Надійні паролі вже менш вразливі до атак методом “грубої сили” або інших методів злому, ніж прості паролі, і забезпечують мінімальний рівень захисту ваших даних. Однак нова технологія входу без пароля може ще більше посилити вашу безпеку. У цій статті «Репортери без кордонів» (RSF) пояснюють механізм роботи та можливе застосування passkey.
Протягом довгого періоду часу паролі залишаються найпоширенішим способом захисту цифрових даних, однак вони мають кілька серйозних вразливостей:
- Паролі легко можуть потрапити у відкритий доступ, особливо якщо ними користується кілька людей – наприклад, команда журналістів, колеги чи стажери, які мають спільний доступ до одного й того самого облікового запису новин у соцмережах.
- Паролі, збережені на пристрої, можуть бути викрадені. Коли журналісту потрібно керувати великою кількістю складних паролів, він може зберігати їх у документі або менеджері паролів, щоб копіювати та вставляти за потреби. Однак хакери можуть перехопити ці паролі, зламавши буфер обміну.
- Паролі особливо вразливі до фішингових атак. Хакери можуть створювати правдоподібні підроблені сторінки входу, щоб обманом змусити людей ввести свої дані, а потім викрасти їх і захопити облікові записи.
- Паролі легко забути. Журналіст може свідомо не записувати свій пароль із міркувань безпеки, але з часом забути його, якщо не вводить його регулярно.
Що таке ключі доступу (passkey)?
Passkey можуть суттєво посилити ваш захист від кіберзагроз. На відміну від пароля, passkey — це випадковий набір даних, згенерований і збережений на вашому пристрої — телефоні, комп’ютері, у менеджері паролів або на фізичному ключі безпеки. Коли ви налаштовуєте passkey для онлайн-акаунта, ключ розділяється на дві частини: одна зберігається на вашому пристрої, а інша — на сайті.
Під час входу на сайт ви отримаєте запит на підтвердження passkey на своєму пристрої. Пристрій попросить вас пройти автентифікацію (відбиток пальця, розпізнавання обличчя, PIN-код телефону тощо), а потім надішле passkey. Якщо він збігається з тією частиною ключа, яка зберігається на сайті, ви зможете увійти — і все це без жодного введення пароля.
Окрім мобільних пристроїв, passkey можна зберігати й в інших місцях:
- Мобільна операційна система: Google password manager, Apple keychain
- Браузер: Chrome, Safari (passkeys are stored in Apple Keychain), Microsoft Edge
- Менеджери паролів: Bitwarden, 1Password, ProtonPass
Безпечніше та зручніше
З passkey немає пароля, який можна викрасти чи зламати. Для одного й того самого онлайн-акаунта можна навіть створити кілька passkey. Це робить спільний доступ у командах простим і безпечним, адже кожен колега може створити свій власний passkey на своєму пристрої.
Passkey безпечніші за пароль, навіть якщо його використовувати разом із двофакторною автентифікацією (2FA). Якщо ви потрапите на фішинговий сайт, який попросить одноразовий код із SMS, електронної пошти чи додатка-автентифікатора, все одно є ризик, що вас обманом змусить надати і пароль, і код 2FA. У випадку з passkey «пароль» і «другий фактор» об’єднані в один безперервний крок, що забезпечує вищий рівень безпеки та швидший процес входу.
Більше того, оскільки кожен passkey генерується виключно для певного домену сайту, навіть якщо хакер створить правдоподібний фішинговий сайт і зможе обманути користувача, passkey просто не пройде автентифікацію на підробленому домені.
Оптимізуйте використання passkey за допомогою менеджера паролів
Менеджер паролів – це програмний інструмент для зберігання ваших паролів. Вони шифруються та зберігаються на вашому пристрої. Ключ шифрування створюється на основі одного додаткового майстер-пароля, який користувач має запам’ятати. Тож навіть якщо хтось заволодіє вашим пристроєм, отримати доступ до паролів без майстер-пароля він не зможе.
Хоча менеджер паролів є надійним інструментом, зловмисник усе ж може спробувати зламати його методом “грубої сили”, тож майстер-пароль має бути довгим і складним. RSF радить встановлювати майстер-пароль довший за 16 символів.
Безпека девайсу – критично важлива
Оскільки passkey прив’язані до конкретних пристроїв, важливо надійно їх захищати: встановлювати складні паролі на пристрої, вмикати біометричну автентифікацію та використовувати безпечні методи зберігання, щоб запобігти несанкціонованому доступу. Якщо зловмисник отримає контроль над пристроєм, на якому зберігаються passkey, він зможе використати їх для входу у ваші акаунти.