Оглавление
Пользователи интернета давно привыкли к тому, что на различных сервисах для входа в учётную запись нужно вводить логин и пароль. В качестве логина может использоваться адрес электронной почты. Это стало настолько привычно, что представить себе существование в интернете без логинов и паролей непросто.
На самом деле можно входить в аккаунты без ввода пароля, причём это делается быстрее и даже безопаснее, чем с паролями. Это не какая-то рекламная уловка, а фундаментальные изменения, которые в недалёком будущем доберутся до всех пользователей.
По всему миру жертвами взломов персональных аккаунтов ежегодно становятся миллионы или даже миллиарды пользователей. По заказу Центра консультирования потребителей в Германии был проведён опрос, согласно результатам которого почти у каждого третьего пользователя была зафиксирована попытка проникновения в их аккаунты.
Чтобы защититься от посторонних, необходима серьёзная защита. Лишь малая часть пользователей применяют на десятках и сотнях своих аккаунтов длинные и уникальные пароли, хотя именно так и нужно поступать. Последствия лени и небрежности могут быть печальными.
Технологии не стоят на месте, и ситуацию можно изменить к лучшему. Всё большее число сервисов и сайтов в интернете предлагают вместо пароля воспользоваться ключами доступа. Мало того что это удобнее, ключи доступа ещё и надёжнее по сравнению с паролями.
Больше не потребуется запоминать или записывать сложные и длинные пароли. Не придётся также покупать отдельное устройство для использования как ключа доступа. В качестве такого ключа может работать смартфон или даже ваш компьютер.
Компьютер или смартфон — всё, что нужно для максимальной безопасности
В данной статье рассказывается о практическом применении ключей доступа и говорится о лежащей в их основе технологии. Вдаваться в технические детали мы не будем. Нашей задачей является рассказать об основах технологии, чтобы вы могли доверять ей.
Ключи доступа стали очередным этапом развития стандарта безопасности Fido 2 с асимметричным шифрованием. При создании ключа доступа для входа в учётную запись на каком-либо сайте или сервисе пару ключей генерируют компьютер или мобильное устройство. Открытый ключ передаётся на сайт и сохраняется там. Закрытый ключ является секретным и только вашим. Его хранит крипточип вашего устройства; для компьютера это Trusted Platform Module (TPM).
Если вы пользуетесь смартфоном, закрытый ключ синхронизируется в облаке операционной системы Android или iOS. Это одно из преимуществ мобильных устройств.
Создав ключ доступа, при очередном посещении сервиса, сайта или приложения, вы указываете, что хотите войти в свою учётную запись. Сервис отправляет на ваше устройство вызов. Это задача, которая может быть решена только при помощи приватного ключа, находящегося на устройстве. Вы авторизуете этот ключ при помощи отпечатка пальцев, лицевого распознавания или пин-кода.
Обратно с устройства на сервис отправляется решение задачи с цифровой подписью, но не сам приватный ключ.
В процессе учитывается домен, на который вы пытаетесь войти, для защиты от фишинга. Если злоумышленник создаст поддельный сайт, крайне похожий на настоящий, ключ доступа не позволит войти в аккаунт на нём.
Сервисы с поддержкой ключей доступа
Ниже приведён список некоторых популярных приложений и сервисов, где ключи доступа уже поддерживаются. В качестве источников информации используются такие сервисы, как Passkeys.io, Passkeys Directory и Keeper. Список не является максимально полным.
- 1Password
- Adobe
- Amazon
- Apple
- Bitwarden
- Dashlane
- Ebay
- GitHub
- Kayak
- Keepass XC
- Keeper
- Microsoft
- Mozilla Firefox
- Nintendo
- Nvidia
- PayPal
- Shopify
- Sony Playstation
- Synology
- Tiktok
- Uber
- X (Twitter)
- Yahoo
- Zoho (аналог Office)
Попробуйте ключ доступа
Если вы хотите воспользоваться ключами доступа на домашнем компьютере, можно хранить приватные ключи только на нём. От вас требуется совместимый с ключами доступа браузер вроде Chrome, Edge или Firefox с версией 122.
Сначала необходимо создать пин-код для Windows Hello в приложении «Параметры». Войдите здесь в раздел Учётные записи > Варианты входа. Ключ привязан к аппаратным компонентам компьютера, поэтому работает только на одном компьютере, в отличие от паролей. Если можно, настройте на компьютере сканирование отпечатков пальцев или лицевое распознавание.
Для быстрого получения ключа доступа откройте в браузере тестовую страницу https://webauthn.io. В поле «example_username» укажите любое имя, нажмите «Register» и в следующем пункте выполните аутентификацию посредством ключа.
Может потребоваться подтверждение опции «Это устройство», а затем вы получите сообщение «Success! Now try to authenticate…». На всё это уйдёт меньше минуты. В моём случае сохранение ключа доступа выполнялось в менеджер паролей Proton в браузере.
Дальше войдите в систему без пароля при помощи только что созданного ключа доступа. Нажмите на кнопку «Authenticate» для повторной авторизации и увидите надпись «You’re logged in!».
Тестовый аккаунт Webauthn будет автоматически удалён через сутки.
Есть несколько причин того, почему смартфоны являются более удобным решением для использования ключей доступа по сравнению с компьютерами.
Первая причина в том, что смартфон хранит ключи доступа в менеджере паролей мобильной операционной системы, и делает это весьма надёжно. Во-вторых, с помощью смартфона можно выполнять вход в учётную запись на компьютере. Наконец, смартфон обычно с вами всегда и везде. Ещё можно вспомнить о том, что Android с версии 9 и iOS с версии 16 автоматически синхронизирует ключи доступа и хранит их в облаке в зашифрованной форме.
Если мобильное устройство сломается, потеряется или будет украдено, резервная копия будет в вашем распоряжении. На Windows синхронизация ключей доступа пока не поддерживается.
Вот как создаётся ключ доступа на смартфоне. На компьютере снова перейдите в браузере по адресу https://webauthn.io, напишите имя пользователя, нажмите «Register» и выберите опцию «iPhone, iPad или Android-устройство».
Нажмите «Далее» и камерой смартфона просканируйте QR-код на мониторе компьютера. Подтвердите версию ключа доступа, показываемую на смартфоне, и переходите к выполнению следующих шагов.
Разница между Android и iOS при работе с ключами доступа невелика. В зависимости от конкретной модели смартфона может потребоваться ввести пин-код для разблокировки при идентификации посредством отпечатка пальцев или лицевого распознавания.
Вход в учётную запись будет быстрее и удобнее, если пропустить этот шаг после сканирования QR-кода. Тогда в будущем для входа в аккаунт на компьютере потребуется связанное мобильное устройство и авторизация входа сканированием лица или отпечатка пальца. Авторизация происходит посредством Bluetooth от версии 5.0. Если компьютер не поддерживает его, существуют недорогие адаптеры Bluetooth, которые подключаются в порт USB.
Входить в учётные записи на реальных сайтах и сервисах можно таким же способом с применением ключей доступа. Запрос осуществляется в фоновом режиме, ответ посылается с цифровой подписью в течение нескольких секунд, после чего выполняется вход в аккаунт.
Авторизация без паролей на практике
Теперь вы знакомы с основными принципами работы ключей доступа. Чтобы проверить теорию на практике, можно перевести на использование ключей доступа одну или пару своих учётных записей. Выберите из списка выше сервис, в котором вы зарегистрированы. В большинстве таких сервисов можно одновременно пользоваться привычными логинами и паролями и ключами доступа. Для пользователей это удобнее, но пароли по-прежнему являются слабой точкой.
Microsoft даёт возможность полностью удалить пароли, чтобы пользоваться только ключами доступа. Производящая сетевые хранилища компания Synology не позволяет задавать одновременно пароли и ключи доступа, заставляя делать выбор.
Для создания ключа доступа сначала нужно войти в учётную запись выбранного вами сервиса через браузер на компьютере. Обычно нужно перейти в настройках сервиса в раздел «Безопасность». Конкретные пункты у разных сервисов различаются как по названиям, так и по местоположению. Иногда могут потребоваться дополнительные приложения и возникают другие преграды.
Например, ключи доступа Google поначалу были связаны с Windows Hello и определённым компьютером. Только потом появилась возможность создать другой ключ доступа для другого устройства через управление ключами доступа. Это давало возможность создать ключ доступа для смартфона.
Microsoft поначалу требовала пользоваться её приложением Authenticator на смартфоне. Только потом появилась возможность перейти на менеджер паролей операционной системы. Вам придётся ознакомиться с требованиями и особенностями каждого сервиса и сайта самостоятельно.
Ключи доступа могут работать не только в сервисах и на сайтах в интернете, но и в мобильных приложениях. Они могут применяться в важных приложениях вроде банковских, где необходима двухфакторная аутентификация. Ключом доступа можно разрешить проведение транзакций в платёжных приложениях вроде Paypal. Вы просто сканируете свой отпечаток пальца, и не потребуется вводить пин-код или что-то ещё.
Как защититься от потери ключа доступа?
Если вы забыли пароль, можно создать новый. Метод удобный, но не надёжный. Что будет, если смартфон или компьютер, где хранятся ключи доступа, вышли из строя или утрачены? Эти ключи есть только у вас, что является основой безопасности.
Соблюдайте меры предосторожности, чтобы не потерять ключ доступа и вместе с ним доступ к своему аккаунту. Если пользоваться смартфоном, вы будете защищены. На Android и iOS выполняется синхронизация ключей доступа, которые в зашифрованном виде хранятся в облаке. Если смартфон утерян или сломался, можно восстановить ключи доступа на другом устройстве, где вы выполните вход в свой аккаунт Google или Apple.
На компьютерах на Windows всё не так просто. Microsoft планирует предложить синхронизацию, но пока она есть только в предварительных версиях.
Аппаратное устройство Fido 2 с крипточипом тоже может работать как резервная копия. Вам придётся заранее сохранить ключи доступа на этом устройстве при помощи опции «Ключ безопасности».
Некоторые сетевые сервисы предлагают дополнительные возможности по двухфакторной аутентификации и восстановлению. Всё это нужно включить в настройках до того, как вы утратили ключ доступа.
Заключение
Облачная синхронизация ключей доступа имеет преимущество перед традиционной аппаратно-зависимой авторизацией Fido 2. Вам не потребуется создавать логин без пароля для каждого устройства.
В то же время система управления смартфона отвечает за создание резервной копии всех приватных ключей и позволяет восстановить их, если устройство сломается или будет утеряно. Если вы пользуетесь ключами доступа только на домашнем компьютере, можно хранить их здесь.
При этом нельзя забывать о создании опции восстановления. Ключами доступа можно управлять на Windows-компьютерах в приложении Параметры > Учётные записи > Параметры ключа доступа и на смартфонах на Android и iOS в системных настройках.