватным ключом откажется к ней подключаться, так как доменное имя будет отличаться от оригинального.
Защита от хакерских атак. Приватные ключи никуда не передаются и не хранятся на внешних серверах. Если злоумышленники получат доступ к базе данных определенного сервиса, они все равно не смогут украсть учетную запись.
Исключение подбора и повторного использования. В случае с Passkey текстового пароля нет. Невозможно узнать комбинацию, подобрав ее либо перехватив из разговора или переписки. Также исключен риск, что один и тот же пароль мошенники применят для авторизации в аккаунтах пользователя на разных сайтах.
Синхронизация и резервное копирование. Приватные ключи можно использовать сразу с нескольких устройств. Резервное копирование позволяет привязать ключ, например, к новому, если старый утерян. Возможности обеспечиваются специальными сервисами по типу iCloud Keychain и Google Password Manager.
Passkey уже внедрена во множество крупных сервисов, и число платформ, поддерживающих технологию, быстро растет. Она исключает большую часть рисков, связанных с утерей приватных данных.
Однако стоит учитывать, что злоумышленники все еще могут украсть смартфон или компьютер с Passkey. Также существует повышенный риск хранения нескольких приватных ключей на одном устройстве. Чтобы пользоваться разными учетными записями с надежной защитой, рекомендуется обзавестись несколькими смартфонами или другими гаджетами.