У цифровому світі важливо створювати надійні паролі, які неможливо зламати й легко забути. Однак класичний злом з обходом криптографії — рідкість, що вимагає ресурсів, тоді як простий фішинг — лідер серед шахрайських атак — схема, здатна отримати доступ до активів незалежно від складності пароля.
Ця проблема особливо гостро стоїть у світі криптовалют, де користувачі керують своїми грошима й потребують безпечного інструменту. Вирішити це завдання може Passkey: пропонуючи зв’язку «пристрій + криптографія» взагалі без паролів.
Як це працює і в чому криптографічна сила Passkey?
Що таке Passkey й навіщо він потрібен
Passkey — альтернатива традиційним паролям, яка замість складних комбінацій символів використовує вбудовані засоби захисту сучасних пристроїв: Face ID і Touch ID (біометричні дані), PIN-код. На їхній основі генерується пара відкритих і закритих ключів — вони використовуються для входу: без зберігання на зовнішньому сервері.
Цей стандарт розроблений FIDO Alliance спільно з World Wide Web Consortium. Він був випущений у 2018 році, а у 2022 про його підтримку заявили Apple, Google й Microsoft.
У чому полягає криптографічна сила PassKey
Passkey з’явився як відповідь на головну проблему цифрової безпеки — низький рівень захисту. Люди використовують повторювані комбінації, забувають їх, втрачають, вводять на фішингових сайтах, у той час, як сервіси змушені зберігати величезну кількість чутливих даних, які регулярно витікають. Усе це робить паролі найслабшою ланкою всього ланцюга автентифікації в цифровому світі.
Passkey вирішує це радикальним способом: він усуває необхідність у паролях. Технологія замінює рядок, який можна вкрасти, на спеціальний ключ, прив’язаний до пристрою — захищений біометрією, локальним сховищем і криптографією.
- Захист від фішингу за замовчуванням. Користувач ніколи не вводить паролі, які можна «втратити» на шахрайському сайті. Passkey просто не спрацює на підробленому домені й не може бути вилучений.
- Криптографія замість людського чинника. Складність переміщується з голови користувача в математичну модель: криптографічні підписи, що перевіряються сервером. Це виключає соціальну інженерію й інші атаки.
- Спрощений вхід і сховище. Вхід зводиться до кнопки підтвердження або розблокування пристрою. Не потрібно нічого запам’ятовувати або вводити. Водночас закритий ключ зберігається тільки на пристрої, а відкритий на сервері, що дає змогу безпечно переміщатися між пристроями, зберігаючи зручність.
- Менший простір атак. Сервісу не потрібно обробляти, шифрувати й захищати паролі мільйонів користувачів, що зменшує поверхню атак і наслідки витоків, а значить відповідальність і для платформ, і для клієнтів.
PassKey — це ідеальне рішення для криптогаманців. Його механіка природно поєднується з логікою криптографії блокчейну, що знижує ризик людських помилок і робить процес простішим і безпечнішим без зниження криптографічної сили.
Вартість помилки стає майже нульовою
Класична модель з паролями небезпечна тим, що один і той же секрет знають обидві сторони — і його можна вкрасти в будь-якій ланці. У Passkey все працює інакше: сервіс зберігає тільки публічний ключ, а приватний залишається на пристрої й не залишає його. Якщо зловмисник зламає базу даних і отримає доступ до відкритих ключів, то вони однаково не можуть бути використані для підбору вашого закритого ключа. Якщо хтось вкраде ваш телефон, він не зможе отримати доступ без біометрії.
Це захист із двох боків: серверу нічого втрачати, а в користувача нічого виманити.
Як технічно працює Passkey
В основі технології лежить механізм асиметричних ключів. Коли людина вперше вибирає вхід за допомогою Passkey, формується нова пара ключів. Приватний ключ записується в захищений модуль пристрою, а відкритий передається платформі.
- Для цього система просить пройти перевірку: відбиток, сканування обличчя або короткий PIN. Після цього сервіс отримує публічний ключ разом з атрибутами облікового запису. Сервер не знає і не може дізнатися, що зберігається.
- Кожен вхід починається з того, що сервер відправляє пристрою унікальний код — випадковий рядок, що діє один раз. Пристрій підписує цей запит приватним ключем, але тільки після підтвердження особи користувача (біометрія або PIN). Потім підпис повертається серверу.
- Сервер зіставляє підпис із публічним ключем: якщо все збігається й код коректний, доступ відкритий. Жоден крок не вимагає передачі приватного ключа.
Кожне підтвердження — нова підписана операція. Підробити її неможливо.
Біометрія або PIN не служать прямим способом входу в сервіс — вони захищають сам приватний ключ. На їх основі також відбувається шифрування даних користувача, підписи з'єднання із серверів криптографічними методами. Найчастіше це методи на основі еліптичних кривих ECDSA (Elliptic Curve Digital Signature Algorithm), ECDH (Elliptic Curve Diffie-Hellman), EdDSA, алгоритми на базі RSA.
Ці методи використовують і найкращі криптогаманці в поєднанні з технологією PassKey.
Як реалізовано PassKey в Trustee Plus і як його налаштувати
Розглянемо варіант реалізації технології на прикладі криптогаманця Trustee Plus.
Це мобільний сервіс для управління цифровими активами з акцентом на зручність — простота роботи без спеціальних знань навіть для новачків — і безпеку: 2FA, PIN, біометрія, шифрування, а після чергового оновлення — технологія PassKey.
За словами CTO Ксенії Житомирської, реалізація цієї технології в криптовалютному гаманці — це «наступний етап еволюції безпеки, який поєднує нативність, швидкість і захист на рівні, якого неможливо досягти звичайними паролями або навіть 2FA». Сервіс не знає приватний ключ клієнта, а користувач — публічний.
Як налаштувати Passkey в Trustee Plus:
- По-перше, встановити додаток з AppStore/Google Play або оновити його.
- Підключити двофакторну аутентифікацію, якщо вона не була налаштована раніше. Для цього потрібен Google Authenticator і електронна пошта.
- Перейти в налаштування — на головному екрані в лівому верхньому куті — і вибрати «Безпека», а далі «Методи логіну». Натиснути на кнопку «PassKey».
- Виберіть спосіб зберігання приватного ключа з трьох варіантів — менеджер паролів на телефоні, хмарний акаунт або апаратний ключ (сам телефон).
- Введіть код, надісланий на пошту. Після цього ключі будуть створені.
Після генерації наступний вхід у додаток вимагатиме тільки введення PIN-коду або біометрії при збереженні рівня безпеки. Без введення автентифікатора 2FA.
При вході з нового пристрою система запропонує варіанти доступних джерел ключа: паролі з Google Password Manager на Android або iCloud Keychain в iOS або зі сторонніх сервісів, як BitWarden — з їхньою допомогою можна повернути доступ навіть при втраті пристрою. Якщо ж зберігати ключ апаратно — доступ зникне разом з ним.
У цифровому світі, де щодня з’являються не тільки технології, але й загрози, важливо зберігати свої активи в гаманці з відповідними протоколами безпеки. PassKey й Trustee Plus дозволяють робити це — і зберегти не тільки криптографічні принципи та їхній рівень безпеки, а отже і свої заощадження, але й зручність роботи.