FIDO заставил Apple разрушить собственную "тюрьму для ключей"

Apple представила важную новинку , которая может устранить главное препятствие на пути массового перехода на бесфайловую аутентификацию — невозможность легко переносить passkey -ключи между разными системами. На конференции WWDC компания анонсировала функцию импорта и экспорта цифровых ключей, которая появится в будущих версиях iOS, macOS, iPadOS и visionOS.

Суть в том, что ранее passkey-ключи, созданные на одном устройстве — например, на Mac — оставались практически «запертыми» в экосистеме Apple. Да, они синхронизировались между устройствами пользователя через iCloud, но вот перенести их, скажем, на Windows или в сторонний менеджер паролей, даже установленный на том же Mac, было невозможно. Это ограничение вызывало множество нареканий — как со стороны пользователей, так и со стороны специалистов по безопасности.

Такая замкнутость порождала опасения, что крупные IT-компании просто используют passkey для усиления зависимости от своих платформ. Кроме того, если устройство с ключами оказывалось утеряно или уничтожено, восстановить доступ к важным учётным записям становилось затруднительно. Особенно в тех случаях, когда резервной копии ключей не существовало.

Теперь Apple заявляет: владельцы устройств смогут не только перемещать свои цифровые ключи между приложениями и операционными системами, но и делать это безопасно. Как отмечается в демонстрационном видео, процесс переноса данных будет происходить напрямую между совместимыми приложениями и сопровождаться локальной аутентификацией — например, через Face ID. При этом не создаются промежуточные файлы CSV или JSON, как это происходило раньше, — значит, исключаются риски утечки данных при передаче.

Эта система передачи создана при участии участников альянса FIDO — международной организации, отвечающей за стандарты безопасной аутентификации. Новый механизм поддерживает не только passkey, но и пароли, а также коды подтверждения, унифицируя формат и правила обмена между платформами.

Проблема совместимости давно стоит на повестке дня у альянса FIDO, в который входят более 100 компаний — от разработчиков приложений до производителей операционных систем. В числе тех, кто сейчас работает над поддержкой новой функции, — Dashlane, 1Password, Bitwarden, Devolutions, NordPass и Okta. По данным Android Authority, аналогичные разработки идут и у Google: менеджер паролей компании уже содержит базовые инструменты импорта и экспорта, хотя пока и не в удобной форме.

Главная причина, по которой индустрия стремится уйти от паролей, — это их уязвимость и высокая цена поддержки. Надёжные пароли сложно запоминать, они часто повторяются и в итоге сливаются в даркнет при массовых утечках. Кроме того, фишинг и автоматизированные атаки давно научились их перехватывать.

В отличие от паролей, passkey-ключи строятся на принципах асимметричной криптографии и FIDO2: при регистрации на сайте создаётся пара ключей — приватный и публичный. Приватный остаётся на устройстве пользователя и никогда не передаётся, а публичный сохраняется на сервере. Когда нужно войти в аккаунт, сервер отправляет устройству уникальную «задачу», которую можно решить только с помощью приватного ключа. Это исключает возможность перехвата, фишинга или повторного использования украденных данных.

Однако на практике использование passkey до сих пор тормозилось именно из-за неудобства. Многие приложения и платформы жили как отдельные «острова», не позволяя пользователю свободно перемещаться между ними. Новая инициатива Apple, одобренная участниками FIDO, — это важный шаг к более гибкой, открытой и безопасной системе, в которой данные действительно принадлежат пользователю, а не платформе.