Ключи вместо паролей

Придут ли ключи доступа passkeys на смену парольной защите

«Конец эпохи паролей! Простое, надежное и эффективное решение! Вам больше не нужно  придумывать абракадабру, а потом бояться ее забыть!» Подобными фразами нередко описывают технологию ключей доступа (passkeys). Верно ли, что она позволяет оставить пароли в прошлом? Правда ли, что компьютерные гиганты планируют окончательный переход от паролей к ключам?

Что такое ключи доступа

Этот способ входа в аккаунты заставляет вспомнить шифрование с открытым ключом. Оно широко применяется, в частности, для защиты электронной почты. Технологию ключей доступа в качестве альтернативы паролям продвигают разные эксперты в области цифровой безопасности, в частности, ассоциация FIDO Alliance (от «Fast IDentity Online»). Вот как работают ключи доступа.

  1. При регистрации в том или ином сервисе, который поддерживает ключи доступа, автоматически создается пара ключей. Назовем их открытый и закрытый (секретный). Их технически невозможно «взломать». Из открытого ключа нельзя получить («рассчитать») закрытый.
  2. Открытый ключ остается в сервисе, чей аккаунт нужно защитить. Закрытый ключ сохраняется на вашем устройстве. Он конфиденциален и привязан к этому устройству. Доступ к закрытому ключу защищен. Следуя идее отказа от паролей, чаще используют биометрию — отпечаток пальца или FaceID.
  3. Когда вы входите в свой аккаунт, сервис отправляет на ваше устройство запрос, зашифрованный вашим открытым ключом.
  4. Запрос автоматически обрабатывается, подписывается закрытым (секретным) ключом и возвращается сервису.
  5. Сервис проверяет подпись и окончательно убеждается, что вы — это вы. 

Все это происходит быстро и почти без участия пользователя (только подтверждение). Ничего не нужно придумывать и запоминать. Кажется, что ключи — ответ на многолетнюю головную боль всех безопасников. Эксперты годами твердят, что пароли должны быть надежными (и бережно храниться), что нельзя использовать один и тот же пароль для разных аккаунтов, и прочие базовые элементы культуры безопасности. Но человеческая память несовершенна, а люди — не очень организованные существа. Они переживают, как бы не забыть мудреный пароль (и порой действительно забывают), а записанный пароль не потерять (и нередко теряют). Искушение качнуть весы в сторону комфорта очень велико. Технология ключей доступа призвана приблизиться к желанному комфорту без существенных потерь в безопасности. Или даже выиграть: в отличие от паролей, механизм с ключами устойчив к фишингу.

Пример работы ключей доступа

В качестве иллюстрации давайте посмотрим, как использовать ключ доступа вместо привычной пары логин-пароль для аккаунта Google. По нашим опросам это один из самых часто используемых читателями сервисов. Предположим, нужно настроить вход на компьютере с Windows.

  1. Зайдите в свой аккаунт Google как обычно (с помощью пароля).
  2. В настройках выберите «Безопасность» и прокрутите чуть вниз до раздела «Вход в Google». Нажмите кнопку «Ключи доступа и электронные ключи».
  3. На следующей странице нажмите кнопку «Создать ключ доступа».
  4. Требуется подтверждение вашей личности — то, что будет впоследствии защищать закрытый (секретный) ключ. У нас не было под рукой ноутбука со сканером отпечатка пальца, так что пришлось указать PIN-код Windows Hello.
  5. Ключ доступа создан. Нажмите кнопку «Готово».

Теперь в настройках входа в Google напротив слов «Ключи доступа и электронные ключи» можно видеть «1 ключ доступа». Если щелкнуть по нему, вы увидите время его создания. Ключей может быть и больше, если устройств несколько (у каждого будет свой ключ). Если выйти из аккаунта и снова войти, Google предложит авторизоваться с ключом доступа.

Если в настройках аккаунта Google включена двухфакторная аутентификация, она не будет задействована при входе по ключу. По мнению Google «такой способ подтверждает, что ваше устройство не находится в чужих руках».

Есть и другой способ залогинивания: войти в аккаунт на компьютере Windows с помощью ключа на смартфоне. 

Ключи доступа в настройках Google
Новый ключ доступа отображается в настройках Google

Ограничения

Идея ключей доступа основана на допущении, что ваше устройство всегда под вашим контролем и ему ничего не грозит. Если вы живете в стране с репрессивным режимом, ситуация иная. Смартфон или ноутбук могут потребовать при обыске, задержании, во время принудительной «беседы» на границе и вообще при любой «проверке», не подкрепленной никакими законами. В этой ситуации у человека с ключом доступа, скажем мягко, мало степеней свободы. Принудительное сканирование отпечатка пальца даст злоумышленникам доступ и к устройству, и к аккаунту, защищенному ключом. Привычная схема с паролем допускает пусть небольшие, но все-таки маневры. Можно потянуть время, ссылаясь на конституционные гарантии неприкосновенности частной жизни. Можно забыть пароль (в стрессовой ситуации его и правда нетрудно забыть). Можно воспользоваться помощью доверенного лица, которое сменит пароль, пока владельца компьютера везут в ОВД.

При доступе по ключу в Google у вас не получится полностью отключить вход по паролю. Это значит, что пароль в настройках все равно есть, и для него придется соблюдать все правила в отношении паролей. Лозунг полного отказа от паролей звучит как некоторое лукавство. С другой стороны, если бы Google и впрямь позволял отключать функционал паролей, потеря устройства грозила бы полной утратой доступа к аккаунту. Пароли и резервные коды двухфакторной аутентификации можно легко скопировать, зашифровать и положить в облачное хранилище, в некоторых случаях передать доверенному лицу. С ключом, привязанным к устройству, так не получится. Можно лишь создать новые ключи на новых устройствах; это дороже, сложнее и не гарантирует сохранение доступа, например, в ситуации обыска с изъятием всех носителей данных.

Еще одна проблема — относительно слабая распространенность применения ключей доступа. Хотя самой технологии уже не один год, ее поддержка компаниями растянулась во времени. По состоянию на весну 2024 года использовать ключи доступа можно было с несколькими десятками сервисов. В числе «крупных игроков» — Apple, GitHub, Google, LinkedIn, Microsoft, PayPal, TikTok, WhatsApp, WordPress, X (бывший Twitter). Список вдохновляет оптимистов, но факт остается фактом: значительное число сервисов не поддерживает ключи доступа. Это значит, что сегодняшнему пользователю для входа в свои аккаунты, скорее всего, придется комбинировать применение ключей и паролей.

Наконец, существуют ограничения отдельных сервисов. К примеру, ключи Google нельзя создать на устройстве под управлением Linux. Об этом прямо не говорится, но Linux не входит в список поддерживаемых операционных систем. Вы увидите загадочное сообщение «На этом устройстве невозможно создать ключ доступа».

Резюмируем: ключи доступа — интересная технология, которая эффективна в определенных условиях и в будущем может получить большее распространение.