Ключи доступа (passkeys) имеют много преимуществ перед паролями для ИТ-подразделений. Пользовательский опыт также намного лучше.

Автор: Авиад Мизрахи, технический директор и соучредитель Frontegg
 
С ростом числа изощренных атак на критически важное программное обеспечение и инфраструктурные системы многофакторная аутентификация (MFA) стала необходимым уровнем защиты от несанкционированного доступа. Растущее число технологических приложений и платформ, ориентированных на предприятия и разработчиков, от GitHub до Salesforce и Amazon Web Services, делают MFA обязательной для пользователей.
 
Тем не менее, мы все привыкли к паролям, и многим людям нравится статус-кво. Неудивительно, что внедрение MFA добавило сложностей в процесс входа в систему. Это может негативно сказаться на работе пользователя.
 
В настоящее время все шире внедряется новая технология, которая может обеспечить еще большие преимущества в плане безопасности, чем MFA. Эта технология называется passkeys или ключи доступа. Основанная на общепринятых отраслевых стандартах, технология passkeys предлагает заманчивое обещание устранить необходимость в паролях и риски, связанные с ними, не создавая при этом дополнительных сложностей для пользователей, как MFA.
 
Другими словами, с помощью ключей доступа вы можете обеспечить высокую безопасность и удобство для пользователей — сочетание, которое до сих пор казалось практически невозможным.
 
Как passkeys устраняют пароли
 
Истоки ключей доступа можно проследить до разработки веб-аутентификации (WebAuthn), веб-стандарта, созданного консорциумом World Wide Web Consortium (W3C) и Альянсом FIDO. WebAuthn является ключевым компонентом проекта FIDO2, который был запущен с целью создания более безопасного и удобного стандарта аутентификации. Эти стандарты заложили основу для разработки ключей доступа, определив структуру криптографии с открытым ключом в качестве основы для аутентификации.
 
Хотя на согласование точных деталей ключей доступа у всех основных игроков отрасли ушли годы, сегодня Apple, Google, Microsoft и большинство других крупных технологических компаний либо поддерживают passkeys, либо планируют сделать это в течение ближайшего года. Все основные браузеры поддерживают ключи доступа, и все большее число число корпоративных и потребительских приложений тоже.
 
Passkeys используют криптографию с открытым ключом. Традиционные пароли основаны на секретной строке символов, известной как пользователю, так и серверу. В контрактах passkeys используют пару криптографических ключей: закрытый и открытый. Закрытый ключ надежно хранится на устройстве пользователя или в его браузере и никогда не используется совместно. Открытый ключ хранится на сервере службы или системы (например, в модуле аутентификации SaaS-приложения).
 
Когда пользователь пытается войти в систему, сервер отправляет запрос устройству или браузеру. Устройство или браузер пользователя подписывает запрос закрытым ключом и отправляет его обратно на сервер, который сверяет запрос с открытым ключом. Для получения пароля может потребоваться биометрический запрос, или он может просто сработать с устройства или браузера, не требуя от пользователя каких-либо действий вообще. Когда ключи доступа реализованы должным образом, можно исключить как пароли, так и MFA, и вход в систему становится совершенно безболезненным.
 
Преимущества passkeys по сравнению с паролями
 
Очевидно, что никому больше не нужно запоминать пароли, управлять ими и менять их местами, что само по себе является огромным плюсом. Но у ключей доступа есть и другие важные преимущества:
 
* Ключи доступа сложнее украсть. Поскольку закрытый ключ никогда не покидает устройство пользователя, хакерам значительно сложнее украсть учетные данные по сравнению с традиционными паролями. 
* Ключи доступа автоматически меняются. Поскольку это криптографический алгоритм, ключ доступа генерирует различный ответ на каждую попытку входа в систему. Это предотвращает повторные атаки и упрощает систему безопасности с нулевым доверием, делая повторную аутентификацию и непрерывную аутентификацию плавной и невидимой.
* Ключи доступа предотвращают фишинг и компрометацию деловой электронной почты. Динамически генерируемые ответы с паролями доступа также предотвращают фишинговые атаки и компрометацию деловой электронной почты (BEC), которые для получения доступа используют статические пароли, соответствующие учетной записи или именам пользователей.
* Ключи доступа исключают утечку пароля. Поскольку пароли не хранятся на сервере, риск массового взлома паролей практически исключен. Это значительно снижает риск киберпреступлений, связанных с паролями, в целом, а также снижает операционную нагрузку на и без того перегруженные команды ИТ-безопасности.
* Ключи доступа легко интегрируются с существующими надежными механизмами безопасности. Организации, заботящиеся о безопасности, давно внедрили строгие методы обеспечения безопасности, такие как коды динамической аутентификации, генерируемые приложениями для аутентификации, или аппаратные токены. Ключи доступа хорошо интегрируются с этими системами и могут использоваться в сочетании с приложениями для аутентификации и аппаратными ключами, на которых могут размещаться passkeys.
 
Ключи доступа по-прежнему сталкиваются с множеством проблем
 
Несмотря на многочисленные преимущества, ключи доступа сталкиваются с рядом проблем. Начнем с того, что пользователям удобно использовать пароли как нечто, что они могут видеть и легко изменять. Для многих возможность запоминать и повторно использовать пароли — это функция, а не недостаток. По нашему опыту, корпоративные ИТ-команды часто просят отключить ключи доступа и вернуться к стандартной MFA после того, как сталкиваются с противодействием пользователей. Обучение пользователей и их комфорт остаются ключевыми вопросами.
 
Но предприятия имеют право навязывать поведение. Для потребителей использование passkeys может оказаться более сложной задачей. Даже установка и запуск ключей доступа на устройствах Android и iPhone и в разных браузерах остается непростым действием. Сложностей добавляет потенциальная путаница с ключами доступа, поскольку пользователи хранят одни ключи доступа в своих кошельках, а другие — в связке ключей на устройстве.
 
Пользователи также опасаются сложностей, связанных с механизмами сброса ключей доступа в случае потери контроля над своим устройством. Другим пользователям не нравится использование биометрии, которая может добавить дополнительный уровень безопасности ключам доступа, а также удобный способ аутентификации пользователей при сбросе пароля.
 
Ключи доступа — будущее
 
Несмотря на то, что эти проблемы реальны, мы наблюдаем высокий спрос на passkeys, поскольку ИТ-организации стремятся обеспечить лучший пользовательский опыт без ущерба для безопасности. Когда ключи доступа работают правильно, пользователи перестают воспринимать вход в систему как препятствие, и исчезает одна из самых больших временных проблем для корпоративных ИТ-команд, освобождая команды с небольшим штатом сотрудников, чтобы сосредоточиться на более сложных вопросах. Пользователи также экономят время и нервы при сбросе паролей, а также при запутанном и болезненном управлении и смене паролей (которые были неотъемлемыми спутниками MFA при старом режиме). 
 
Итог: по мере того, как организации находят баланс между надежной безопасностью и положительным пользовательским опытом, ключи доступа становятся мощным решением. Используя passkeys, организации могут укрепить свою систему безопасности, одновременно улучшая удобство входа в систему для своих пользователей.
 
Ссылка на источник