Введение
Ключи доступа — более безопасная и простая альтернатива паролям. С помощью ключей доступа пользователи могут входить в приложения и на веб-сайты с помощью биометрического датчика (например, отпечатка пальца или распознавания лица), PIN-кода или шаблона, освобождая их от необходимости запоминать пароли и управлять ими.
И разработчики, и пользователи ненавидят пароли: они усложняют взаимодействие с пользователем, усложняют конверсию и создают ответственность за безопасность как для пользователей, так и для разработчиков. Диспетчер паролей Google в Android и Chrome упрощает работу за счет автозаполнения; для разработчиков, стремящихся к дальнейшему улучшению преобразования и безопасности, современные подходы в отрасли — ключи доступа и федерация удостоверений.
Ключ доступа может соответствовать требованиям многофакторной аутентификации за один шаг, заменяя как пароль, так и одноразовый пароль (например, 6-значный код SMS), обеспечивая надежную защиту от фишинговых атак и избегая проблем с пользовательским интерфейсом, связанных с SMS или одноразовыми паролями на основе приложений. Поскольку ключи доступа стандартизированы, единая реализация обеспечивает работу без пароля на всех устройствах пользователей, в разных браузерах и операционных системах.
Ключи проще:
- Пользователи могут выбрать учетную запись для входа. Вводить имя пользователя не требуется.
- Пользователи могут пройти аутентификацию с помощью блокировки экрана устройства, например датчика отпечатков пальцев, распознавания лиц или PIN-кода.
- После создания и регистрации ключа доступа пользователь может легко переключиться на новое устройство и немедленно использовать его без необходимости повторной регистрации (в отличие от традиционной биометрической аутентификации, которая требует настройки на каждом устройстве).
Ключи доступа безопаснее:
- Разработчики сохраняют на сервере только открытый ключ вместо пароля, а это означает, что злоумышленнику гораздо меньше пользы от взлома серверов и гораздо меньше усилий по очистке в случае взлома.
- Ключи доступа защищают пользователей от фишинговых атак. Ключи доступа работают только на зарегистрированных веб-сайтах и в приложениях; пользователя невозможно обманом заставить пройти аутентификацию на мошенническом сайте, поскольку проверку осуществляет браузер или операционная система.
- Ключи доступа сокращают затраты на отправку SMS, делая их более безопасным и экономичным средством двухфакторной аутентификации.
Что такое ключи доступа?
Ключ доступа — это цифровые учетные данные, привязанные к учетной записи пользователя и веб-сайту или приложению. Ключи доступа позволяют пользователям проходить аутентификацию без необходимости ввода имени пользователя или пароля или предоставления какого-либо дополнительного фактора аутентификации. Эта технология призвана заменить устаревшие механизмы аутентификации, такие как пароли .
Когда пользователь хочет войти в службу, использующую ключи доступа, его браузер или операционная система помогут ему выбрать и использовать правильный ключ доступа. Этот опыт аналогичен тому, как сегодня работают сохраненные пароли. Чтобы убедиться, что только законный владелец может использовать пароль, система попросит его разблокировать устройство. Это можно выполнить с помощью биометрического датчика (например, отпечатка пальца или распознавания лица), PIN-кода или рисунка.
Чтобы создать ключ доступа для веб-сайта или приложения, пользователь сначала должен зарегистрироваться на этом веб-сайте или в приложении.
- Зайдите в приложение и авторизуйтесь существующим способом входа.
- Нажмите кнопку «Создать ключ доступа» .
- Проверьте информацию, сохраненную с новым ключом доступа.
- Используйте разблокировку экрана устройства, чтобы создать ключ доступа.
Когда они возвращаются на этот веб-сайт или в приложение для входа в систему, они могут предпринять следующие шаги:
- Зайдите в приложение.
- Нажмите на поле имени учетной записи, чтобы отобразить список ключей доступа в диалоговом окне автозаполнения.
- Выберите их ключ доступа.
- Используйте разблокировку экрана устройства, чтобы завершить вход.
Устройство пользователя генерирует подпись на основе ключа доступа. Эта подпись используется для проверки учетных данных для входа между источником и ключом доступа.
Пользователь может войти в службы на любом устройстве, используя ключ доступа, независимо от того, где он хранится. Например, пароль, созданный на мобильном телефоне, можно использовать для входа на веб-сайт на отдельном ноутбуке.
Как работают ключи доступа?
Ключи доступа предназначены для использования в инфраструктуре операционной системы, которая позволяет менеджерам ключей доступа создавать, резервировать и предоставлять ключи доступа приложениям, работающим в этой операционной системе. На Android ключи доступа можно хранить в диспетчере паролей Google , который синхронизирует ключи доступа между устройствами Android пользователя, на которых выполнен вход в одну и ту же учетную запись Google. Ключи доступа надежно шифруются на устройстве перед синхронизацией, и их необходимо расшифровать на новых устройствах. Пользователи с ОС Android 14 или более поздней версии могут хранить свои ключи доступа в совместимом стороннем менеджере паролей.
Пользователи не ограничены в использовании ключей доступа только на том устройстве, где они доступны: ключи доступа, доступные на телефонах, можно использовать при входе в систему с помощью ноутбука, даже если ключ доступа не синхронизирован с ноутбуком, если телефон рядом с ноутбуком, и пользователь подтверждает вход на телефоне. Поскольку ключи доступа созданы на основе стандартов FIDO , их могут использовать все браузеры.
Например, пользователь посещает example.com
в браузере Chrome на своем компьютере под управлением Windows. Этот пользователь ранее входил на example.com
на своем устройстве Android и сгенерировал ключ доступа. На компьютере с Windows пользователь решает войти в систему с помощью ключа доступа с другого устройства. Два устройства соединятся, и пользователю будет предложено одобрить использование своего ключа доступа на устройстве Android, например, с помощью датчика отпечатков пальцев. После этого они входят в систему на компьютере с Windows. Обратите внимание, что сам ключ доступа не переносится на компьютер с Windows, поэтому обычно example.com
предлагает создать там новый ключ доступа. Таким образом, телефон не потребуется в следующий раз, когда пользователь захочет войти в систему. Прочтите Вход с помощью телефона, чтобы узнать больше.
Кто использует ключи доступа?
Ряд сервисов уже используют пароли в своих системах.
- Документация
- Каяк
- Меркари
- НТТ Докомо
- PayPal
- Shopify
- Yahoo! ЯПОНИЯ
Попробуй сам
Вы можете попробовать ключи доступа в этой демонстрации: https://passkeys-demo.appspot.com/
Соображения конфиденциальности
- Потому что вход с использованием биометрических данных может создать у пользователей ложное впечатление, что на сервер отправляется конфиденциальная информация. На самом деле биометрический материал никогда не покидает личное устройство пользователя.
- Ключи доступа сами по себе не позволяют отслеживать пользователей или устройства между сайтами. Один и тот же ключ доступа никогда не используется более чем на одном сайте. Протоколы ключей тщательно разработаны таким образом, чтобы никакая информация, передаваемая сайтам, не могла использоваться в качестве вектора отслеживания.
- Менеджеры ключей защищают ключи от несанкционированного доступа и использования. Например, диспетчер паролей Google обеспечивает сквозное шифрование секретных ключей . Только пользователь может получить к ним доступ и использовать их, и хотя их резервные копии хранятся на серверах Google, Google не может использовать их для выдачи себя за пользователей.
Соображения безопасности
- Ключи доступа используют криптографию с открытым ключом . Криптография с открытым ключом снижает угрозу потенциальной утечки данных. Когда пользователь создает ключ доступа к сайту или приложению, на устройстве пользователя создается пара открытого и закрытого ключей. На сайте хранится только публичный ключ, но сам по себе он бесполезен для злоумышленника. Злоумышленник не может получить закрытый ключ пользователя из данных, хранящихся на сервере, который необходим для завершения аутентификации.
- Поскольку ключи доступа привязаны к личности веб-сайта или приложения, они защищены от фишинговых атак. Браузер и операционная система гарантируют, что ключ доступа можно будет использовать только с веб-сайтом или приложением, которое их создало. Это освобождает пользователей от ответственности за вход на подлинный веб-сайт или приложение.
Получить уведомление
Подпишитесь на новостную рассылку для разработчиков ключей доступа Google , чтобы получать уведомления об обновлениях ключей доступа.