Глоссарий
Что такое passkey? Беспарольный вход, у которого нечего красть
Passkey — это вход без общего секрета: устройство подписывает данные закрытым ключом, а сервер хранит только открытый. Утечкой нельзя воспользоваться, а на поддельном сайте вход не сработает — устойчивость к фишингу. Чем passkey лучше паролей.
«Перестаньте пользоваться паролями, которые можно украсть» — именно это даёт passkey. Вот как он работает и чем отличается от паролей и SMS-кодов (без шагов атаки).
Как это работает: секрет никогда не покидает устройство
Passkey работает на криптографии с открытым ключом (стандарт FIDO2 / WebAuthn). При регистрации ваше устройство создаёт пару ключей и передаёт серверу только открытый ключ. При входе вы просто подписываете «challenge» сервера закрытым ключом на вашем устройстве и отправляете ответ обратно. Закрытый ключ никогда не покидает защищённое хранилище устройства.
Пароль
вы и сервер делите один секрет. украдут, если сервер утечёт или вы введёте его на поддельном сайте
Passkey
закрытый ключ остаётся только на устройстве. сервер хранит открытый ключ = бесполезен при утечке
«У сервера есть только открытый ключ» — вот что важно. Открытый ключ по определению можно публиковать, поэтому даже при утечке базы данных по нему одному войти нельзя (противоположная предпосылка по сравнению с хранением паролей → что такое хеширование).
Чем он отличается от пароля + SMS
Пароль + SMS-код
- Общий секрет (пароль) может утечь / распространяется через повторное использование
- Введёте его на поддельном сайте — и код тоже будет ретранслирован
- Обычно полагается на «я распознаю подделку»
Passkey
- Нет общего секрета = красть нечего
- Подпись привязана к домену = на поддельном сайте не завершится
- Блокирует поддельный сайт по конструкции, даже если пользователь не заметит
Фишинг с злоумышленником посередине (AiTM) ретранслирует правильный код вместе со всем остальным, даже если вы аккуратно его вводите (→ что такое фишинг). Поскольку подпись passkey привязана к домену, этот путь закрыт в принципе.
Мнение этого сайта: не нужно заменять всё сразу
Passkey мощны, но сегодня не обязательно переводить каждый аккаунт полностью на беспарольный вход. Наша позиция: мигрируйте сначала важные аккаунты. Добавьте passkey к «ключевым» аккаунтам — почта, облако, хранилище вашего менеджера паролей — и настройте восстановление (регистрация на нескольких устройствах, резервная копия). Для сервисов, где остаётся пароль, защищайте их менеджером паролей и устойчивой к фишингу MFA, а затем переходите на passkey по мере того, как каждый сервис добавляет поддержку.
Читать дальше
- Обучение: как выбрать менеджер паролей (он также хранит/синхронизирует passkey)
- Двухфакторность: как правильно выбрать MFA (что значит устойчивость к фишингу)
- Как это работает: как безопасно хранить пароли / Глоссарий: что такое фишинг
FAQ
QЧем passkey отличается от пароля?
Пароль — это секретная строка, которую вы делите с сервером, поэтому ею может воспользоваться любой, кто её получит. У passkey нет общего секрета. Ваше устройство подписывает данные хранящимся у него закрытым ключом, а сервер хранит только соответствующий открытый ключ. Красть нечего: даже если сервер взломан, по одному открытому ключу войти нельзя — в этом фундаментальное отличие.
QПочему passkey устойчив к фишингу?
Подпись passkey привязана к тому, для какого сайта (домена) она предназначена. Если поддельный сайт попытается заставить вас войти, домен не совпадёт, и подпись просто не завершится. Даже если пользователь так и не заметит подделку, она не сработает по своей конструкции — в отличие от пароля + SMS-кода, которые злоумышленник посередине может ретранслировать целиком.
QЕсли я потеряю устройство, останусь ли заблокированным?
В большинстве случаев passkey резервируются через облачную синхронизацию ОС или менеджера паролей и работают на других устройствах (синхронизируемые passkey). Безопаснее всего зарегистрировать passkey на нескольких устройствах/ключах и настроить способ восстановления. Избегайте привязки к единственному устройству без пути восстановления.