Apple Passkeys: что это и как работает?

Когда Apple выпустила iOS 16 и macOS Ventura в конце 2022 года, мир увидел новую технологию аутентификации под названием «Passkeys» или «Ключи входа», призванную заменить обычные пароли в привычном их понимании.

В этой статье мы разберёмся, что такое Passkeys, как это работает, и почему в будущем данная технология может стать основой безопасной аутентификации на веб-сайтах и ​​в приложениях.

Краткая история классических паролей

Пароли использовались как средство аутентификации между людьми на протяжении тысячелетий. Их использовали в военных целях, чтобы отличить союзника от противника. Использовали их и в обычной жизни, чтобы попасть, например, в закрытый клуб или бар.

С появлением и популяризацией компьютеров пароли долгое время были единственным способом разграничить доступ людей к тем или иным компьютерным системам.

Важность парольной защиты

До развития Интернета защита паролем была несколько менее важной, чем сейчас. Потому что любой, кто хотел получить доступ к компьютеру, обычно нуждался в физическом доступе к нему. Доступ к компьютеру по паролю был распространённым явлением в зарубежных университетах и предприятиях, но и там зачастую парольной защитой никто не пользовался.

На компьютерах Apple базовые функции для создания отдельных локальных учётных записей были добавлены в 1999 году, начиная с Mac OS 9. Однако только с выпуском Mac OS X в 2001 году отдельные учётные записи пользователей стали более распространенными.

Аутентификация в онлайн-сервисах с помощью имени пользователя и пароля стала необходимостью с появлением Интернета. А чуть позже возросла и потребность в более надёжных паролях из-за распространения хакерства.

В течение многих лет люди использовали одну и ту же комбинацию имени пользователя и пароля на разных веб-сайтах и ​​сервисах. А частые утечки данных крупных компаний приводили к тому, что учётные данные попадали в руки к хакерам, которые использовали их в зловредных целях.

Для обеспечения безопасности в Интернете крайне важно всегда создавать уникальные и надежные пароли, чтобы хакеры не смогли, например, воспользоваться утечкой одного крупного сервиса для доступа к десяткам других. Как показывает статистика, большинство интернет-пользователей по-прежнему создаёт крайне ненадежные пароли и использует их многократно для доступа к десяткам различных сайтов.

По мере того, как ставки росли, а хакеры разрабатывали новые методы взлома учётных записей, одних только надёжных паролей стало уже недостаточно. Возникла необходимость в более безопасных методах аутентификации. Так была введена в повсеместную эксплуатацию двухфакторная аутентификация (2FA).

2FA включает в себя использование данных, которые пользователь знает (логин и пароль), вместе с теми данными, которыми он обладает (код, полученный по SMS или сгенерированный приложением-аутентификатором). Также могут использоваться данные, которые физически свойственны конкретному пользователю (биометрические данные).

Вход без пароля

Некоторые веб-сайты и сервисы позволяют входить в учётную запись без пароля. Для этого, как правило, используется дополнительное устройство или приложение. Например, аутентификация Microsoft без пароля работает через приложение Authenticator на смартфоне. После единоразового ввода логина и пароля от своего аккаунта вход на любой сайт или сервис Microsoft возможен уже без ввода пароля. Для этого применяются разные способы подтверждения, например, сопоставление пары чисел на веб-сайте и в приложении-аутентификаторе.

Passkeys: шаг за пределы беспарольного доступа

Passkey (ключ входа) — это цифровое удостоверение, привязанное к учётной записи пользователя и конкретному веб-сайту/приложению. Ключи входа содержат минимальную информацию, необходимую для идентификации пользователей: имя учётной записи и ключ аутентификации. То есть это не система в дополнение стандартной связки логин+пароль, а система полностью её заменяющая.

Как отмечает Apple, технология Passkeys создана на основе WebAuthentication и использует криптографию с открытым ключом. Вместо печатного слова или строки для каждой учётной записи генерируются уникальные пары криптографических ключей. Эти криптографические ключи представляют собой очень длинные строки символов, при этом простому пользователю даже не нужно знать, что они из себя представляют.

Аутентификация всегда происходит через смартфон, на котором пользователь себя идентифицировал. И каждый раз при входе на какой-то сайт или сервис, биометрическая аутентификация смартфона подтверждает личность пользователя и отправляет нужный пароль.

Ключи входа могут быть скопированы, синхронизированы и перенесены на новые устройства, ведь они полностью зашифрованы. Когда пользователь сохраняет ключ входа для сайта или сервиса, он может использовать его и на других устройствах, которые используют те же учётные записи. На устройствах Apple ключи входа синхронизируются с помощью «Связки ключей iCloud» («iCloud Keychain»). А доступ к ним можно получить на любом устройстве Apple, на котором выполнен вход ту же учётную запись iCloud.

Passkeys также можно использовать для авторизации на новом устройстве через текущее устройство. Поскольку Apple, Google и Microsoft являются членами FIDO Alliance, технология Passkeys обеспечивает настоящую межплатформенную совместимость. iPhone можно использовать для входа на сайт или сервис на компьютере с Windows, точно так же как Android-смартфон для входа на компьютере с MacOS. При этом используется протокол CTAP2 (Client to Authenticator Protocol 2), который позволяет устройствам взаимодействовать с другими устройствами для передачи ключей аутентификации.

Как Passkeys работает на компьютерах Mac, iPhone и iPad

Хотя это здорово, что операционные системы Apple нативно поддерживают технологию Passkeys, к сожалению, пока не так много сайтов или сервисов дают возможность входить в аккаунт таким способом.

Вот некоторые известные сайты, поддерживающие ключи входа (по состоянию на начало 2023 года): Best Buy, Cloudflare, DropBox, eBay, GitHub, Kayak, PayPal, Twitter.

Настроим авторизацию через Passkeys на примере eBay. Если перейти к настройкам своей учетной записи eBay, выбрать пункт «Вход и безопасность», а затем «Пароль», то появится возможность настроить Passkeys. Хотя eBay не использует этот термин.

После нажатия кнопки «Включить», Safari отобразит диалоговое окно, подобное тому, что указано ниже:

После завершения процесса, можно увидеть следующее окно при повторном входе в аккаунт eBay:

А после нажатия кнопки «Войти» Safari запросит биометрию для входа:

В данном случае аутентификация настроена через Touch ID, поэтому достаточно приложить палец к сканеру отпечатков, и доступ к аккаунту будет получен.

На вкладке «Пароль» в настройках Safari также можно увидеть, что пароль для eBay был сохранён. Но просмотреть содержимое ключа входа — нельзя, ведь данные зашифрованы.

Настроенный ключ входа теперь будет синхронизироваться между всему устройствами с одним аккаунтом Apple ID, поэтому воспользоваться им можно будет одновременно и на смартфоне, и на планшете, и на ноутбуке.

Преимущества Passkeys

Ключи входа имеют множество преимуществ. В эксплуатации они мало чем отличаются от использования менеджера паролей или подтверждения личности с помощью биометрии. Да и процесс настройки довольно простой.

Ключи входа освобождают от требований надёжности к паролям (определенное количество символов, заглавных букв и специальных символов) и гарантируют, что эти пароли больше не нужно запоминать в принципе.

Однако некоторые пароли всё же лучше знать наизусть. Например, пароли от учётных записей Apple, Google или Microsoft могут понадобиться для настройки Passkeys на новом устройстве, если со старым что-то случилось.

Тот факт, что ключи входа синхронизируются, и их можно экспортировать и импортировать, означает, что Passkeys не ограничены использованием на одном устройстве. А кроссплатформенный характер стандарта FIDO в сочетании с поддержкой со стороны всех основных производителей операционных систем гарантирует, что в будущем не будет никаких проблем с авторизацией через Passkeys.

Что касается безопасности, тот же пресловутый фишинг теоретически невозможен с Passkeys, так как веб-сайты идентифицируют себя с помощью сертификата, а поддельные веб-сайты, которые могут выглядеть законными, не смогут принять пароль и передать его настоящему сайту.

Недостатки Passkeys

При использовании Passkeys возможность входа на сайт или сервис через обычную связку логин+пароль никуда не исчезает, поэтому учётные записи по-прежнему подвержены возможности взлома и фишингу.

Если заблокировать свою учётную запись iCloud (или аналогичные учётные записи на Android или Windows), вполне вероятно, доступ к уже сохранённым ключам входа пропадёт на всех устройствах, использовавших этот аккаунт. Хотя несколько популярных менеджеров паролей, таких как 1Password и Dashlane, уже объявили о поддержке Passkeys. Это важно, чтобы технология не ограничивались используемой операционной системой и ключи входа могли быть перенесены куда угодно.

Последним минусом выделим то, что технология Passkeys является личной. Её не получится применить в корпоративной среде. А значит для удобной и быстрой авторизации на рабочем месте может потребоваться использование дополнительных технологий.

В целом, ключи входа являются отличным улучшением существующих методов аутентификации, а в будущем, вероятно, смогут полностью избавить пользователей от необходимости создавать и запоминать пароли. Пока что есть некоторые ограничения в использовании Passkeys, так как технология, по сути, находится в зачаточном состоянии. Но со временем есть все шансы, что ключи входа смогут полностью вытеснить и заменить пароли.