Что такое ключи доступа и почему они не лучше паролей?
Пароли всегда были проблемными с точки зрения техобслуживания и поддержки. Большинство пользователей либо помнят их и рискуют использовать везде одни и те же, либо хранят их где-то в другом месте и надеются, что оно будет доступно, если пароль вдруг понадобится. Но что насчет ключей доступа? Портал howtogeek.com рассказал, в чем их плюсы и минусы.
На современном устройстве включить вход по ключу доступа достаточно просто. Нужно открыть настройки аккаунта, выбрать опцию, подтвердить личность — и система сохранит данные. Копировать какие-то строчки текста и сохранять их в отдельном файле не нужно, да и сам по себе процесс больше похож на разблокировку смартфона.
Другой разговор, что ситуация меняется, если вы пользуетесь несколькими устройствами. Хотя технически ключи доступа могут быть доступны между разными устройствами, на практике это зависит от того, как они хранятся. На одной системе ключ может быть привязан к операционной системе и синхронизирован через облачный аккаунт, а на другой — прикреплен к профилю браузера. Каждая модель работает самостоятельно, но они не сочетаются в единую, понятную систему. Из-за этого иногда тяжело ответить на простейший вопрос: где находится сертификат и как его можно использовать где-нибудь еще?
Помимо этого, пользование ключами добавляет необходимость координации между устройствами. Вход в аккаунт на ПК часто означает, что действие нужно подтвердить через смартфон, на котором уже сохранен сертификат. Ничего плохого в таком алгоритме нет — но он подразумевает, что смартфон всегда доступен. Если нет, то процедура становится менее предсказуемой, поскольку некоторые сервисы предлагают запасные варианты входа, тогда как другие не предлагают вообще никаких.
К тому же, стоит только потерять ключ доступа, как его архаичные уязвимости становятся очевидны. В теории, ключи можно восстанавливать через синхронизированные бэкапы, но для этого вся информация должна храниться в пределах одной экосистемы. Перемещение между платформами усложняет процесс, и большинство сервисов так или иначе полагаются на традиционные методы восстановления. Подтверждение по почте, SMS-коды, резервные коды, иногда — опция сброса пароля. То есть, пароли как явление по-прежнему существуют, просто не на первом плане.
Ключи доступа также по-разному интегрированы на различных платформах. Одни позволяют почти целиком перейти на ключ для подтверждения личности, а другие расценивают их как дополнительную опцию. В итоге могут возникнуть странные несовпадения: аккаунт может попросить ключ доступа в одном браузере, но запросить обычный пароль — в другом.
Присутствие паролей делает всю систему менее безопасной, но в большинстве сетапов это единственный способ встроить ключ доступа в аккаунт, который используется на нескольких устройствах. Ключи по умолчанию созданы для того, чтобы быть привязанными к специфическому устройству, из-за чего их сложнее настроить под нужды разных систем. Некоторые, вроде Apple Passwords, позволяют делиться информацией через хранилище iCloud — но только между пользователями внутри экосистемы Apple. Некоторые менеджеры паролей, вроде Bitwarden, поддерживают обмен сертификатами через коллекции, но, опять же, только при условии, что все клиенты пользуются одинаково настроенными, совместимыми клиентами.
Другими словами, идея ключей доступа привлекательна, но они надстроены поверх приложений и платформ, которые до сих пор зависят от традиционных паролей — причем таким образом, что от них тяжело отказаться. Ключи доступа не заменяют эту модель; они просто делают ее сложнее, мало что предлагая взамен.