Британские кибер-шефы призывают отказаться от паролей в пользу passkeys. Что это такое и как работает?

Жителям Великобритании официально порекомендовали начать отказываться от паролей в пользу passkeys (ключей доступа) везде, где это возможно. Такой способ лучше защищает онлайн-аккаунты. Пароли долгое время оставались стандартным методом входа в цифровые сервисы. Но в четверг Национальный центр кибербезопасности (NCSC) заявил, что намерен «пересмотреть многолетнюю практику» и теперь рекомендует passkeys как самый безопасный вариант. Платформы вроде Apple, Google и X уже позволяют использовать их вместо паролей. Но что это такое и как они работают?

Совет появился после многолетних предупреждений о том, что люди используют простые и легко угадываемые коды вроде «123456» или клички домашних животных. На фоне роста утечек данных NCSC также вновь предупредил об опасности повторного использования одного и того же пароля на разных сайтах. Менеджеры паролей и двухфакторная аутентификация стали популярными инструментами для усиления и сохранения учётных данных. NCSC считает, что passkeys могут быть менее уязвимы для взлома и человеческих ошибок, хотя некоторые эксперты предупреждают: это «не серебряная пуля».

Как и пароли, passkeys — это способ аутентификации, который подтверждает, что аккаунт пытаетесь открыть именно вы. Но, в отличие от паролей, вам не нужно запоминать код или комбинацию букв, цифр и символов. Passkeys — это фрагмент цифровой информации, привязанный к учётной записи пользователя и уникальный для каждого сайта или приложения. Они используют криптографию для проверки на уровне устройства. И обычно работают вместе с уже встроенными в смартфоны технологиями — Face ID и Touch ID на iPhone, Face Unlock на телефонах Google Pixel.

Разработчики операционных систем, включая Google и Apple, предлагают passkeys как альтернативный способ входа в аккаунты. По данным NCSC, passkeys обеспечивают лучшую защиту, потому что они уникальны для каждого сайта, где вы их регистрируете, и никакая секретная информация не передаётся. Джонатан Эллисон, директор NCSC по национальной устойчивости, назвал их «удобной альтернативой, которая обеспечивает более высокую общую устойчивость». По его словам, они также могут избавить от «головной боли, которую запоминание паролей доставляло нам десятилетиями».

Passkeys работают на основе криптографии с открытым ключом. «Вместо того чтобы создавать и запоминать общий секрет (пароль), ваше устройство генерирует надёжную ключевую пару, — объясняет Дэниел Кард из BCS (Chartered Institute for IT). — Одна часть остаётся на вашем устройстве, а другая — у сервиса, в который вы входите». Чаще всего процесс включает то, что вы и так делаете для разблокировки устройства: используете встроенные биометрические датчики (сканер отпечатка пальца или лица) либо вводите PIN-код. Фактически передаётся только сам факт успешной проверки, а не сама информация. «Эти физические ключи безопасности полностью устойчивы к фишингу, — говорит Ниалл Макконачи, региональный директор кибербезопасной компании Yubico. — Их невозможно перехватить или украсть удалённым злоумышленникам. Только владелец ключа может получить доступ к своим аккаунтам».

NCSC и многие эксперты считают, что passkeys могут быть как минимум не менее безопасны, чем двухфакторная аутентификация (например, связка сильного пароля и проверки на другом устройстве). Но Кард, как и другие до него, отмечает: passkeys — «не серебряная пуля». Потеря устройства или полная потеря доступа к нему может затруднить настройку ключей. NCSC признаёт, что раньше не агитировал за переход на passkeys из-за «проблем с внедрением» — медленного принятия и неравномерной поддержки. Многие платформы до сих пор не позволяют пользователям использовать passkeys вместо паролей или наряду с ними.

Однако, по данным Fido Alliance (отраслевой ассоциации, продвигающей passkeys как шаг к «беспарольному будущему»), технология теперь поддерживается всеми основными операционными системами, интернет-браузерами и сторонними провайдерами. А Макконачи отмечает, что растущая поддержка passkeys — включая внедрение их правительством Великобритании в цифровых сервисах в прошлом году — показывает: «это не просто нишевый тренд». «Переход от паролей к менеджерам паролей, приложениям для двухфакторной аутентификации и теперь к passkeys — это качественный скачок в снижении рисков, — добавляет Кард. — Именно поэтому такие организации, как NCSC, поддерживают их, и почему многие специалисты по безопасности уже используют их везде, где только можно».

Итог: Пароли уходят в прошлое — по крайней мере, так считают британские кибер-шефы. Passkeys удобнее (не надо запоминать «Svetlana1987» для каждого сайта) и безопаснее (их не выманить фишингом). Но идеального решения всё ещё нет: потеря устройства может стать проблемой, и поддержка технологии пока не везде. Тем не менее, тренд очевиден: будущее аутентификации — без паролей.