Добавить в корзинуПозвонить
Найти в Дзене
iGuides.ru - обзоры, личный опыт, инструкции
46,7 тыс подписчиков

Ключи доступа должны были заменить пароли и защитить нас, но по факту только всё испортили

26
4 мин
В мире есть две категории людей — qwerty123 и kysqeB-8kocsy-misbad. Одни осознают важность сложных паролей, а другие не парятся. Для тех и для других некоторое время назад была придумана специальная система входа — ключ доступа или Passkey. Она должна была упростить жизнь и понимающим, и тем кто на чиле. Но по факту этого не случилось; более того, ключи доступа только усугубили проблему ненадежных паролей, да и сами провалились как проект. Почему?
Содержание: Я вижу две причины, почему ключи доступа не стали настолько же распространенными, как классические пароли. Расположу их в порядке важности — на мой собственный взгляд. А еще далеко не каждый человек понимает разницу между сканированием Face ID на условном iPhone и распознаванием лица в глобальном смысле. Я лично знаю пользователей, искренне считающих, что определенный веб-сайт впускает их в аккаунт по лицу, хотя на самом деле это происходит через Face ID — то есть технически сайт знать не знает, как выглядит пользователь. Фото:
Оглавление

В мире есть две категории людей — qwerty123 и kysqeB-8kocsy-misbad. Одни осознают важность сложных паролей, а другие не парятся. Для тех и для других некоторое время назад была придумана специальная система входа — ключ доступа или Passkey. Она должна была упростить жизнь и понимающим, и тем кто на чиле. Но по факту этого не случилось; более того, ключи доступа только усугубили проблему ненадежных паролей, да и сами провалились как проект. Почему?
Содержание:

  • Почему Passkey провалился
  • Почему Passkey сделал хуже
  • Стоит ли использовать Passkey.

Почему Passkey провалился

Я вижу две причины, почему ключи доступа не стали настолько же распространенными, как классические пароли. Расположу их в порядке важности — на мой собственный взгляд.

  • 1 — никто не понимает, что это такое. Вот вы сами понимаете, что такое Passkey и как он работает? Признаюсь, я как редактор сайта о технологиях и сам не до конца понимаю эту технологию. Многие знают, что Passkey формируется на устройстве и где-то хранится, а активировать его можно сканированием своего лица или отпечатка пальца. Но что дальше? Допустим, веб-сайт предлагает вам активировать Passkey — что случится после этого? Какие трудности могут возникнуть? Куда денется ваш пароль и нужен ли он будет в дальнейшем? А как войти с другого устройства? Вопросов множество — но ни сайты, ни вендоры смартфонов и ОС толком не разъясняют всё это, обходясь лишь упрощенными общими фразами.
  • 2 — Passkey хранится на устройстве. Это значит, что войти с его помощью можно только с того девайса, на котором он создан. Допустим, у пользователей Apple есть козырь — ключ доступа, созданный на iPhone, передается на iPad и Mac в пределах того же аккаунта. Но если вы пользователь iPhone и Android-планшета, то ключей нужно будет два, и это совсем не очевидно (возвращаемся к первому пункту).

А еще далеко не каждый человек понимает разницу между сканированием Face ID на условном iPhone и распознаванием лица в глобальном смысле. Я лично знаю пользователей, искренне считающих, что определенный веб-сайт впускает их в аккаунт по лицу, хотя на самом деле это происходит через Face ID — то есть технически сайт знать не знает, как выглядит пользователь.

Почему Passkey сделал хуже

-2

Фото: Unsplash
Однако самая неприятная и даже вредная сторона Passkey — это его мнимая безопасность. Бренды и онлайн-ресурсы подают ключи доступа как нечто супербезопасное, как идеальная замена паролям, чем они по сути не являются. Почему?
Дело в том, что Passkey зачастую не заменяет, а дополняет пароль. Когда вы соглашаетесь на добавление ключа доступа, вы не меняете способ аутентификации с пароля на ключ доступа, а лишь привносите более удобный способ входа. Грубо говоря, ключ доступа позволяет не вводить пароль при каждом входе в аккаунт, но пароль там всё еще есть, и он остается альтернативным фактором входа.

Passkey — что-то вроде мостика над каменистой речкой. Вы можете прыгать по камням (вводить пароль) либо пройти по мосту (использовать Passkey). Результат будет один, но затрачено разное количество сил. При этом закрытие входа на мост никак не помешает попасть на другой берег — туда всё еще можно допрыгать по камням.

А если пароль остается основным фактором, то и все связанные с ним риски сохраняются: утечка, взлом, брутфорс. При этом многие сайты, которые не пожалели денег на внедрение Passkey, активно предлагают включить его при каждом входе. Человек обычно идет по пути наименьшего сопротивления, поэтому зачастую соглашается, даже не разобравшись, что произошло.
Отсюда вытекают два вреда:

  1. Пользователь уверен, что аккаунт теперь защищен лучше, чем был до этого. На самом деле в него стало проще входить, но на защиту как таковую Passkey не влияет ровно никак. Ну хорошо, он защищает от возможного подглядывания ввода пароля из-за вашего плеча — но насколько это частый сценарий в сравнении с онлайн-взломом? От которого Passkey совершенно не защищает. Как следствие, пользователь перестает думать о безопасности пароля, даже если ранее это делал.
  2. Пользователь забывает свои учетные данные и навык авторизовываться классическим методом. Какое-то время всё будет хорошо, но потом понадобится зайти в аккаунт с нового гаджета, а данные уже давно забыты. Здесь мы снова делаем реверанс в сторону Android и Windows, не имеющих централизованного и универсального механизма хранения паролей.

Получается, что из-за неосведомленности о механизмах работы Passkey пользователь делает неверные выводы и вместо усиления безопасности увеличивает уязвимость аккаунта.

Стоит ли использовать Passkey

-3

Конечно. Технология классная и при правильном использовании существенно упрощает жизнь пользователю. Однако включать ключ доступа нужно только при полном понимании принципов его работы и рисков.

  1. Passkey не заменяет пароль, а дополняет его. То есть вам всё еще нужно придумать для аккаунта надежный, длинный пароль с цифрами, буками и символами.
  2. Даже при включенном ключе доступа время от времени авторизуйтесь по логину и паролю. Так вы не забудете свои данные и алгоритм входа.
  3. Учтите, что Passkey работает зачастую только на том устройстве, на котором он создавался. При этом на устройствах Apple он синхронизируется, но на других придется логиниться по-старинке.
  4. Сайт не узнаёт вас «в лицо» (или в отпечаток пальца). Он лишь использует токен, который генерирует сам девайс — а уже он верифицирует вас по биометрии.