OneSpan: плюсы и минусы passkey — почему более надежная аутентификация начинается здесь

Трансформационные технологии всегда подвергаются пристальному анализу — и это справедливо. Любая инновация, меняющая статус-кво, заслуживает взвешенной оценки, включая четкое понимание как преимуществ, так и потенциальных недостатков. Однако реальный риск возникает тогда, когда внимание становится несоразмерным — когда пограничным случаям уделяется больше фокуса, чем подавляющим преимуществам.

Именно это сегодня происходит с passkey.

Passkey — также известные как беспарольные учетные данные FIDO — представляют собой фундаментальное изменение в подходе к онлайн-аутентификации. Они устойчивы к фишингу, удобны в использовании и основаны на открытых, перспективных стандартах, поддерживаемых всей технологической экосистемой. Хотя для многих пользователей passkey все еще являются новинкой, они следуют знакомой кривой внедрения — аналогично тому, как Touch ID и Face ID быстро стали стандартом безопасного доступа на мобильных устройствах после своего появления.

Почему passkey безопаснее паролей

В своей основе passkey обеспечивают более высокий уровень безопасности при меньших усилиях:

• Нет секретов, которые можно украсть — passkey невозможно фишинговать, поскольку отсутствует общий секрет, такой как пароль.
• Устойчивость к поддельным сайтам и MITM-атакам — атаки «злоумышленник посередине» не срабатывают, так как у атакующего нет закрытого криптографического ключа, необходимого для аутентификации.
• Атаки не масштабируются — для компрометации passkey злоумышленнику потребуется физический доступ к устройству пользователя и его биометрический или локальный метод подтверждения.
• Более простой пользовательский опыт — пользователи проходят аутентификацию с помощью отпечатка пальца, сканирования лица или разблокировки устройства — без необходимости запоминать пароли. Вся криптографическая сложность остается скрытой.

Такое сочетание значительно снижает риск захвата учетных записей, одновременно улучшая удобство использования — результат, который редко достигается с традиционными методами аутентификации.

Разбор предполагаемых рисков безопасности

Несмотря на эти преимущества, passkey иногда критикуют за то, что они не являются «идеальными». На практике большинство опасений сводится к нескольким ограниченным пограничным сценариям.

Пограничный случай №1: защита синхронизированных passkey

Некоторые опасаются того, как защищены синхронизированные passkey, хранящиеся у поставщиков платформ, таких как Apple или Google, либо защищенные менеджерами паролей. В реальности этот риск значительно ниже, чем при использовании паролей. Пароли легко фишингуются, повторно используются или подбираются. Passkey же по своей природе устойчивы к фишингу и защищены сильной криптографией. Компрометация passkey потребовала бы захвата учетной записи на уровне платформы или мошеннического восстановления ключа — атаки, которая на порядки сложнее.

Пограничный случай №2: передача и синхронизация ключей

Хотя механизмы синхронизации могут быть проприетарными, крупнейшие поставщики платформ уже сегодня используют сильное шифрование как для passkey, так и для синхронизации паролей. Уровень безопасности при этом не ниже существующих парольных подходов — а на практике значительно выше.

Пограничный случай №3: совместное использование passkey

Да, passkey можно передавать (например, через AirDrop). Но пароли можно передавать так же легко — и, в отличие от passkey, пароли также могут быть подобраны перебором или угаданы. Совместное использование не нивелирует фундаментальные улучшения безопасности, которые обеспечивают passkey.

Почему пограничные случаи не перевешивают преимущества

Осознание рисков важно — но оно должно быть соразмерно их влиянию.

Представьте себе здание с десятками слабых замков, которые можно взломать с минимальными усилиями. Вам предлагают современную высокозащищенную систему замков, которая защищает почти все точки входа — за исключением одного труднодоступного окна. Отказ от всего обновления из-за этого единственного пограничного случая оставит все двери уязвимыми.

Именно это происходит, когда организации отвергают passkey из-за редких сценариев, игнорируя при этом их колоссальное снижение поверхности атаки.

Даже при самостоятельном использовании passkey существенно повышают уровень безопасности. В регулируемых или средах с повышенными требованиями организации могут пойти дальше, комбинируя привязанные к устройству passkey, синхронизированные passkey и дополнительные сигналы доверия для обработки исключительных случаев без ущерба для удобства.

Роль passkey в будущем

Одноразовые пароли (OTP) и другие методы MFA продолжат играть важную роль — особенно там, где этого требуют нормативные или гарантийные требования. Однако passkey переопределяют основу аутентификации, делая высокий уровень безопасности незаметным и удобным для повседневного доступа.

Как официальный дистрибьютор OneSpan, Softprom помогает организациям внедрять аутентификацию на основе passkey в соответствии с требованиями комплаенса, управления рисками и пользовательского опыта. Используя FIDO-решения OneSpan, компании могут уверенно отказаться от паролей — снижая уровень мошенничества и повышая цифровое доверие.