Passkey (ключ доступа) – это технология аутентификации, заменяющая традиционные пароли, основанная на асимметричной криптографии – метода шифрования информации, который предполагает использование сразу двух ключей – закрытого и открытого:
- закрытый ключ хранится локально только на устройстве пользователя (смартфон, компьютер) и защищается биометрией, PIN-кодом или графическим шаблоном. Закрытый ключ никогда не покидает устройство и используется для подтверждения личности пользователя путем подписания запроса на аутентификацию;
- открытый ключ хранится на сервере службы, где пользователь входит в систему или совершает транзакции (например, на биржах криптовалют или при использовании крипто кошельков).
Процесс аутентификации происходит следующим образом. Когда пользователь хочет войти в кошелек или совершить транзакцию, система отправляет запрос аутентификации с сервера на его устройство. Гаджет пользователя будет использовать закрытый ключ для подписи этого запроса.
Далее пользователи проходят аутентификацию с помощью биометрических данных (отпечатков пальцев, распознавания лиц) или PIN-кода на своем устройстве. Этот процесс гарантирует, что только лица, владеющие устройством, смогут использовать закрытый ключ для входа в систему или выполнения транзакций.
Как только запрос подписывается закрытым ключом, открытый ключ на сервере проверяет и подтверждает его. Если открытый и закрытый ключи совпадают, процесс аутентификации завершен, и пользователь может получить доступ к кошельку или совершать транзакции.
Технология Passkey базируется на открытых стандартах, разработанных международным альянсом FIDO (Fast IDentity Online) и консорциумом W3C:
- WebAuthn – сетевой стандарт W3C, который обеспечивает быструю и беспарольную аутентификацию пользователя, по сути, представляющий собой API управления учетными данными.
- CTAP2 (Client to Authenticator Protocol) – протокол, который обеспечивает связь между клиентским устройством (например, компьютером или смартфоном) и аутентификатором (например, аппаратным устройством).
- FIDO2 – это открытый стандарт проверки подлинности пользователей, целью которого является улучшение способа авторизации пользователей на веб-службах и повышение общего доверия, объединяет WebAuthn и CTAP, обеспечивая межплатформенную совместимость.
Актуальность разработки технологии Passkey была обусловлена несколькими факторами:
- Повышение уровня киберугроз: с ростом числа кибератак необходимо более надежное средство аутентификации, чем традиционные пароли, которые могут быть украдены или взломаны.
- Упрощение процесса входа: Passkey предоставляет пользователям более простой и безопасный способ доступа к своим аккаунтам без необходимости запоминания паролей, что уменьшает вероятность их забывания и повторного использования.
- Поддержка многофакторной аутентификации: технология ключа доступа может интегрироваться с более сложными системами безопасности, что позволяет повысить защиту личных данных.
- Стандартизация: технологии Passkey могут быть стандартом для различных платформ и сервисов, что упрощает разработчикам интеграцию и пользователям взаимодействие с различными приложениями.
- Уменьшение рисков утечки данных: использование шифрования и других технологий безопасности с Passkey снижает вероятность утечки учетных данных.
- Адаптация к современным реалиям: с переходом большинства пользователей на мобильные устройства и облачные сервисы становятся актуальными более современные методы аутентификации.
В этой связи, Passkey представляет собой важный шаг к более безопасной и удобной системе аутентификации, что и делает ее технологией с высоким приоритетом для разработки и внедрения в самых разных сферах.
Следует отметить стремительный рост популярности этой технологии. Так, ещё в мае 2022 года альянс FIDO при коллективной поддержке компаний Apple, Google и Microsoft объявил о масштабной инициативе по продвижению технологии ключей доступа в качестве стандарта аутентификации без пароля, обеспечивающего совместимость между устройствами, операционными системами и браузерами. И уже за два прошедших года по данным FIDO, более одного миллиарда человек активировали хотя бы один ключ-пароль, а осведомлённость потребителей об этой технологии выросла с 39% до 57%.
На настоящий момент Passkey и лежащие в её основе стандарты поддерживаются всеми основными ОС (iOS, Android, Windows, macOS) и браузерами (Google Chrome, Mozilla Firefox, Microsoft Edge, Apple Safari, Opera, Yandex).
Данная технология в первую очередь была внедрена в областях с высокими требованиями к безопасности:
Финансы и электронная коммерция
Банки, ориентированные на цифровые технологии, такие как британско-литовский Revolut, австралийский Ubank или нидерландский Finom, предлагают ключи доступа для снижения уровня мошенничества, укрепления доверия и соблюдения нормативных требований. Так, Ubank в настоящее время проводит внедрение Passkey для существующих клиентов и предлагает сразу поддержку этой технологии для новых. В планах банка постепенно отказаться от паролей для интернет-банкинга в течение следующих пяти лет, заменив меры безопасности, на ключи доступа и технологию биометрического распознавания.
Многие поставщики платежных услуг (PayPal, Mastercard, Visa), криптовалютные биржи (Binance, Coinbase), а также крупные американские сервисы электронной коммерции (eBay, Best Buy) уже предлагают ключи доступа. Они обрабатывают огромные объемы финансовых транзакций, что делает их ценными целями для киберпреступников, поэтому применяя Passkey, они надежно защищают потребителей и их счета. К примеру, в eBay пользователи могут войти через Face ID или отпечаток пальца, отсканировав QR-код с ПК. На Binance или Coinbase пользователи могут получить доступ к своим учетным записям с помощью Passkey, используя методы биометрической аутентификации (например, Touch ID или Face ID), ключи безопасности USB/NFC или блокировку экрана и PIN-код.
Государственный сектор
Правительства по всему миру все чаще предоставляют гражданам онлайн-услуги, от подачи налоговых деклараций до социальных услуг. На этих платформах хранятся большие объемы личной и финансовой информации, которую можно защитить с помощью технологии ключей доступа. Широкомасштабное внедрение Passkey, например, на австралийском портале госуслуг MyGov, демонстрирует, как можно оптимизировать предоставление таких услуг и обеспечить безопасный доступ к личной информации граждан. Вероятно, что другие государственные учреждения последуют этому примеру и сократят использование обычных паролей в своей деятельности.
Транспортный сектор
Транспортные компании и сервисы совместных поездок обрабатывают в режиме реального времени значительные объёмы транзакций и персональных данных. Внедряя ключи доступа, такой агрегатор такси, как международная компания Uber и его популярная азиатская версия Grab, упрощают работу водителей и пассажиров, повышая их безопасность от захвата аккаунтов и фишинговых атак.
Частые авторизации делают транспортный сектор предрасположенным к использованию ключей доступа. Ожидается, что всё больше платформ совместного использования поездок и транспортных компаний, особенно те, которые обычно требуют ежедневного многократного входа в свои онлайн-системы, будут использовать Passkey.
Кроме того, технология ключей доступа используется, например, в социальных сетях (Twitter (X), TiK ToK, VK) и в определенных программных продуктах, например, менеджерах паролей Keeper Password Manager, NordPass, 1Password.
Стоит отметить определенные успехи от внедрения данной технологии, которые получили первые потребители, например:
- Японская железнодорожная компания Tokyu добилась в 12 раз более быстрого входа в свою систему с помощью Passkey. Предыдущий процесс авторизации занимал в среднем 143,6 секунды. Внедрив ключи доступа, Tokyu успешно сократила время, в среднем до 12,2 секунды.
- Более 10 миллионов пользователей крупнейшего в США поставщика рецептурных препаратов CVS Health пользуются функцией беспарольного входа, что позволило на 98% снизить количество случаев мошенничества с использованием мобильных устройств.
- Компания Sony внедрила Passkey для глобального игрового сообщества PlayStation, сократив время входа в веб-приложения на 24%.
- Менеджер паролей Dashlane отмечает увеличение коэффициента конверсии для входа в систему с помощью ключей доступа на 70% по сравнению с обычными паролями.
Благодаря полной поддержке устройств, отлаженному пользовательскому интерфейсу, растущей популярности среди пользователей и проверенному опыту внедрения среди первых потребителей, Passkey является для различных компаний перспективным направлением развития.
Бизнес-преимущества ключей-доступа неоспоримы. Компании, которые ранее полагались на аутентификацию по SMS, могут значительно сократить расходы на эти сообщения. Кроме того, предприятия, использующие новую технологию, выигрывают от снижения затрат на поддержку (поскольку требуется меньше повторных сбросов паролей), снижения риска взлома (благодаря устойчивости к фишингу) и оптимизации пользовательских потоков, что повышает коэффициент конверсии. В совокупности эти преимущества делают использование Passkey выгодным вложением.
В январе 2025 года появилось много анонсов о внедрении новой технологии компаниями в различных странах. Так, в Южной Корее крупная онлайн-платформа Naver предоставила возможность авторизации с помощью технологии ключей доступа. Naver, которая предлагает тот же набор услуг, что и Google, и имеет более 42 миллионов зарегистрированных учётных записей, теперь позволяет пользователям входить в систему с помощью распознавания лиц или отпечатков пальцев вместо обычных паролей. Биометрические данные хранятся на устройстве пользователя, что позволяет легко входить в систему и избавляет от необходимости повторного ввода своих данных. На данный момент Passkey доступен только на ПК в web-браузерах, но Naver планирует расширить программу биометрии на свое мобильное приложение в первой половине 2025 года.
Городской университет Гонконга (CityUHK) планирует перейти на аутентификацию без пароля. С ноября 2024 года пользователи CityUHK, зарегистрировавшие учётную запись в iAM Smart – персонализированной платформе цифровых услуг Гонконга, – могут связать её со своими учётными записями CityUHK для более удобного входа. Это означает, что пользователи CityUHK имеют возможность получить доступ к различным государственным услугам с помощью биометрической авторизации. CityUHK – первое учебное заведение в Гонконге, внедрившее iAM Smart в свою систему аутентификации. Благодаря интеграции iAM Smart и платформы CityUHK SSO пользователи могут входить в такие сервисы, как системы управления учебным заведением AIMS, Canvas или веб-приложение Microsoft 365, используя Face ID или отпечаток пальца на своих мобильных телефонах.
Онлайн платформа Bitwarden в январе 2025 года в своем пресс-релизе отмечает, что тенденции в области аутентификации без пароля стимулировали значительный рост и инновации за прошедшие годы. Так, с 2023 по 2024 год количество ежедневных созданий ключей доступа выросло на 550%, и только в последнем квартале 2024 года было создано почти 1,1 миллиона Passkeys. На январь 2025 года Bitwarden превысил отметку в 10 миллионов пользователей и расширил свою деятельность более чем на 180 стран. Платформа теперь поддерживает более 50000 корпоративных клиентов по всему миру. Bitwarden отчасти объясняет эти цифры расширенными возможностями ключей доступа и быстрым их внедрением. Граждане и предприятия теперь могут создавать, хранить ключи доступа и управлять ими в пользовательских хранилищах, включать двухфакторную аутентификацию (2FA) на основе ключей доступа, интегрировать Passkeys с решениями для единого входа и многое другое.
Компания Yubico, занимающаяся оборудованием для обеспечения кибербезопасности, в январе 2025 года заключила партнёрское соглашение с американским оператором беспроводной связи T-Mobile U.S. о поставке более 200000 устройств YubiKey их сотрудникам, поставщикам и авторизованным розничным партнёрам. YubiKey – это аппаратное устройство аутентификации, разработанное компанией Yubico для защиты доступа к компьютерам, сетям и онлайн-сервисам. Эти устройства поддерживают несколько протоколов устойчивой к фишингу аутентификации, включая FIDO2/WebAuthn, U2F и смарт-карты (PIV), и работают во всех операционных системах и на мобильных устройствах.
Таким образом, Passkey представляет собой значительный шаг в обеспечении безопасности цифровых данных и упрощении процесса аутентификации. Кроме того, поддержка различных платформ и устройств, делает технологию универсальной и доступной для пользователей.
С учетом роста числа кибератак и утечек данных, а также текущих мировых трендов можно ожидать дальнейшего роста ее популярности и внедрения в различные сферы. Особенно большой скачек технология продемонстрировала в банковском секторе и электронной коммерции, продолжится её внедрение в сфере госуслуг на соответствующих правительственных порталах. Также можно ожидать, что в 2025 году значительная часть онлайн-сервисов перейдет на использование Passkey.
Больше полезной информации об ИТ и ИБ — в наших соцсетях:
Telegram
ВКонтакте
Одноклассники
vc.ru