Что такое Passkey? Безопасный метод аутентификации в: крипто пространстве и традиционной сфере
Эта статья поможет вам четко понять, что такое ключ доступа, его значение на крипторынке, как его применять новичкам, какие преимущества дает ключ доступа и оптимален ли он для пользователей или нет.
Что такое Passkey?
Passkey / ключ доступа — это традиционное решение безопасности без пароля, которое использует биометрическую аутентификацию или аутентификацию по PIN-коду для входа в онлайн-аккаунты и службы.
Это новая технология безопасности, призванная заменить традиционные методы, которые легко взломать, например пароли.
В эпоху цифровизации, особенно рынка криптовалют, где требуется высокий уровень безопасности для учетных записей и цифровых активов, ключи доступа становятся ключевой технологией для защиты цифровых финансовых систем.
Такие платформы, как банки, электронная коммерция и криптовалюта, быстро внедряют ключи доступа для обеспечения безопасности пользователей.
Passkey был разработан FIDO Alliance — альянсом, созданным в 2011 году при участии ведущих технологических компаний, таких как Apple, Google и Microsoft.
Цель этого альянса — создать более безопасный и удобный метод аутентификации, чем традиционные пароли. В настоящее время многие крупные компании, такие как Amazon, WhatsApp, LinkedIn и различные платежные системы, интегрировали ключи доступа для защиты учетных записей пользователей.
Почему Passkey — это большой шаг вперед в области безопасности?
Passkey — это не просто замена пароля, но он также помогает преодолеть проблемы безопасности, с которыми сталкиваются традиционные пароли.
Согласно отчету, Chainaанализа о криптопреступлениях за 2023 год, атаки на криптокошельки и биржи привели к убыткам в размере до 3,8 млрд долларов в 2022 году, что на 30% больше, чем в предыдущем году.
Большая часть этих атак связана с использованием уязвимостей в паролях пользователей.
Исследование Verizon, проведенное в 2022 году, также показало, что 61% кибератак в финансовой отрасли были вызваны кражей или утечкой паролей.
Passkey преодолевает эту слабость, полностью устраняя пароли и полагаясь на биометрию или более безопасный PIN-код. Другой отчет FIDO Alliance показывает, что использование ключей доступа может помочь уменьшить количество атак на основе учетных данных до 80%.
Использование традиционных паролей имеет множество ограничений, особенно в крипто среде:
- Легко взломать: утечка или украденные пароли облегчают хакерам доступ к учетным записям.
- Фишинг: хакеры часто выдают себя за веб-сайт или службу, чтобы украсть пароли пользователей.
- Человеческий фактор. Пользователи, как правило, используют слабые, легко угадываемые пароли или используют один и тот же пароль для нескольких учетных записей, что приводит к более высоким рискам безопасности.
Как работает Passkey?
Passkey используется для аутентификации пользователя без необходимости ввода пароля.
Эта технология основана на стандартах FIDO2 и WebAuthn, что повышает безопасность, полностью устраняя необходимость в уязвимых строках символов пароля.
Этап 1. Храните и используйте пару «открытый ключ — закрытый ключ» в кошельке с ключами доступа.
- Открытый ключ: хранится на сервере службы, где пользователь входит в систему или совершает транзакции (например, биржи криптовалют или кошельки криптовалют).
- Закрытый ключ: хранится локально на устройстве пользователя, например на мобильном телефоне или аппаратном кошельке. Закрытый ключ никогда не покидает устройство и используется для подтверждения личности пользователя путем подписания запроса на аутентификацию.
Этап 2: Процесс аутентификации
Когда пользователь хочет войти в кошелек или совершить транзакцию, система отправляет запрос аутентификации с сервера на его устройство.
Устройство пользователя будет использовать закрытый ключ для подписи этого запроса.
- Пользователи проходят аутентификацию с помощью биометрических данных (отпечатков пальцев, распознавания лиц) или PIN-кода на своем устройстве. Этот процесс гарантирует, что только пользователи, владеющие устройством, смогут использовать закрытый ключ для входа в систему или выполнения транзакций.
- Как только запрос подписывается закрытым ключом, открытый ключ на сервере проверяет и подтверждает запрос. Если открытый и закрытый ключи совпадают, процесс аутентификации завершен, и пользователь может получить доступ к кошельку или совершать транзакции.
Примечание:
Закрытый ключ Passkey и закрытый ключ криптокошелька основаны на механизме шифрования открытого ключа — закрытого ключа для аутентификации и безопасности. Однако ключи доступа в основном используются для аутентификации входа в систему и безопасности учетной записи, а закрытые ключи криптокошелька используются для управления криптоактивами в блокчейне.
Пользователи не должны путать эту концепцию, поскольку их цели различны, что приводит к разным уровням важности для каждого типа ключа.
Passkey и блокчейн: технические различия
При интеграции Passkey в блокчейн, особенно в кошельках со смарт-контрактами, следует учитывать техническую разницу, которая требует технических корректировок при внедрении ключей доступа в блокчейн.
В этом и заключается разница в использовании эллиптических кривых.
Во многих приложениях, таких как Apple, Android и WebAuthn, ключ доступа использует эллиптическую кривую secp256r1 (P-256). Это обычная кривая в современных системах аутентификации на основе криптографии.
Закрытый ключ криптокошелька. В большинстве блокчейнов, таких как Биткойн и Эфириум, закрытый ключ использует эллиптическую кривую secp256k1. Это отдельный стандарт, используемый в системах блокчейна для оптимизации децентрализованных транзакций.
Это усложняет интеграцию Passkey в блокчейн, поскольку эти два типа эллиптических кривых естественным образом несовместимы друг с другом.
Применение Passkey в различных областях
Passkey постепенно становится популярным и применяется во многих различных отраслях, особенно в областях, требующих высокой безопасности, таких как банковское дело, электронная коммерция и криптовалюта.
Эти приложения не только повышают безопасность, но и повышают удобство работы пользователей.
Вход в свой онлайн-аккаунт
Вместо использования пароля, Passkey позволяет пользователям входить в онлайн-аккаунты (например, электронную почту, социальные сети, банки, электронные кошельки) с использованием биометрических данных или PIN-кода.
Google, Apple и Amazon:
- Google внедрила Passkey для пользователей Gmail и других учетных записей, помогая входить в систему без пароля.
- Apple также интегрировала Passkey в iCloud и свои службы, помогая синхронизировать ключи доступа между устройствами с помощью службы «Связка ключей iCloud».
- Amazon: Некоторые сервисы электронной коммерции, такие как Amazon, также начали тестировать Passkey, чтобы помочь пользователям легче совершать покупки и управлять учетными записями.
Дополнительная защита аккаунта на бирже криптовалют
На криптовалютных биржах, таких как Binance, Coinbase, Bybit и других, Passkey используется для входа в систему и аутентификации транзакций без использования пароля или двухфакторной аутентификации (2FA).
Кроме того, Passkey также используется для аутентификации, когда пользователи выполняют торговые задачи P2P и другие.
На Binance или Coinbase пользователи могут получить доступ к своим учетным записям с помощью Passkey, используя методы биометрической аутентификации (например, Touch ID или Face ID), ключи безопасности USB/ NFC или блокировку экрана и PIN-код.
Этот метод полностью заменяет ввод традиционного пароля, помогая повысить безопасность аккаунтов на Binance.
После настройки пользователи могут использовать ключ доступа для входа в систему с нескольких устройств и управлять им напрямую через приложение или веб-сайт Binance.
Binance поддерживает эту функцию с марта 2023 года, и она работает аналогично двухфакторной аутентификации (2FA), но с более высоким уровнем безопасности и более плавной работой.
Электронный кошелек и банковские приложения
Passkey используется в электронных кошельках и мобильных банковских приложениях, помогая пользователям безопасно совершать транзакции без необходимости ввода пароля.
Платежные сервисы начали использовать Passkey, позволяющий пользователям отправлять и получать средства без необходимости ввода пароля или кода OTP.
Аутентификация транзакций в dApps и DeFi
Passkey в кошельках со смарт-контрактами рассматриваются как важный шаг вперед в упрощении процесса входа в систему и аутентификации транзакций, особенно для кошельков, совместимых со стандартом ERC-4337 на Ethereum.
Когда пользователь активирует транзакцию, для подписи транзакции используется закрытый ключ, а Passkey упрощает этот процесс, используя биометрию для проверки пользователя вместо необходимости вводить пароль.
В среде блокчейна разница между эллиптическими кривыми вызывает проблемы при интеграции Passkey с системами блокчейна, такими как Ethereum.
Однако с развитием таких решений, как абстракция учетных записей (ERC-4337), эти проблемы постепенно преодолеваются, открывая возможности для интеграции Passkey в кошельки смарт-контрактов для безопасной аутентификации транзакций.
В будущем будет уделяться еще больше внимания интеграции Passkey в кошельки со смарт-контрактами, поскольку это может помочь повысить безопасность криптоактивов, особенно в среде DeFi, где пользователям необходимо защищать активы от сложных кибератак.
Доступ к государственным услугам
Государственные учреждения и общественные организации также могут использовать Passkey для защиты информации и входа в государственные службы.
В некоторых странах ЕС ключи доступа используются для доступа к государственным системам и правительственным онлайн-сервисам, помогая пользователям защитить личную информацию без необходимости ввода пароля.
Аутентификация в корпоративных приложениях
В крупных компаниях и организациях ключи доступа помогают безопасно войти во внутренние системы или корпоративные приложения, особенно в контексте перехода многих компаний на модель удаленной работы.
- Microsoft: Microsoft интегрировала Passkey, который помогает сотрудникам входить в приложения компании без пароля, одновременно повышая безопасность.
- Okta: Решения для управления идентификацией, такие как Okta, используют Passkey, чтобы помочь предприятиям повысить безопасность доступа.
Преимущества Passkey
Ключ безопасности
Безопасность — самое большое преимущество, которое Passkey приносит на рынке криптовалют. Сочетая открытый и закрытый ключи с биометрической аутентификацией, Passkey помогает защитить цифровые активы от кибератак.
- Возможности защиты от фишинга: Passkey исключает риск фишинга, поскольку на веб-сайтах пароли не вводятся. Хакеры не могут украсть данные для входа в систему с помощью подмены веб-сайта.
- Защита от атак методом подбора пароля: Passkey не уязвим для атак методом подбора пароля, поскольку он использует шифрование с открытым ключом, а не полагается на строку символов пароля.
- Безопасность с помощью биометрии. Сочетание Passkey с методами биометрической аутентификации, такими как распознавание лиц или отпечатки пальцев, повышает безопасность, поскольку только владелец устройства может получить доступ к учетной записи или вашему кошельку.
Удобно для пользователей
Сложность запоминания длинных и надежных паролей является препятствием для многих пользователей. С Passkey пользователи смогут:
- Нет необходимости запоминать пароли: пользователям не нужно запоминать несколько сложных паролей для разных криптовалютных кошельков или учетных записей dApps. Это особенно полезно, поскольку количество приложений и учетных записей в криптовалюте увеличивается.
- Быстрая аутентификация. Использование ключа доступа помогает пользователям быстро аутентифицироваться с помощью отпечатка пальца или сканирования лица вместо необходимости вводить длинный пароль или фразу восстановления.
- Совместимость на нескольких платформах: в настоящее время Passkey поддерживается во многих основных операционных системах, таких как Windows, macOS, iOS и Android, что позволяет пользователям использовать эту технологию на самых разных устройствах. Это позволяет легко интегрировать ключ доступа в онлайн-платформы и приложения, включая криптобиржи и криптокошельки.
Минусы Passkey
Зависит от поддержки устройства
Passkey работает только на устройствах, поддерживающих биометрию или безопасные PIN-коды.
Если пользователи используют старое устройство или устройство, которое не поддерживает эту функцию, они не смогут использовать Passkey.
Это ограничивает применимость для пользователей с устаревшими устройствами.
Риск потери устройства
Если устройство, содержащее ключ доступа, утеряно, у пользователей могут возникнуть трудности с восстановлением своей учетной записи, особенно если нет резервной копии ключа доступа или кода восстановления.
Это может создать риск безвозвратной потери доступа к вашей учетной записи, если не установлена отказоустойчивая система.
Трудно менять устройства.
Перенос ключей доступа с одного устройства на другое может оказаться сложной задачей.
В частности, если пользователи используют разные экосистемы (например, от Android до iOS), синхронизация между устройствами может быть не гладкой, что вызывает неудобства в использовании.
Пока не широко поддерживается
Хотя основные платформы, такие как Google, Apple и Microsoft, уже поддерживают Passkey, не все онлайн-сервисы поддерживают эту технологию.
Пользователям по-прежнему приходится использовать как традиционные ключи доступа, так и пароли для несовместимых сервисов, что создает неудобства при входе.