Потребителей настоятельно призывают заменить пароли на ключи доступа (passkeys) как более простой и безопасный метод доступа к онлайн-сервисам. Национальный центр кибербезопасности (NCSC), входящий в состав разведывательного агентства GCHQ, сегодня заявил, что больше не будет рекомендовать частным лицам использовать пароли для входа в систему, если в качестве альтернативы доступны ключи доступа. Ключи доступа, которые надежно хранятся на телефонах, компьютерах или в сторонних менеджерах учетных данных, быстрее и проще в использовании, чем пароли, и обеспечивают более высокую безопасность. Рекомендация NCSC последовала за техническим исследованием, которое показывает, что ключи доступа как минимум так же безопасны — и, как правило, более безопасны — чем пароль в сочетании с двухфакторной аутентификацией, такой как код авторизации, отправляемый по SMS.
Устойчивость к фишингу
Агентство утверждает, что переход на ключи доступа повысит устойчивость Великобритании к фишинговым атакам и другим попыткам взлома, большинство из которых основаны на краже или компрометации злоумышленниками данных для входа. Правительство Великобритании объявило в прошлом году о внедрении технологии ключей доступа для цифровых сервисов в качестве альтернативы существующим системам верификации на основе SMS, которые влекут дополнительные расходы на отправку SMS-сообщений. NHS стала одной из первых государственных организаций в мире, внедривших ключи доступа для предоставления пациентам безопасного доступа к сайтам больниц и аптек. Поставщики онлайн-услуг, включая Google, eBay и PayPal, также поддерживают ключи доступа. По данным Google, более 50% активных пользователей Google в Великобритании имеют зарегистрированный ключ доступа — это самый высокий показатель внедрения. Microsoft также внедряет ключи доступа для Hotmail.
Безопаснее, чем 2FA
Ключи доступа обеспечивают более высокий уровень безопасности, чем пароли и двухфакторная аутентификация по SMS (2FA), оба из которых могут быть скомпрометированы хакерами. Они позволяют пользователям безопасно входить на веб-сайты, используя свои мобильные телефоны, планшеты или ноутбуки для подтверждения личности путем ввода ПИН-кода или использования распознавания лица. Использование паролей с двухфакторной аутентификацией по SMS может быть уязвимо для атак типа «подмена SIM-карты» (SIM swapping), когда злоумышленники привязывают номер телефона жертвы к SIM-карте, чтобы перехватить ключи аутентификации. NCSC заявил, что в прошлом году воздержался от одобрения ключей доступа, поскольку существовали ключевые проблемы с их реализацией. Однако агентство отметило, что прогресс в развитии технологии за последний год, включая возможность переноса ключей доступа между телефонами Android и Apple, сделал эту технологию жизнеспособной.
Ключи доступа пока не рекомендуются для бизнеса
Центр заявил, что теперь может рекомендовать технологию ключей доступа общественности как более безопасный и удобный метод входа, а бизнесу — в качестве опции аутентификации по умолчанию для потребителей. NCSC пока не рекомендует ключи доступа для бизнес-приложений, внедрение которых займет больше времени. Многие организации полагаются на устаревшие ИТ-системы, которые не поддерживают ключи доступа или двухфакторную аутентификацию. NCSC советует потребителям создавать надежные пароли и использовать двухфакторную аутентификацию там, где сервисы не поддерживают ключи доступа. Джонатон Эллисон, директор по национальной устойчивости в NCSC, заявил, что переход на ключи доступа ускорит повышение устойчивости Великобритании к кибератакам. «Неудобства, связанные с запоминанием паролей, которые преследовали нас десятилетиями, больше не должны быть частью процесса входа в систему, если пользователи перейдут на ключи доступа — это удобная альтернатива, обеспечивающая более высокую общую устойчивость», — сказал он. Постепенный отказ от паролей начнется с того, что люди привыкнут использовать ключи доступа. Ожидается, что крупные банки будут внедрять эту технологию в течение следующих трех-пяти лет. Когда люди регистрируются в учетных записях с использованием ключей доступа, их устройство создает закрытый ключ, который остается на устройстве, и открытый ключ, который хранится сервисом, к которому они хотят получить доступ. Устройство доказывает веб-сайту, что у него есть правильный закрытый ключ при входе владельца в сервис, не раскрывая при этом закрытый ключ поставщику услуг. Ключи доступа спроектированы так, чтобы синхронизироваться между различными устройствами, поэтому ключ доступа, хранящийся на iPhone, будет автоматически передан на iPad владельца. Если человек теряет устройство и у него нет копии ключа доступа на втором устройстве, он сможет восстановить его, пройдя процесс восстановления учетной записи. В отличие от паролей, ключи доступа генерируются криптографически и не требуют регулярной смены для сохранения безопасности. Они хранятся в «защищенном анклаве» на телефонах и компьютерах, что означает, что к ним нельзя получить доступ, если устройство скомпрометировано или утеряно.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Goodwin
