Как настроить беспарольную авторизацию в интернете?

13
Аватар автора

Николай

спросил в Сообществе

Я стараюсь использовать разные пароли на разных сайтах, но их стало как-то слишком много. Хранить и помнить все не получается. Сейчас вроде бы потихоньку все переходят на беспарольную авторизацию. Расскажите подробнее, что это, как настроить и что вообще важно знать?

Аватар автора

Дмитрий Новик

больше не записывает пароли в блокнотик

Страница автора

Все больше сайтов и сервисов предлагают авторизоваться с помощью пин-кода или биометрии. Это удобнее, чем запоминать десятки паролей, требования к которым постоянно меняются.

Есть технология Passkey, она работает в большинстве популярных операционных систем и не требует сложной настройки. При этом у нее есть некоторые тонкости, которые надо учесть. Расскажу, что умеет Passkey и как ею пользоваться.

Что такое и как работает Passkey

Passkey — это технология, которая исключает пароль из процесса аутентификации и авторизации. Другими словами, вместо длинного и сложного пароля пользователю достаточно ввести пин-код, графический ключ или воспользоваться биометрией.

Технически это работает так: система создает ключ, который состоит из двух частей. Его закрытая, секретная, часть хранится на устройстве пользователя, а открытая — на сервере. Пользовательское устройство становится аутентификатором.

Если попытаться авторизоваться, сайт начнет искать подходящую половинку ключа на выбранном устройстве — чаще всего это смартфон — и предложит подтвердить личность пользователя через пин-код или биометрию  . Получается, секретный код или биометрические данные остаются на устройстве, а сайт только получает подтверждение, что у пользователя есть право войти.

Passkey не заменяет другие технологии ключей входа, а дополняет их. Например, Touch ID или Face ID работают в первую очередь как метод разблокировки устройства, но вместе с Passkey образуют дополнительный, понятный пользователю слой защиты.

Вход с помощью Passkey работает очень быстро — после ввода логина надо нажать «Продолжить» и воспользоваться Face ID или ввести пин‑код
Вход с помощью Passkey работает очень быстро — после ввода логина надо нажать «Продолжить» и воспользоваться Face ID или ввести пин‑код

Почему Passkey лучше обычных паролей

Если сильно упрощать, Passkey объединяет и унифицирует правила аутентификации для всех систем.

Пароли в компьютерах существуют уже больше 60 лет. Но споры об их оптимальности до сих пор не утихают. Разные сервисы предъявляют разные требования к паролям — и всем этим сложно управлять. Менеджеры паролей не сильно улучшают ситуацию: популярные программы взламывают, а пользователи забывают мастер-пароли, теряя доступ ко всей информации.

К тому же пароли требуют постоянного соблюдения «цифровой гигиены»: их нужно регулярно менять, соблюдать требования для разных сервисов и периодически проверять после массовых утечек.

На сайте haveibeenpwned.com можно проверить, не утекли ли ваши пароли. Важные пароли я обычно проверяю один раз в полгода или после новостей о крупных взломах
На сайте haveibeenpwned.com можно проверить, не утекли ли ваши пароли. Важные пароли я обычно проверяю один раз в полгода или после новостей о крупных взломах

Passkey дает техническую платформу, с помощью которой производители устройств, операционных систем и создатели сайтов могут сделать безопасную среду для пользователя. При этом самим разработчикам проще внедрить такое решение в свой продукт.

Преимущества Passkey перед обычными паролями:

  • Безопасность на техническом уровне. Даже если злоумышленник украдет закрытый ключ из памяти устройства, расшифровать его практически невозможно из-за стойкой системы шифрования.
  • Защита от фишинга. Passkey делает фишинг бессмысленным: пользователю больше не надо вводить логин и пароль, а значит, попасть на сайт-фальшивку уже не страшно. Коды и биометрические данные в итоге все равно остаются на устройстве.
  • Независимость от угроз для двухфакторной авторизации через СМС или звонок. Злоумышленники научились перехватывать сообщения и делать дубликаты симкарт, чтобы получить свободный доступ к сообщениям жертвы. Такой тип атак очень дорогой и пока не носит массового характера, но их число растет. В Passkey нет посредника в виде оператора связи со своими уязвимостями — значит, меньше вероятность взлома.
  • Универсальность. Устройством для хранения закрытого ключа может быть смартфон, компьютер, внешний носитель, браузер или менеджер паролей.

Ограничения Passkey. Для нормальной работы Passkey надо обновить прошивки и программы, например браузер, на всех устройствах, где планируется пользоваться технологией. Пока Passkey не всегда работает стабильно и есть риск не авторизоваться в системе в нужный момент.

Еще есть системные ограничения, которые могут показаться нелогичными. Для хранения закрытого ключа используется начинка операционной системы, а не какой-то отдельной программы. То есть ключ для Google Chrome в Windows будет синхронизироваться только для устройств на этой же операционной системе. А если у пользователя несколько устройств с разными ОС, придется создавать несколько ключей для каждого сервиса и экосистемы.

Удобнее всего пользоваться Passkey в одной экосистеме, например в сервисах Google, и на одном семействе операционных систем, чтобы не пришлось создавать разные ключи под каждый сервис. Связка из нескольких устройств на Windows и одного Айфона будет работать уже не так эффективно. Получится, что для устройств на Windows надо добавить свой ключ в сервисы, а для устройств Apple — свой. Каждый производитель операционных систем синхронизирует ключи через собственные серверы или облако.

Поддержка Passkey. Passkey пока поддерживает не все платформы и не все браузеры, но список постоянно обновляется. К инициативе присоединились Microsoft, Apple, Google, TikTok и другие популярные сервисы с миллионами пользователей.

Также Passkey осваивают производители менеджеров паролей. Разработчики популярного 1password встроили поддержку технологии в веб-версию своего сервиса. А еще у них есть отдельный сайт, где доступен список всех сервисов с Passkey.

На сегодняшний день Passkey удобнее всего пользоваться с помощью смартфона: разработчики мобильных платформ активно адаптируют свои ОС под новые технологии. Google, помимо этого, развивает Passkey в браузере Chrome.

Как пользоваться Passkey

Расскажу, как завести Passkey на примере экосистемы Google. Интерфейс практически одинаковый для всех устройств, поэтому пункты меню будут похожи.

Passkey в iOS и macOS. Порядок действий такой: запустить Safari и войти в Google → «Безопасность» → «Вход в Google» → «Ключи доступа». В новом окне программа проверит устройство. Создать ключ получится на устройствах под iOS 16, macOS 13, iPadOS 16 и tvOS 16 и старше.

Все современные браузеры, включая Safari, умеют определять устройство и давать заключение, можно ли подключить Passkey
Все современные браузеры, включая Safari, умеют определять устройство и давать заключение, можно ли подключить Passkey

Далее iOS создаст ключ стандартными методами операционной системы. Для iOS и macOS это связка ключей. Проверить, включена ли служба, можно по инструкции на сайте поддержки Apple.

Если все сделано правильно, при следующей авторизации в любом из сервисов Google система предложит пропустить ввод пароля. Это не строгое правило — в любой момент можно вернуться к стандартному методу аутентификации.

Если по каким‑то причинам пользователь захочет ввести пароль, надо нажать «Другой способ»
Если по каким‑то причинам пользователь захочет ввести пароль, надо нажать «Другой способ»

Passkey в Windows. Меню управления Passkey появилось в Windows 11 версии 22H2 в сентябре 2023 года. Более ранние версии работают без проблем, но управлять процессом удобнее в обновленной ОС.

Из браузеров для Windows лучше выбрать Chrome. У остальных могут быть проблемы с совместимостью. Сложности встречаются даже во встроенном Edge, который сделан на базе Chrome.

Для создания Passkey в Windows надо запустить браузер и войти в Google → «Безопасность» → «Вход в Google» → «Ключи доступа». Далее появится меню настройки Windows Hello. Это альтернатива Face ID и Touch ID от Apple — в ней также есть авторизация по короткому коду, чертам лица или отпечатку пальца.

На сайте Microsoft есть подробная инструкция по использованию и настройке сервиса, но, как правило, в полностью обновленной ОС Windows Hello работает по умолчанию.

Если пин-код уже задан, система попросит ввести его. Если пин-код задается впервые, необходимо сначала войти в учетную запись Microsoft.

Обязательные требования к пин‑коду минимальные — 4 цифры, но я рекомендую остановиться на 8⁠—⁠10 символах без повтора двух одинаковых цифр подряд
Обязательные требования к пин‑коду минимальные — 4 цифры, но я рекомендую остановиться на 8⁠—⁠10 символах без повтора двух одинаковых цифр подряд

Важный момент: для более надежного аппаратного шифрования Windows требует материнскую плату с поддержкой доверенного платформенного модуля TPM. Проблема в том, что такие устройства официально не поставляются в Россию, так как шифрование не одобрено контролирующими органами. При этом платы все равно можно найти в продаже.

Без физического модуля Windows Hello тоже будет работать, но шифрование станет программным. То есть криптографические преобразования информации происходят в самой операционной системе, а не в отдельном модуле материнской платы.

В теории такую систему проще взломать, но в интернете нет информации об успешных случаях. Достаточно вовремя обновлять ОС, и можно быть спокойным за собственные данные.

В Windows при создании Passkey порой встречаются небольшие проблемы. Например, не сразу создается пин-код, но при этом система не поясняет, что именно пошло не так. Помогают повторные попытки, а успешной может оказаться только третья или четвертая.

Сначала мой ПК не прошел проверку на совместимость, а браузер не сообщил конкретную проблему. Все заработало после обновления Chrome до самой свежей версии
Сначала мой ПК не прошел проверку на совместимость, а браузер не сообщил конкретную проблему. Все заработало после обновления Chrome до самой свежей версии

После добавления ключей проблем с авторизацией обычно не возникает. Процесс занимает считаные секунды и всегда срабатывает с первого раза. Ошибка при входе может возникнуть разве что из-за нестабильного интернета.

Passkey на Android. Для беспарольного входа нужна версия ОС 9 и выше. Создание Passkey не отличается от других платформ, но на Android есть предустановленное приложение Google. Порядок действий такой: открыть «Управление аккаунтом Google» → «Безопасность» → «Вход в Google» → «Ключи доступа».

В октябре 2023 года разработчики «Вотсапа» тоже объявили о появлении Passkey в своем мессенджере. Функция работает в бета-версии, а для всех станет доступна в течение нескольких месяцев. Соответствующий пункт появится в настройках.

Passkey на сайтах. Беспарольная авторизация впервые появилась именно на сайтах. Для этого применяют технологию WebAuthn. Иногда ее считают конкурентом Passkey, но это не так.

WebAuthn используется для сайтов и позволяет создать секретный, закрытый ключ на USB, NFC или блютус-носителе. Технологии дополняют друг друга. Passkey позволила передавать в облако производителя данные о паролях, чтобы они синхронизировались в одних типах операционных систем. А чтобы пользователи не запутались, разработчики называют все методы беспарольной авторизации Passkey.

Беспарольная аутентификация хорошо работает на множестве сайтов. Пример — сайт муниципальных услуг Москвы. Чтобы настроить вход без пароля, необходимо зайти на сайт через Safari на iOS или Chrome на Android. Система сама предложит создать ключ Passkey.

В сообщении упоминается только Face ID или Touch ID, но работает и простая авторизация по пин‑коду и отпечатку пальца в ОС Android
В сообщении упоминается только Face ID или Touch ID, но работает и простая авторизация по пин‑коду и отпечатку пальца в ОС Android

Далее система проверяет, включена ли функция создания связки ключей для iOS, а для Android по умолчанию предложит использовать смартфон для хранения ключа. Процесс записи ключа происходит почти мгновенно.

При следующем входе в систему сайт по умолчанию будет предлагать Passkey как приоритетный способ авторизации для смартфонов. Если ключ записан на внешний носитель, его нужно будет подключить. Проверить ключи или удалить ненужные можно там же, где обычный пароль, — в меню настроек конфиденциальности и безопасности сайта.

На mos.ru можно добавить несколько устройств под управлением разных ОС
На mos.ru можно добавить несколько устройств под управлением разных ОС

Что в итоге

Passkey заменяет пароли, но обязательно работает вместе еще с какой-то технологией входа. Например, Face-ID, отпечатком пальца или пин-кодом.

Passkey не отменяет пароль полностью. Последний может понадобиться в крайнем случае, если что-то сломалось и войти в сервис по ключу доступа не получается.

Сейчас для каждой экосистемы нужна своя связка ключей, но разработчики менеджеров паролей внедряют Passkey, чтобы обойти это ограничение.

Passkey давно есть в популярных ОС, но в свежих версиях появляются удобные инструменты управления технологией.

Пока Passkey поддерживается только определенными сервисами, но многие разработчики намереваются внедрить технологию.

Дмитрий НовикГде вы обычно храните свои пароли?
  • Udi ErzaYubiKey NEO - только аппаратный токен, только хардкор!1
  • Дмитрий НовикRoman, е, железная безопасность.1
  • Гога> Технически это работает так: система создает ключ, который состоит из двух частей. Его закрытая, секретная, часть хранится на устройстве пользователя, а открытая — на сервере. Пользовательское устройство становится аутентификатором. Старое доброе асимметричное шифрование ) SSH, HTTPS с клиентским сертификатом.2
  • СергейНу и помнить, что теперь злоумышленнику потребуется лишь узнать короткий пин-код, что бы получить доступ к всем вашим паролям )))1
  • Антон КазанцевА на каких сайтах вы ещё сидите?) может ещё что полезного узнаю0
  • Дмитрий НовикСергей, технология работает не так. Она не хранит и не раскрывает пароли. К тому же, как минимум надо устройство-аутентифкатор как-то заполучить. А это уже, простите, совершенно другая безопасность.0
  • СергейДмитрий, как "не так"? ))) ...Другими словами, вместо длинного и сложного пароля пользователю достаточно ввести пин-код, графический ключ... Все верно? Меняем "пользователь" на "злоумышленник"...0
  • Дмитрий НовикСергей, меняете, и что? Вы понимаете, что пароль из системы не удаляется? Он остаётся, но появляется дополнительная защита в виде пина или другой идентификации на устройстве. Если у вас passkey в Google, то вы не сможете с пином, например, от телефона зайти с любого другого устройства в аккаунт Google.0
  • Антон КазанцевА смысл теперь от физических ключей есть? Уже появился новый способ, а до сих пор ключ физический стоит бешенных денег0
  • Евгений ЛогвиненкоЧестно, не самая понятная статья, хоть и полезная. Пойду гуглить другие статьи на эту тему.0
  • Дмитрий НовикЕвгений, а какой момент вы не поняли?0
  • Hitai Sin1. Что будет если устройство с приватной половиной ключа утеряно/сломано? Оставшаяся публичная половина доступ не вернёт. 2. Если завести запасной смартфон. И на нём продублировать нужные приложения. Что тогда? Там будет вторая связка passkey?0
  • NickНе совсем понимаю: iOS пишет что для сохранения ключа в обязательном порядке требуется включить на айфоне "Связка ключей Icloud". В таком случае вместе с ключом passkey в icloud выгрузятся все ранее сохраненные пароли на устройстве. А я вот предположим не хочу выгружать все свои пароли в Icloud и предпочитаю хранить их только на своем устройстве? Как быть? Ведь ничто не мешает IOS при создании ключа сохранить его сразу только на айфоне, не выгружая в свое облачко.0