Каждый раз, когда мы входим в аккаунт или разблокируем устройство, мы должны доказать, что имеем право получить доступ. Исторически таким подтверждением был пароль: секретная строка, которую нужно запомнить или хранить в менеджере паролей.
Ключ доступа отличается от пароля тем, что связывает возможность получить доступ с тем, чем вы физически владеете, — криптографическим токеном, сохраненным на вашем телефоне, ноутбуке или ключе безопасности, — а также с биометрическим фактором, например отпечатком ключа или сканированием лица.
Разницу обычно описывают так:
- Пароль = то, что вы знаете
- Ключ доступа = то, что у вас есть, + то, кто вы есть
Хотя оба метода позволяют получить доступ, способы достижения этой цели различаются и могут значительно влиять на безопасность и удобство использования.
Что такое ключ доступа?
Ключ доступа — это нечто вроде пароля, который хранится на вашем устройстве и может проверяться аккаунтами, в которые вы хотите войти, с помощью криптографии. Ключи доступа основаны на стандарте FIDO2 (определенном FIDO Alliance(новое окно)) и API WebAuthn.
Вот как это работает:
Когда создается ключ доступа, ваш менеджер паролей генерирует парный набор криптографических ключей: открытый ключ и закрытый ключ.
- Открытый ключ передается сервису, в котором вы регистрируетесь.
- Закрытый ключ остается в вашем менеджере паролей или на устройстве и никогда его не покидает.
Во время попытки входа сервис выдает случайный запрос. Ваше устройство использует закрытый ключ на вашем устройстве, чтобы подписать этот запрос, создавая ответ, который мог сгенерировать только соответствующий закрытый ключ. Затем сервис проверяет подпись с помощью ранее сохраненного открытого ключа, подтверждая, что вы являетесь законным владельцем аккаунта.
Поскольку закрытый ключ никогда не покидает ваше устройство, фишинг-сайт не сможет обманом заставить вас передать его, поэтому ключи доступа по своей природе устойчивы к фишингу.
Сравнение безопасности: ключ доступа и пароль
То, используете ли вы пароль или ключ доступа, зависит от множества факторов. Не каждый веб-сайт предлагает ключи доступа как вариант. Но для веб-сайтов, которые это делают, есть несколько причин задуматься о переходе.
Ключи доступа считаются безопаснее паролей, потому что секретный ключ никогда не покидает ваше устройство. Даже если кто-то обманет вас с помощью поддельного сайта, перехватит сетевой трафик или попытается провести атаку методом перебора, он не сможет получить закрытый ключ — он хранится в вашем телефоне, компьютере или аппаратном ключе безопасности. Пока вы защищаете устройство с помощью PIN, отпечатка ключа или другой формы двухфакторной аутентификации (2FA) и у вас есть надежный способ восстановления, ключ доступа обеспечивает более надежную и лучше защищенную от фишинга настройку безопасности, чем обычный пароль.
| Функция | Ключи доступа | Пароли |
| Метод аутентификации | Криптография с открытым ключом (закрытый ключ сохранен на устройстве) | Секретная строка, которую запоминает пользователь |
| Устойчивость к фишингу | Высокая | Низкая |
| Варианты восстановления | Резервная копия устройства, сценарий восстановления аккаунта | Сброс через электронное письмо, контрольные вопросы |
| Пользовательский опыт | Биометрия или PIN | Ввод вручную или автозаполнение |
| Совместимость | Растущая | Универсальная поддержка |
| Уязвимость к повторному использованию | Всегда уникален для каждого сайта | Распространенная проблема |
Удобство использования ключей доступа и пользовательский опыт
Помимо преимуществ в безопасности, у использования ключа доступа есть и другие плюсы:
- Ключи доступа ускоряют вход, потому что процесс аутентификации сводится к одному касанию или взгляду, устраняя необходимость вручную вводить пароли или сбрасывать забытые пароли.
- Многие менеджеры паролей могут безопасно синхронизировать ключи доступа между вашими устройствами. В результате ключ доступа, созданный на смартфоне, можно использовать на ноутбуке, планшете или другом телефоне без новой регистрации. Proton Pass работает на любой платформе и любом устройстве, поэтому вы можете использовать ключи доступа на любом веб-сайте, который их поддерживает.
Недостатки ключей доступа и пограничные случаи
Хотя ключи доступа обеспечивают высокий уровень безопасности и удобный вход без лишних действий, они не являются универсальным решением. Все еще остаются ситуации, в которых использование ключа доступа может создавать сложности.
Потеря устройства и восстановление
Если устройство, на котором сохранен ваш ключ доступа, потеряно, украдено или повреждено, вам придется полагаться на механизмы резервного восстановления, чтобы снова получить доступ. Для восстановления ключа доступа часто требуется вторичное устройство или фраза восстановления, поэтому, если у вас нет хорошо продуманного процесса восстановления, вы рискуете потерять доступ к своим аккаунтам.
Пробелы во внедрении
Некоторые веб-сайты и приложения еще не внедрили стандарты WebAuthn/FIDO2, на которых работают ключи доступа. Даже среди тех, кто внедрил, поддержка ключей доступа может быть ограничена определенными экосистемами или операционными системами.
Ограничения старого оборудования
Устаревшие устройства, такие как старые смартфоны, ноутбуки без биометрических датчиков или браузеры без поддержки WebAuthn, не могут создавать или хранить ключи доступа.
Когда мне все еще нужен пароль?
Помимо того, что пароль можно настроить как резервный вариант, существуют ситуации, в которых традиционный пароль необходим как основной способ получить доступ.
1. Сайты без поддержки ключей доступа
Пока ключи доступа не получили широкого распространения, вам все еще может понадобиться использовать пароли на некоторых сайтах. В таком случае вы можете настроить методы двухфакторной аутентификации, например OTP, чтобы повысить безопасность.
2. Сценарии с общедоступным или общим компьютером
Если вы используете не свое устройство, ввод пароля (в идеале в сочетании с двухфакторной аутентификацией) позволяет временно получить доступ, не оставляя постоянных учетных данных.
3. Организационные политики и требования соответствия
Корпоративные правовые нормы, включая государственные или финансовые стандарты, могут требовать многофакторных настроек, в которые по-прежнему входит пароль, или предписывать периодическую смену паролей для целей аудита. Кроме того, корпоративные решения единого входа (SSO) иногда интегрируют ключи доступа только как необязательный фактор, при этом пароль остается основными учетными данными.
Как перейти на ключи доступа
Перейти на ключи доступа относительно просто.
- Включите поддержку ключей доступа в вашей операционной системе
- Скачайте менеджер паролей
- Выберите менеджер паролей с поддержкой хранения ключей доступа, например Proton Pass.
- Добавьте ключи доступа в ваш менеджер паролей
- Импортируйте существующие ключи доступа или создайте новые прямо в приложении.
- Зарегистрируйте ключи доступа в поддерживаемых сервисах
- Когда вы регистрируетесь или входите на сайте, который предлагает вариант «Войти с ключом доступа», выберите его.
- Настройте способ восстановления
- Включите вторичное устройство для хранения копии ключа доступа и запишите фразу восстановления, если сервис ее предоставляет.
Часто задаваемые вопросы
Можно ли использовать ключ доступа, если у меня нет менеджера паролей?
Да, можно. Большинство современных операционных систем хранят ключи доступа локально (iCloud Keychain на устройствах Apple, Google Password Manager на Android, Windows Hello на Windows). Специализированный менеджер паролей может упростить синхронизацию между устройствами и дать дополнительный уровень резервного копирования, но для использования ключей доступа он не обязателен.
Можно ли использовать ключи доступа на старых устройствах?
Для ключей доступа требуется, чтобы операционная система и браузер поддерживали стандарты WebAuthn/FIDO2. Современные платформы (iOS 15+, Android 14+, актуальные версии macOS, Windows 10 1903+ и обновленные Chrome/Edge/Firefox/Safari) работают сразу. Старые телефоны, устаревшие браузеры или устройства с версиями до iOS 15/Android 13 такой поддержки не имеют, поэтому использовать ключ доступа на таких устройствах не получится.
В чем разница между ключом доступа и физическим токеном?
Ключ доступа — это учетные данные, сохраненные на устройстве или в менеджере паролей и безопасно синхронизируемые между вашими устройствами. Физический токен (например, YubiKey) — это отдельный аппаратный ключ, который нужно вставить в устройство. Физический токен не хранит закрытый ключ на основном устройстве, что обеспечивает изоляцию, но требует носить токен с собой и управлять резервными копиями. Оба варианта обеспечивают беспарольную и устойчивую к фишингу аутентификацию, но ключи доступа делают упор на удобство и синхронизацию, а физические токены — на аппаратную изоляцию.
Можно ли использовать ключ доступа на моем ПК с Windows?
Да, современные сборки Windows 10/11 поддерживают ключи доступа через Windows Hello. После включения параметра «Вход без пароля» в настройках вы сможете регистрироваться и проходить аутентификацию с помощью отпечатка ключа, распознавания лица или PIN, который разблокирует закрытый ключ, сохраненный в доверенном платформенном модуле (TPM). TPM — это небольшой защищенный от вмешательства чип, встроенный в большинство современных ПК, ноутбуков и некоторые планшеты. Его задача — обеспечивать аппаратный корень доверия для критически важных операций безопасности.
Что произойдет, если я потеряю телефон?
Если на вашем телефоне хранится единственная копия ключа доступа, вам понадобится заранее настроенный резервный способ, чтобы восстановить доступ. Обычно это другое устройство, менеджер паролей или фраза восстановления, предоставленная сервисом. Без резервного варианта вам придется следовать процессу восстановления аккаунта, предусмотренному сервисом.
