Ключи доступа предназначены для замены паролей. Потому что они упрощают вход в систему и повышают безопасность благодаря современной криптографии и биометрии. Если вам интересно, как управлять ими в своих сервисах и на устройствах, вот полное и понятное руководство, которое поможет вам использовать их максимально эффективно и без лишних хлопот.
Помимо объяснения того, что они собой представляют и почему они безопаснее, Вы узнаете, как управлять ими в Google, Windows и на мобильных устройствах.Какие типы устройств существуют (для нескольких устройств и подключенные к компьютеру), какие требования следует учитывать и какие передовые практики следует применять, чтобы не оказаться в затруднительном положении в случае потери устройства.
Что такое пароли и почему они важны?
Ключи доступа: учетные данные, основанные на криптографии с открытым ключом которые заменяют традиционные пароли. На практике ваше устройство генерирует пару ключей: открытый ключ, зарегистрированный в сервисе, и закрытый ключ, который остается защищенным на устройстве (TPM на Windows и Android, Secure Enclave на Apple или аналогичные технологии, такие как Samsung Knox). Чтобы войти в систему, необходимо подписать запрос, используя свой закрытый ключ, после разблокировки устройства с помощью биометрических данных или PIN-кода.
Такой подход по своей сути более надежен: Не нужно запоминать, красть или использовать повторно пароли.Пароли уникальны для каждого сервиса, устойчивы к фишингу (работают только в пределах легитимного домена), а закрытый ключ никогда не покидает защищённое устройство пользователя. Стандарты, поддерживающие их, такие как FIDO2/WebAuthn, одобрены Microsoft, Apple и Google.
Конфиденциальность также имеет следующие преимущества: Биометрические данные не передаются по сети. А браузеры/системы применяют элементы управления таким образом, чтобы каждый ключ доступа срабатывал только на нужном сайте, что сокращает количество следов между службами.
Ключи доступа против паролей, 2FA и MFA
С паролями, атаки с помощью утечек, подбора паролей или фишинга Они широко распространены, и мы часто используем их повторно. Пароли устраняют эти угрозы безопасности, поскольку не нужно вводить или отправлять секрет: сервер хранит только открытый ключ и проверяет подписи.
Даже если вам не нужно вводить одноразовые коды, Пароль подразумевает многофакторную аутентификацию.Это сочетание того, что у вас есть (устройство с закрытым ключом), и того, что вы знаете (биометрические данные или PIN-код). Всё происходит одним жестом, что делает аутентификацию более удобной, чем двухфакторная аутентификация с помощью SMS или приложений, но при этом обеспечивает более высокий уровень безопасности.
В дебатах о регулировании и конфиденциальности некоторые голоса предупреждают, что определенные законы они могут открыть дверь для навязчивых практикПароли рассматриваются как угроза конфиденциальности или даже способ расширения возможностей слежки. В этом контексте пароли, минимизируя объём передаваемых данных и предотвращая повторное использование, усиливают защиту пользователей.
Типы паролей: многоустройствовые и привязанные к компьютеру
Существует два подхода к управлению: ключи доступа для нескольких устройств (синхронизировано в облаке Apple или Google или в совместимых менеджерах) и ключи доступа, связанные с устройством (Они хранятся локально, не копируются и не экспортируются).
Синхронизированная паста идеально подходит для личного пользования: Они тиражируются среди ваших доверенных команд. и обеспечивают удобный вход в систему с мобильных устройств, планшетов и компьютеров. Учетные данные, привязанные к устройству, широко используются в корпоративной среде или с Windows Hello. Они добавляют уровень контроля путем предотвращения копирования в обмен на жесткие стратегии восстановления.
Где они хранятся и кто их обслуживает?
В экосистеме Apple ключи доступа хранятся в Пароли iCloud и синхронизируются с iPhone, iPad и Mac; они также интегрируются с iCloud для Windows и его расширением для браузера. Для Google, Менеджер паролей Google (интегрировано в Chrome и Android) сохраняет и синхронизирует ключи доступа между устройствами в вашей учетной записи.
В Windows ключ доступа может остаться сохранено локально с помощью Windows HelloВ зависимости от версии управление и синхронизация различаются: начиная с Windows 11 22H2 (с KB5030310) имеется пользовательский интерфейс для просмотра/удаления паролей; кроме того, В последних версиях Microsoft внедрила синхронизацию Windows Hello., тогда как в предыдущих версиях ключи доступа оставались только на компьютере.
Вы также можете хранить ключи доступа в Ключи безопасности FIDO2 (аппаратное обеспечение) или использовать телефон (iPhone/Android) в качестве дополнительного аутентификатора, позволяющего подключаться к ПК через Bluetooth.
Совместимость с платформами и браузерами: iOS 16+ и macOS Ventura 13+ с нативной поддержкой, Android 9+ с синхронизацией через Google; в браузерах, Chrome 109+, Edge 109+ и Safari 16+ Они уже включают в себя полноценную поддержку, в то время как Firefox предлагает её в ограниченном объёме. Многие веб-сайты и приложения уже используют её: GitHub, Dropbox, PayPal, Amazon, Walmart, Best Buy, Target, Shopify, Kayak, X (Twitter), LinkedIn, TikTok, Coinbase, Robinhood, Stripe, Affirm, Среди других.
Как управлять паролями в вашем аккаунте Google?
Google упрощает создание и управление ключами доступа. Для этого перейдите в любой сервис Google, нажмите на изображение своего профиля и выберите Управляйте своей учетной записью GoogleНа вкладке «Безопасность» перейдите в раздел Ключи доступа И, после подтверждения вашей личности, вы сможете создать новый ключ доступа.
В зависимости от устройства вам будет предложено использовать биометрические данные или PIN-код. В вашем браузере может появиться QR-код. Для сканирования с помощью мобильного телефона, если вы предпочитаете использовать его в качестве аутентификатора. Система сохранит ключ доступа в менеджере паролей Chrome и Он синхронизируется с другими вашими устройствами. связаны с одним и тем же аккаунтом.
Когда вы подписываетесь на совместимую услугу, Ваше устройство предложит создать ключ доступа. Он сгенерирует его автоматически. Затем при входе в систему просто выберите вариант использования ключа доступа и подтвердите вход с помощью Windows Hello, Touch ID, Face ID или PIN-кода, не вводя пароли.
Управление и использование в Windows: требования, создание и администрирование
Чтобы сохранить или использовать пароли в Windows, включите Windows Hello (PIN-код, лицо или отпечаток пальца) В разделе «Настройки» > «Учётные записи» > «Параметры входа» активируется аутентификатор платформы, защищающий закрытый ключ.
Как использовать его ежедневно: при открытии совместимого сайта, Условный пользовательский интерфейс может появиться Автозаполнение (в Chrome и Edge) предлагаемыми данными; если нет, введите свой идентификатор (адрес электронной почты/телефон) и выберите вход с паролем. Затем действует с Hello и сеанс завершается автоматически.
Windows 11 22H2 (с KB5030310) добавляет специальный раздел для управления ключами доступа В разделе «Настройки» > «Учетные записи» > «Ключи доступа» вы можете просмотреть зарегистрированные пароли, отфильтровать их по имени и удалить те, которые вам больше не нужны, с помощью меню … > «Удалить ключ доступа».
Для сценариев с несколькими устройствами (например, использование ключа доступа с мобильного телефона для входа на ПК) На Windows и телефоне должен быть включен Bluetooth. и быть подключенным к Интернету. Организации, ограничивающие использование Bluetooth, могут разрешить его только для аутентификаторов FIDO2, использующих пароли с политиками MDM; ограничения из-за политик Bluetooth и установки устройства Это помогает контролировать это использование.
Совместимые версии: Windows Pro, Enterprise и Education Они поддерживают пароли с лицензионными правами в своих обычных SKU. В последних версиях Windows улучшена поддержка WebAuthn (например, алгоритмы ECC) и сам интерфейс управления.
Мобильные ключи доступа с Microsoft Authenticator (корпоративный подход)
Если ваша организация использует Microsoft Entra ID (Azure AD), вы можете зарегистрироваться ключи доступа, связанные с устройством с Microsoft Authenticator. На мобильных устройствах рекомендуется Android 14 или iOS 17, и у вас должно быть приложение Authenticator установлен и работает.
Процесс регистрации обычно проходит следующим образом: вы добавляете свою рабочую/учебную учетную запись в Authenticator, Вы сдаете начальный экзамен MFA и выберите «Ключи доступа». Разрешите Authenticator выступать поставщиком ключей доступа на устройстве. С этого момента Вы сможете аутентифицировать себя в приложениях и на других устройствах. (например, ПК) через близлежащий Bluetooth.
Важно: эти пароли привязаны к устройству и не синхронизированы в облакеЭто повышает безопасность, но требует плана действий на случай непредвиденных обстоятельств. Если вы потеряете телефон, один из вариантов — воспользоваться механизмами восстановления, поддерживаемыми вашей организацией, например временные коды (например, Cl@ve в Испании) или резервные устройства.
Хорошая практика: если у вас есть более одного мобильного телефона или планшета, зарегистрируйте ключ доступа в обоихКроме того, проверьте и удалите пароли с устройств, которые вы больше не используете, на странице сведений о безопасности вашей учетной записи (например, mysignins.microsoft.com/security-info), где Вы можете идентифицировать каждый ключ по типу устройства и удалите его, когда это будет необходимо.
Как войти в систему с помощью паролей: шаблоны использования?
На большинстве совместимых веб-сайтов процесс очень похож: вы вводите свой идентификатор или Вы выбираете предложение, которое появляется в условном пользовательском интерфейсе.Вы можете войти в систему с помощью Passkey и разблокировать её с помощью PIN-кода, отпечатка пальца или лица. Криптографическая подпись проверяется вашим открытым ключом, и всё.
Вы также можете войти в систему ПК, используя ваш мобильный ключ доступа путем сканирования QR-кода из браузера. Телефон выступает в качестве аутентификатора платформы и безопасно подключается по Bluetooth, не передавая закрытый ключ.
Поддерживаемые сервисы и среды: от теории к практике
Помимо учетных записей Google, Microsoft и Apple, множество сторонних сервисов уже активировали ключи доступа. В разработке и репозитории: GitHub и Bitbucket; в финансах: PayPal, Stripe, Coinbase, Robinhood, Affirm; в торговле: Amazon, Walmart, Best Buy, Target, Shopify, Kayakи в социальных сетях: X (Твиттер), LinkedIn, TikTokСписок растет с каждым месяцем.
Если вы хотите проверить совместимость и локальную конфигурацию, есть тестовые сайты типа passkeys.io где создать пробные учетные записи, сгенерировать несколько ключей доступа для одной и той же личности и убедиться, что работа вашего браузера и системы соответствует ожиданиям.
Основные преимущества для пользователей и технических групп
Для пользователей пароли предоставляют сверхбыстрый вход в систему с биометрией, иммунитетом к фишингу, без необходимости запоминать пароли и более чистый UXБиометрические данные не покидают устройство.
Для технического оборудования, Они укрепляют позицию безопасности Благодаря аутентификации, устойчивой к фишингу, они сокращают расходы на поддержку (меньше сбросов паролей и меньше SMS-сообщений) и повышают конверсию в уменьшить трудности при входе в систему и упростить соблюдение требований за счет отказа от хранения повторно используемых секретов.
Ограничения и способы их смягчения
Есть проблемы: принятие еще не завершено, Восстановление может оказаться сложным, если вы потеряете все свои устройства., а синхронизированные ключи доступа зависят от экосистемы (iCloud, Google Password Manager и т. д.).
Чтобы смягчить их, комбинируйте подходы: регистрирует несколько ключей доступа в разных магазинах (например, один в Google, а другой с Windows Hello), добавьте ключ безопасности FIDO2 в качестве резервной копии и используйте альтернативные методы восстановления, одобренные вашей организацией.
Расширенное управление в корпоративной среде
В компаниях стратегия обычно предполагает смешивание ключей доступа связано с устройством (больший контроль) с синхронизированными учетными записями пользователей. Политики MDM/Intune могут ограничивать Bluetooth, за исключением аутентификаторов FIDO2, и разрешать только одобренное оборудование и приложения.
Если в вашей организации вообще запрещен Bluetooth, возможно, Включить строгие варианты использования для закрытой аутентификацииНастройка выполняется с использованием политик установки Bluetooth и устройств, чтобы предотвратить использование неавторизованных периферийных устройств и разрешить использование только авторизованных устройств. совместимые аутентификаторы FIDO.
Лучшие практики управления ключами доступа
1) Активируйте Windows Hello и биометрию на основных устройствах; 2) зарегистрируйте ключи доступа как минимум на двух устройствах или в двух местах хранения; 3) Удалите ключи доступа с устройств, которые вы больше не используете. из разделов безопасности; 4) добавить ключ FIDO2 в качестве резервного; 5) Проверьте домен, прежде чем согласиться на создание ключа доступа. если что-то не складывается в потоке.
Если вы работаете с рабочими/учебными аккаунтами, следуйте рекомендациям вашей организации: При появлении соответствующего запроса используйте Authenticator.Регулярно обновляйте систему и проверяйте, включен ли Bluetooth при взаимодействии между устройствами.
Краткие ответы на часто задаваемые вопросы о ключах доступа
Надежны ли пароли? Да, они основаны на надёжной криптографии, и закрытый ключ никогда не покидает устройство. Они устойчивы к фишингу и не могут быть повторно использованы на поддельных сайтах.
Могу ли я продолжать использовать свой пароль? Во многих службах — да. Пароли сосуществуют как предпочтительный метод а пароль остается как альтернатива или для восстановления.
Что произойдет, если я потеряю свой телефон? Использовать устройство резервного копирования или метод восстановления одобрено (временные коды, другой зарегистрированный ключ доступа, ключ FIDO2 или восстановить его на Android). Вот почему имеет смысл зарегистрировать несколько.
Работают ли они между устройствами? Да. Благодаря синхронизированным паролям они дублируются на всех ваших устройствах; со связанными ключами доступаВы можете использовать их на своем ПК с мобильного телефона через Bluetooth без копирования ключа.
Какие браузеры и системы совместимы? Chrome, Edge и Safari имеют развитую поддержку; iOS 16+, macOS Ventura 13+, Android 9+ и Windows 10/11 Они предлагают интеграцию через платформенные аутентификаторы.
Заметки разработчика
Если вы хотите их реализовать, положитесь на SDK и пользовательские интерфейсы от ведущих поставщиков Идентификация или в серверных библиотеках WebAuthn. Специализированные платформы предлагают готовые к производству компонентыаналитика и соответствие требованиям, поэтому вам не придется создавать всю инфраструктуру.
Стандарты FIDO отдают приоритет конфиденциальности и безопасности, Они предотвращают отслеживание между службами. и уменьшить поверхность атаки. Это необычное улучшение, которое повышает планку безопасности и одновременно упрощает вход в систему.
Пароли объединяют в себе лучшее из обоих миров: Максимальная безопасность и настоящий комфортБлагодаря встроенной поддержке Apple, Google и Microsoft, современной навигации и постоянно растущему числу совместимых сервисов, управление проще, чем кажется: создайте свои ключи в Google или Windows Hello, добавьте свой мобильный телефон в качестве ближайшего аутентификатора, настройте резервное копирование и Поддерживайте актуальность своего инвентаря, чтобы исключить устаревшее оборудование.Таким образом, вы сможете пользоваться функциями входа в систему без пароля, которые защищены от фишинга и готовы к сегодняшнему и завтрашнему дню. Поделитесь этим руководством и помогите другим пользователям управлять своими ключами доступа на Android..