Почему ключи доступа более безопасны, чем любой пароль

«Будущее будет без паролей», — заявила Google еще в 2022 году. Сейчас интернет-гигант предпринимает активные шаги по отмене паролей. Любой, кто захочет в будущем войти в сервисы Google, например, Gmail или YouTube, по умолчанию будет использовать ключ доступа.
Ключ доступа — это метод входа в систему, который не требует пароля. Вместо этого пользователь идентифицирует себя на своем мобильном телефоне, используя сканер отпечатков пальцев, распознавание лиц, ввод PIN-кода или графического ключа. Также можно использовать сканеры отпечатков пальцев на ноутбуках и ПК. Существуют USB-ключи безопасности, которые можно подключить к компьютеру. Также можно войти в ноутбук и компьютер с помощью смартфона. Для этого необходимо отсканировать QR-код с экрана.

Более безопасно, чем пароли

Но почему Google хочет отменить пароли? Компания называет безопасность основной причиной такого шага. Многие люди используют небезопасные пароли: они слишком короткие, недостаточно сложные или для нескольких сервисов используется один и тот же пароль. Специальные инструменты автоматически создают сложные пароли и сохраняют их, чтобы не приходилось запоминать. Однако большая часть населения не пользуется менеджерами паролей и предпочитает полагаться на свою память.
Если пользователь настраивает специальную систему с ключами безопасности в приложении или на сайте, создаются 2 ключа. Один из них, открытый ключ, попадает в то место, где человек входит в систему. Это решение предназначено специально для сайта и работает только там. Второй, закрытый ключ, находится на устройстве пользователя.
Два ключа криптографически связаны. При входе на сайт на устройство отправляется зашифрованная подпись из открытого ключа. Его можно расшифровать с помощью закрытого ключа, тем самым подтвердив личность.

Фишинг невозможен

Преимущество этого процесса заключается в том, что преступники не смогут ничего сделать с открытым ключом в случае взлома, поскольку он напрямую связан только с сайтом. Закрытый ключ никогда не передается третьей стороне. Чтобы получить его, хакерам потребуется полный контроль над устройством. При каждом входе в систему переносится только подпись. Ее перехват бесполезен для злоумышленников.
Ключи доступа исключают риск кражи паролей: либо с самих сайтов, либо от пользователей посредством фишинга. Преступники пытаются получить пароли клиентов, используя фейковые электронные письма от банков или служб доставки посылок.

Более удобный вход

Google упоминает удобство в качестве еще одного преимущества использования ключей. Пользователю больше не нужно запоминать пароли, и поэтому он может войти в систему быстрее. По данным Google, вход в сервис с помощью Passkey занимает около 15 секунд. С классическим паролем этот процесс занимает в два раза больше времени. Вероятность успешного входа в сервис также значительно выше с помощью Passkey.
Как и обычные пароли, ключи доступа можно синхронизировать на нескольких устройствах и даже передавать другим пользователям.

Заключение

Так неужели пароли уходят в прошлое? Пока существуют сайты, которые не предлагают метод доступа с помощью Passkey, пароль не исчезнет. На данный момент лишь несколько приложений и сервисов предлагают этот метод входа в систему. За внедрением Passkey стоят крупные технологические компании, такие как Google, Apple и Microsoft.