Как настроить беспарольную авторизацию в интернете?

Все больше сайтов и сервисов предлагают авторизоваться с помощью пин-кода или биометрии. Это удобнее, чем запоминать десятки паролей, требования к которым постоянно меняются.

Есть технология Passkey, она работает в большинстве популярных операционных систем и не требует сложной настройки. При этом у нее есть некоторые тонкости, которые надо учесть. Расскажу, что умеет Passkey и как ею пользоваться.

Passkey — это технология, которая исключает пароль из процесса аутентификации и авторизации. Другими словами, вместо длинного и сложного пароля пользователю достаточно ввести пин-код, графический ключ или воспользоваться биометрией.

Технически это работает так: система создает ключ, который состоит из двух частей. Его закрытая, секретная, часть хранится на устройстве пользователя, а открытая — на сервере. Пользовательское устройство становится аутентификатором.

Если попытаться авторизоваться, сайт начнет искать подходящую половинку ключа на выбранном устройстве — чаще всего это смартфон — и предложит подтвердить личность пользователя через пин-код или биометрию  . Получается, секретный код или биометрические данные остаются на устройстве, а сайт только получает подтверждение, что у пользователя есть право войти.

Passkey не заменяет другие технологии ключей входа, а дополняет их. Например, Touch ID или Face ID работают в первую очередь как метод разблокировки устройства, но вместе с Passkey образуют дополнительный, понятный пользователю слой защиты.

Если сильно упрощать, Passkey объединяет и унифицирует правила аутентификации для всех систем.

Пароли в компьютерах существуют уже больше 60 лет. Но споры об их оптимальности до сих пор не утихают. Разные сервисы предъявляют разные требования к паролям — и всем этим сложно управлять. Менеджеры паролей не сильно улучшают ситуацию: популярные программы взламывают, а пользователи забывают мастер-пароли, теряя доступ ко всей информации.

К тому же пароли требуют постоянного соблюдения «цифровой гигиены»: их нужно регулярно менять, соблюдать требования для разных сервисов и периодически проверять после массовых утечек.

Passkey дает техническую платформу, с помощью которой производители устройств, операционных систем и создатели сайтов могут сделать безопасную среду для пользователя. При этом самим разработчикам проще внедрить такое решение в свой продукт.

Преимущества Passkey перед обычными паролями:

• Безопасность на техническом уровне. Даже если злоумышленник украдет закрытый ключ из памяти устройства, расшифровать его практически невозможно из-за стойкой системы шифрования.
• Защита от фишинга. Passkey делает фишинг бессмысленным: пользователю больше не надо вводить логин и пароль, а значит, попасть на сайт-фальшивку уже не страшно. Коды и биометрические данные в итоге все равно остаются на устройстве.
• Независимость от угроз для двухфакторной авторизации через СМС или звонок. Злоумышленники научились перехватывать сообщения и делать дубликаты симкарт, чтобы получить свободный доступ к сообщениям жертвы. Такой тип атак очень дорогой и пока не носит массового характера, но их число растет. В Passkey нет посредника в виде оператора связи со своими уязвимостями — значит, меньше вероятность взлома.
• Универсальность. Устройством для хранения закрытого ключа может быть смартфон, компьютер, внешний носитель, браузер или менеджер паролей.

Ограничения Passkey. Для нормальной работы Passkey надо обновить прошивки и программы, например браузер, на всех устройствах, где планируется пользоваться технологией. Пока Passkey не всегда работает стабильно и есть риск не авторизоваться в системе в нужный момент.

Еще есть системные ограничения, которые могут показаться нелогичными. Для хранения закрытого ключа используется начинка операционной системы, а не какой-то отдельной программы. То есть ключ для Google Chrome в Windows будет синхронизироваться только для устройств на этой же операционной системе. А если у пользователя несколько устройств с разными ОС, придется создавать несколько ключей для каждого сервиса и экосистемы.

Удобнее всего пользоваться Passkey в одной экосистеме, например в сервисах Google, и на одном семействе операционных систем, чтобы не пришлось создавать разные ключи под каждый сервис. Связка из нескольких устройств на Windows и одного Айфона будет работать уже не так эффективно. Получится, что для устройств на Windows надо добавить свой ключ в сервисы, а для устройств Apple — свой. Каждый производитель операционных систем синхронизирует ключи через собственные серверы или облако.

Поддержка Passkey. Passkey пока поддерживает не все платформы и не все браузеры, но список постоянно обновляется. К инициативе присоединились Microsoft, Apple, Google, TikTok и другие популярные сервисы с миллионами пользователей.

Также Passkey осваивают производители менеджеров паролей. Разработчики популярного 1password встроили поддержку технологии в веб-версию своего сервиса. А еще у них есть отдельный сайт, где доступен список всех сервисов с Passkey.

На сегодняшний день Passkey удобнее всего пользоваться с помощью смартфона: разработчики мобильных платформ активно адаптируют свои ОС под новые технологии. Google, помимо этого, развивает Passkey в браузере Chrome.

Расскажу, как завести Passkey на примере экосистемы Google. Интерфейс практически одинаковый для всех устройств, поэтому пункты меню будут похожи.

Passkey в iOS и macOS. Порядок действий такой: запустить Safari и войти в Google → «Безопасность» → «Вход в Google» → «Ключи доступа». В новом окне программа проверит устройство. Создать ключ получится на устройствах под iOS 16, macOS 13, iPadOS 16 и tvOS 16 и старше.

Далее iOS создаст ключ стандартными методами операционной системы. Для iOS и macOS это связка ключей. Проверить, включена ли служба, можно по инструкции на сайте поддержки Apple.

Если все сделано правильно, при следующей авторизации в любом из сервисов Google система предложит пропустить ввод пароля. Это не строгое правило — в любой момент можно вернуться к стандартному методу аутентификации.

Passkey в Windows. Меню управления Passkey появилось в Windows 11 версии 22H2 в сентябре 2023 года. Более ранние версии работают без проблем, но управлять процессом удобнее в обновленной ОС.

Из браузеров для Windows лучше выбрать Chrome. У остальных могут быть проблемы с совместимостью. Сложности встречаются даже во встроенном Edge, который сделан на базе Chrome.

Для создания Passkey в Windows надо запустить браузер и войти в Google → «Безопасность» → «Вход в Google» → «Ключи доступа». Далее появится меню настройки Windows Hello. Это альтернатива Face ID и Touch ID от Apple — в ней также есть авторизация по короткому коду, чертам лица или отпечатку пальца.

На сайте Microsoft есть подробная инструкция по использованию и настройке сервиса, но, как правило, в полностью обновленной ОС Windows Hello работает по умолчанию.

Если пин-код уже задан, система попросит ввести его. Если пин-код задается впервые, необходимо сначала войти в учетную запись Microsoft.

Важный момент: для более надежного аппаратного шифрования Windows требует материнскую плату с поддержкой доверенного платформенного модуля TPM. Проблема в том, что такие устройства официально не поставляются в Россию, так как шифрование не одобрено контролирующими органами. При этом платы все равно можно найти в продаже.

Без физического модуля Windows Hello тоже будет работать, но шифрование станет программным. То есть криптографические преобразования информации происходят в самой операционной системе, а не в отдельном модуле материнской платы.

В теории такую систему проще взломать, но в интернете нет информации об успешных случаях. Достаточно вовремя обновлять ОС, и можно быть спокойным за собственные данные.

В Windows при создании Passkey порой встречаются небольшие проблемы. Например, не сразу создается пин-код, но при этом система не поясняет, что именно пошло не так. Помогают повторные попытки, а успешной может оказаться только третья или четвертая.

После добавления ключей проблем с авторизацией обычно не возникает. Процесс занимает считаные секунды и всегда срабатывает с первого раза. Ошибка при входе может возникнуть разве что из-за нестабильного интернета.

Passkey на Android. Для беспарольного входа нужна версия ОС 9 и выше. Создание Passkey не отличается от других платформ, но на Android есть предустановленное приложение Google. Порядок действий такой: открыть «Управление аккаунтом Google» → «Безопасность» → «Вход в Google» → «Ключи доступа».

В октябре 2023 года разработчики «Вотсапа» тоже объявили о появлении Passkey в своем мессенджере. Функция работает в бета-версии, а для всех станет доступна в течение нескольких месяцев. Соответствующий пункт появится в настройках.

Passkey на сайтах. Беспарольная авторизация впервые появилась именно на сайтах. Для этого применяют технологию WebAuthn. Иногда ее считают конкурентом Passkey, но это не так.

WebAuthn используется для сайтов и позволяет создать секретный, закрытый ключ на USB, NFC или блютус-носителе. Технологии дополняют друг друга. Passkey позволила передавать в облако производителя данные о паролях, чтобы они синхронизировались в одних типах операционных систем. А чтобы пользователи не запутались, разработчики называют все методы беспарольной авторизации Passkey.

Беспарольная аутентификация хорошо работает на множестве сайтов. Пример — сайт муниципальных услуг Москвы. Чтобы настроить вход без пароля, необходимо зайти на сайт через Safari на iOS или Chrome на Android. Система сама предложит создать ключ Passkey.

Далее система проверяет, включена ли функция создания связки ключей для iOS, а для Android по умолчанию предложит использовать смартфон для хранения ключа. Процесс записи ключа происходит почти мгновенно.

При следующем входе в систему сайт по умолчанию будет предлагать Passkey как приоритетный способ авторизации для смартфонов. Если ключ записан на внешний носитель, его нужно будет подключить. Проверить ключи или удалить ненужные можно там же, где обычный пароль, — в меню настроек конфиденциальности и безопасности сайта.

Passkey заменяет пароли, но обязательно работает вместе еще с какой-то технологией входа. Например, Face-ID, отпечатком пальца или пин-кодом.

Passkey не отменяет пароль полностью. Последний может понадобиться в крайнем случае, если что-то сломалось и войти в сервис по ключу доступа не получается.

Сейчас для каждой экосистемы нужна своя связка ключей, но разработчики менеджеров паролей внедряют Passkey, чтобы обойти это ограничение.

Passkey давно есть в популярных ОС, но в свежих версиях появляются удобные инструменты управления технологией.

Пока Passkey поддерживается только определенными сервисами, но многие разработчики намереваются внедрить технологию.