Как работает технология Passkey и на сколько эффективно она защищает данные

Как работает технология Passkey

Почти на каждом сервисе нужно вводить логин с паролем. Иногда лучше сразу кликнуть на восстановление данных, чем пытаться вспомнить информацию для входа. Однако есть технология, позволяющая облегчить жизнь, оставаясь в безопасности. О том, что такое Passkey, и почему за ней будущее, далее.

Что такое Passkey?

Обновленный стандарт был разработан альянсом FIDO в сотрудничестве с сетью крупных технологических организаций - Apple, Google, Microsoft. Впервые технология была представлена в 2022 году и внедрена в крупнейшие операционные системы. Ее популярность растет и сегодня она поддерживается браузерами Google Chrome, Safari, Microsoft Edge.

Суть новинки состоит в двух криптографических ключей, генерируемых автоматикой:

Публичный - регистрируемый и сохраняемый на сайте, в приложении.
Приватный - записываемый на носителе, доступный только собственнику.

Запрос на новую сессию осуществляется по приватному каналу с телефона или планшетного компьютера. После этого сервис сайта или приложения проверяет вход. Операции происходят автоматически и мгновенно. Используя приватный код, требуется подтверждение о прохождении операции владельцем. Для этого нужен PIN телефона или компьютера или биометрическая информация. Подтверждение личности происходит локальным образом. Сведения для аутентификации не отправляются по сети посредством внешних серверов. За счет этого их нереально похитить.

Достоинства технологии

Новинка лучше классических паролей и двухфакторной аутентификации за счет функциональных особенностей:

Стойкость к фишинговой деятельности. Ключ привязывается к конкретному ресурсу. Если пользователь оказывается на фишинговой копии, то телефон не будет по приватному ключу сопрягаться с ним, поскольку домен будет отличаться.
Защищенность от хакеров. Приватный код никуда не передается, не сохраняется на внешнем носителе. Если злоумышленник получит доступ к информационной базе, он все равно не сможет похитить учетную информацию.
Исключение вторичного применения и подбора цифр. Невозможно узнать код путем подбора или перехвата из переписки. Также исключается риск, что одна и та же комбинация применима для авторизации в пользовательских аккаунтах на различных ресурсах.

Плюс также в том, что ключ можно использовать сразу в нескольких устройствах.

Будущее Passkey

Если у классических паролей наблюдается низкая безопасность, то у Passkey такая проблема минимальна. Даже если человек устанавливает разные пароли на сайтах, не хранит их на браузере, не использует простые коды, не переходит по фишинговым ссылкам, все равно теряются данные. К тому же, обычные пароли запоминать тяжело, записывать их и хранить даже опасно. Вход на сервисы потому занимает часто больше 10 минут.

За технологией будущее. Она уже внедряется в крупные платформы, быстро растет. Это связано с тем, что новинка исключает множество рисков по безопасности. Тем не менее, стоит принимать во внимание, что злоумышленникам все еще доступно похищение личного телефона или компьютера. Также риск повышается, когда человек хранит несколько ключей на едином компьютере. Для использования разных учетных записей и сохранения надежной защиты требуется несколько гаджетов.