Давно минули ті часи, коли можна було використовувати (і неодноразово) прості паролі на кшталт p455w0rd123. Тепер всі ваші онлайн-акаунти повинні бути захищені складними та унікальними паролями. І навіть за допомогою менеджерів паролів велика кількість складних паролів стає важким тягарем для більшості людей.
Ви також повинні бути завжди пильними на випадок, якщо один з ваших численних паролів буде скомпрометований.
Існує краще рішення – ключі допуску.
Що таке ключі допуску (Passkeys)?
Ключі допуску – це метод автентифікації для веб-сайтів та додатків, який вперше був популяризований Apple у червні 2022 року, коли компанія додала підтримку в iOS та MacOS. Однак це не технологія Apple. Passkeys – це стандарт, який просувають Google, Apple, Microsoft, Консорціум Всесвітньої павутини та Альянс FIDO.
Ключі допуску – це набори з двох криптографічних ключів: публічного ключа, який зареєстрований в онлайн-сервісі або додатку, і приватного ключа, який зберігається на пристрої, наприклад, смартфоні або комп’ютері.
Це може здатися складним, але паролі були розроблені таким чином, щоб ними було легко користуватися. Насправді, щоб увійти за допомогою пароля, ви використовуєте своє обличчя, відбиток пальця або PIN-код – так само, як ви розблоковуєте свій смартфон.
Перевага паролів полягає в тому, що навіть якщо хакер отримає відкритий ключ веб-сайту, ваш обліковий запис все одно буде заблоковано, оскільки у нього немає доступу до приватного ключа на вашому пристрої.
Скріншот вище доводить переваги: ніяких паролів на виду, нічого, що потрібно запам’ятовувати, і нічого, що можна випадково передати хакеру.
Ключі допуску також можуть допомогти вам обійти проблему синхронізації паролів між вашими пристроями.
Читайте також: Кібербезпека для життя: 6 простих правил
Припустимо, ви зазвичай входите до свого облікового запису Google за допомогою смартфона, але хочете увійти за допомогою ноутбука. Це не проблема, навіть якщо пароль не синхронізовано з ноутбуком, якщо смартфон знаходиться в зоні дії Bluetooth і ви підтверджуєте вхід.
Ще крутіше те, що пароль не передається між смартфоном і ноутбуком. Замість цього, після підтвердження входу, ви отримуєте можливість створити пароль на ноутбуці.
Чи не ризиковано входити на сайт або в додаток за допомогою відбитка пальця або обличчя?
Ні, тому що ваша біометрична інформація не надсилається на веб-сайт або додаток, до якого ви входите, натомість ваша біометрична інформація використовується лише для розблокування ключа на вашому пристрої.
Ваші біометричні дані ніколи не залишають ваш пристрій.
Що мені потрібно для використання ключів допуску?
Нижче наведено системні вимоги для використання ключів:
- Система під управлінням принаймні Windows 10, MacOS Ventura або ChromeOS 109
- Смартфон або планшет під управлінням принаймні iOS 16, iPadOS 16 або Android 9
- Опціонально: апаратний ключ безпеки з підтримкою протоколу FIDO2
На комп’ютері або мобільному пристрої, який ви використовуєте, також має бути встановлений підтримуваний браузер, наприклад:
- Chrome 109 або новішої версії
- Safari 16 або новішої версії
- Edge 109 або новішої версії
Найбільші технологічні гравці мають більш детальну інформацію про те, як використовувати ключі допуску на своїх платформах: Apple, Google та Microsoft.
Які веб-сайти підтримують ключі допуску?
Ви можете знайти список веб-сайтів, які підтримують ключі допуску, на passkeys.io
Серед відомих веб-сайтів та додатків, які підтримують цю технологію, – Adobe, Amazon, Google (де зараз ключі допуску захищають понад 400 мільйонів облікових записів) та Microsoft.
У Всесвітній день паролів 2024 року корпорація Microsoft розгорнула підтримку ключів.
Популярність ключів допуску стрімко зростає.
Чому варто використовувати паролі?
Дві причини: швидкість і безпека.
Згідно з даними State of Passkeys, компанії виявляють, що вони забезпечують швидший вхід у систему від 2 до 17 разів для TikTok, порівняно з використанням паролів.
Що стосується безпеки, то CVS Health стверджує, що паролі знизили кількість шахрайств із заволодінням акаунтами на 98%.
Ключі допуску також зменшили кількість дзвінків у технічну підтримку: MiLogin штату Мічиган помітив зниження кількості звернень щодо скидання пароля на 1300 разів.
Що, ймовірно, принесе 2025 рік у сферу паролів?
Схоже, що після того, як технологія паролів створена і впроваджена в маси для захисту онлайн-акаунтів та ідентифікаційних даних, наступним важливим кроком буде залучення банків і фінансових установ до цього процесу.
Виконавчий директор FIDO Ендрю Шикіар зазначає, що хоча банки не поспішають пропонувати ключі допуску споживачам, він «цілком упевнений, що в 2025 році ми побачимо, як деякі банки з великими брендами по всьому світу почнуть впроваджувати ключі допуску, щоб дозволити своїм користувачам входити в систему і отримувати доступ до облікових записів без необхідності використовувати пароль».
І це лише один зі способів поширення, адже інші сфери, такі як подорожі та готельний бізнес, також, ймовірно, перейдуть на ключі допуску.
До кінця 2025 року Шикіар очікує, що кожен четвертий з 1000 найкращих веб-сайтів світу буде підтримувати ключі допуску.
Чи зробив Google ключі допуску параметром входу за замовчуванням для всіх особистих облікових записів?
Так, тепер Google просить користувачів створити пароль і використовувати його як логін за замовчуванням.
Використання ключа для входу в обліковий запис приблизно на 40% швидше і набагато безпечніше, ніж використання паролів.
Насправді, Google чітко заявляє, що його план полягає в тому, щоб зробити “паролі рідкістю і з часом застарілими”.
Ще не готові використовувати ключ допуску для Google? Ви можете пропустити цю опцію і продовжувати входити до свого акаунта старим способом.
Чи підтримують додатки ключі допуску, чи мені потрібно заходити на сайт за допомогою браузера? Як щодо iOS та Android?
Паролі повинні працювати незалежно від того, як ви отримуєте доступ до сервісу – через браузер чи додаток.
Однак досвід не є універсальним. Наприклад, Amazon розгорнув підтримку паролів, але в додатку вона поки що доступна лише для користувачів iOS. Це лише початок, і незабаром ми можемо очікувати повсюдної підтримки паролів.
Чи можна спробувати, як працюють ключі допуску?
Якщо ви ще не готові зануритися в процес і почати використовувати ключі допуску, найкращий спосіб поекспериментувати з тим, як вони працюють, – скористатися демо-версією на passkeys.io. Вона проведе вас через процес налаштування пароля і покаже, як використовувати його для входу на сайт.
Якщо ви готові зануритися в цю справу, чудовим початком буде захист вашого облікового запису Google за допомогою ключа допуску. Google не лише спростив цей процес, але й надав вичерпну документацію.
Паролі мертві?
На жаль, ми ще дуже, дуже далекі від смерті паролів. Ключі допуску, як і апаратні ключі безпеки, пропонують вам спосіб захистити акаунти та онлайн-сервіси, які підтримують цю функцію.
Паролі та менеджери паролів знадобляться вам ще довго.
Чи підтримують менеджери паролів ключі допуску?
Так, підтримують.
Чи є якісь мінуси у ключів допуску?
Хоча ключі допуску, безумовно, набагато кращі, ніж паролі, є й недоліки.
Багато недоліків ключів допуску пов’язані з тим, що ця технологія відносно нова, а розгортання триває постійно. Крім того, ми бачимо, що такі компанії, як Apple, Microsoft і Google, просувають свої методи зберігання та обміну паролями, і це може спричинити розрізнення ваших ключів допуску та ускладнити доступ до них на різних платформах. Ситуація стає кращою завдяки включенню керування ключами допуску до менеджерів паролів.
Іншою поширеною проблемою є те, що сайти, які використовують ключі допуску, все ще вимагають від користувачів встановити пароль для захисту облікового запису, тим самим розмиваючи ефективність ключів допуску.
Технічний сайт Ars Technica добре попрацював над тим, щоб висвітлити деякі з найбільших проблем, пов’язаних із ключами допуску.
Всі великі операційні системи, а також сторонні менеджери паролів, такі як Dashlane, 1Password та Bitwarden, підтримують ключі допуску. Ці інструменти повинні допомогти полегшити перехід від паролів до ключів. Корпорація Microsoft також планує додати підтримку ключів допуску до своєї програми Authenticator у середині січня 2025 року.
Ці інструменти мають допомогти полегшити перехід від паролів до ключів допуску.
