Що таке passkey, як він працює і чому він кращий за пароль?

Національний центр кібербезпеки Великої Британії оголосив кінець епохи паролів – відтепер слід використовувати passkey.

NCSC заявив цього тижня, що більше не рекомендуватиме використовувати паролі там, де доступні passkey. Вони мають бути першим вибором споживачів для входу в усі цифрові сервіси, оскільки паролі недостатньо безпечні, щоб протистояти сучасним кіберзагрозам.

Що таке passkey? Фахівці з безпеки описують passkey як "цифровий штамп", який дозволяє входити в додатки та на вебсайти і зберігається на вашому пристрої.

Це форма входу без пароля. На відміну від пароля, його неможливо вкрасти під час фішингової атаки, коли людей обманюють, змушуючи передати свої облікові дані, які пізніше можуть з'явитися в даркнеті.

Він просто вимагає вашого смартфона або пристрою для підтвердження, що це ви намагаєтеся увійти, використовуючи біометричні методи, такі як розпізнавання обличчя або PIN-код вашого телефону. Це активує "штамп" – або безпечний passkey – який підтверджує додатку чи вебсайту, що ви є тим, за кого себе видаєте. Кожен обліковий запис, з яким ви зареєстровані, матиме окремий passkey.

Навіть якщо додаток або вебсайт, що використовує passkey, буде зламано, це не принесе користі зловмиснику, оскільки пристрій зберігає "приватний" passkey, необхідний для завершення входу.

Passkey також можна синхронізувати між пристроями.

Як налаштувати passkey? NCSC каже, що ви можете перейти до налаштувань безпеки облікового запису або конфіденційності в додатках та на вебсайтах, якими ви вже користуєтеся, або шукати підказки від сервісів із проханням оновити до passkey. Вам також можуть запропонувати налаштувати його під час створення нового облікового запису для додатка чи вебсайту.

Google повідомляє, що трохи більше 50% користувачів його сервісів у Великій Британії мають зареєстрований passkey.

Чому passkey хороші? Це не паролі, які можна виманити або обманом отримати від користувачів через фішингові електронні листи або знайти в даркнеті.

Минулого року дослідники з Cybernews, онлайн-видання про технології, заявили, що знайшли мільярди облікових даних для входу. Набори даних були у форматі URL, за яким слідували облікові дані та пароль. Експерти скептично поставилися до звіту, заявивши, що дані, ймовірно, вже були в обігу онлайн, і багато даних могли бути дублікатами. Тим не менш, вони зазначили, що це підкреслює необхідність регулярно оновлювати паролі та впроваджувати надійні заходи безпеки, такі як двофакторна автентифікація, коли користувачів просять надати іншу форму підтвердження разом із паролем.

"Паролі ніколи не були ідеальним рішенням з точки зору користувача, тому що нам потрібно постійно додавати речі, щоб спробувати зробити їх більш безпечними", - сказав Дейв Чісмон, старший технічний експерт NCSC. "І все ж, вони все ще можуть бути викрадені за допомогою фішингу, а додаткова безпека ускладнює життя користувачам.

"Хоча технологія складна, для користувача passkey швидше і простіше, ніж запам'ятовувати пароль або проходити двофакторну автентифікацію."

Чи вразливе розпізнавання обличчя? Обхід біометричних перевірок на пристрої є складним. Алан Вудворд, професор кібербезпеки в Університеті Суррея, каже, що розпізнавання обличчя значно покращилося.

"Не тільки алгоритми розпізнавання стали кращими, але й пристрої тепер включають "доказ життя", щоб зупинити використання зображень. Як і в усій кібербезпеці, це гра "вгадай, де". Прийоми хакерів вдосконалюються, і засоби протидії також вдосконалюються", - каже він.

Може виникнути проблема, наприклад, якщо член сім'ї або партнер знає PIN-код вашого телефону. Експерти кажуть, що очевидним захистом від цього є збереження вашого PIN-коду в таємниці – навіть від членів сім'ї.

Яких ще запобіжних заходів слід дотримуватися? Основною загрозою для особистої кібербезпеки людей є їхня власна поведінка. "Більшість атак на окремих осіб все ще відбуваються через відсутність базової кібергігієни – правильне дотримання основних правил дійсно працює", - сказав Чісмон.

Деякі базові рекомендації: використовувати passkey або, якщо ви використовуєте паролі, двофакторну автентифікацію. Інша рекомендація – завжди використовувати надійні паролі, особливо надійний і окремий для вашого облікового запису електронної пошти. І використовуйте менеджер паролів, який створює та безпечно зберігає паролі.

Ви повинні регулярно оновлювати додатки та операційне програмне забезпечення на своїх пристроях. Фішингові атаки, під час яких зловмисники намагаються отримати доступ до ваших облікових даних або обманом змусити вас завантажити шкідливе програмне забезпечення, можна уникнути, звертаючи увагу на (і не натискаючи на) підозрілі електронні листи, посилання та вкладення.

Найпоширеніші паролі у світі виглядають як подарунок для хакерів. За даними Nordpass, менеджера паролів, який безпечно зберігає паролі, найчастіше використовуваним паролем – на основі аналізу публічних витоків даних та запасів даних даркнету – є "123456". Інші в топ-10 включають "admin", "password" та "admin123". Якщо це ваші паролі, то passkey точно для вас.