Що станеться, якщо я втрачу свій телефон із ключем доступу?

Якщо ключ доступу було синхронізовано з вашим обліковим записом iCloud / Google, ви можете відновити його, увійшовши в цей обліковий запис на новому пристрої. Якщо він був прив’язаний до пристрою (апаратний ключ), зазвичай ви також реєстрували резервний пристрій — кожен сайт, який підтримує ключі доступу, рекомендує зареєструвати принаймні два. Потік відновлення повертається до електронної пошти/SMS, якщо обидва не вдаються.

Чи є ключі доступу такими ж, як біометричний вхід?

Не точно. Біометрія (Touch ID, Face ID) – це те, що розблокує ключ доступу на вашому пристрої. Сам ключ доступу є криптографічним ключем. Відбиток пальця ніколи не залишає ваш пристрій — сайт бачить лише підпис ключа у вашому безпечному анклаві. Біометрія дозволяє криптографію; це не передається.

Чи можна вкрасти ключ?

Приватний ключ знаходиться в захищеному апаратному забезпеченні (Secure Enclave, TPM, TitanM2) і розроблений таким чином, що його не можна витягувати. Ключі доступу, синхронізовані з хмарою, можуть бути розкриті, якщо ваш обліковий запис iCloud або Google зламано, тому ці облікові записи потребують власного надійного захисту (в ідеалі з апаратним ключем 2FA).

Чи всі веб-сайти працюють з ключами доступу?

Лише сайти, які реалізували WebAuthn. Застосування є широким, але нерівномірним — великі технічні та фінансові сайти зазвичай підтримують його, менші сайти часто ні. Якщо сайт не підтримує ключі доступу, ви повертаєтеся до пароля + 2FA, і це нормально.

Чи ключі доступу безпечніші за апаратні?

Приблизно еквівалентно властивості стійкості до фішингу. Апаратні ключі мають одну перевагу: облікові дані ніколи не можуть бути викрадені, навіть якщо ваш комп’ютер або хмарний обліковий запис скомпрометовано. Синхронізовані ключі доступу є більш зручними та такими ж захищеними від фішингу, але менш стійкими до повністю зламаного хмарного облікового запису. Для облікових записів із високими ставками використовуйте апаратний ключ. Для повсякденного використання синхронізовані ключі доступу є правильним балансом.

Пояснення ключів доступу: як FIDO2 і WebAuthn знищують пароль

Ключі доступу є найближчою річчю до справжнього наступника паролів. Вони автентифікують вас за допомогою криптографії замість спільного секрету, вони синхронізуються між вашими пристроями через брелок вашої ОС і за своєю конструкцією вони захищені від фішингу. Усі основні операційні системи, браузери та постачальники ідентифікаційних даних тепер постачають підтримку ключа доступу.

Повний текст статті подано англійською мовою нижче.

A passkey — це облікові дані FIDO2 — пара криптографічних ключів, створена та збережена операційною системою вашого пристрою, яка використовується для автентифікації вас на веб-сайті чи в програмі без введення пароля. Браузер підтверджує володіння закритим ключем, підписуючи виклик із сайту; сайт перевіряє за допомогою зареєстрованого відкритого ключа. Жодних паролів, жодних кодів, ніякого тертя, окрім підказки відбитка пальця чи Face ID.

Які ключі доступу замінюють

Традиційний процес входу має три рівні проблеми:

Паролі можна вгадати. Найпоширенішими є слова зі словника та прості шаблони. Атаки із заповненням обліковими даними переробляють витоку баз даних паролів проти кожного сайту.
Паролі можна використовувати багаторазово. Користувачі повторно використовують їх у різних службах, тож один злам компрометує багато облікових записів.
2FA закріплено. SMS-коди можна перехопити, TOTP можна піддати фішингу. у режимі реального часу лише апаратні ключі справді захищені від фішингу — і апаратні ключі занадто важкі для звичайних користувачів.

Паролі згортають пароль + 2FA в єдину біометричну перевірку або перевірку PIN-коду на пристрої, який уже автентифіковано.

Як насправді ключ доступу працює

Основним протоколом є WebAuthn (стандарт W3C) на стороні браузера та CTAP2 (протокол клієнта для автентифікатора), якщо задіяно окремий пристрій, наприклад апаратний ключ. Разом вони реалізують структуру FIDO2.

Коли ви реєструєте ключ доступу на example.com:

Сайт просить ваш браузер створити облікові дані.
ОС генерує пару ключів ECC (зазвичай на Secure Enclave / TPM / TitanM2).
ОС пов’язує відкритий ключ із example.com та ідентифікатором облікових даних.
Браузер надсилає відкритий ключ на сайт, який зберігає його у записі вашого облікового запису.
Приватний ключ ніколи не залишає безпечне сховище вашого пристрою.

Після наступного входу час:

Сайт надсилає випадковий виклик.
Браузер просить ОС підписати виклик вашим особистим ключем example.com.
ОС запропонує вам авторизуватися — Touch ID, Face ID, Windows Hello або PIN-код.
Підписаний виклик повертається на сайт, який перевіряє проти відкритого ключа, який він зберіг.
Ви ввійшли в систему.

Чому ключі доступу захищені від фішингу

Браузер прив’язує підпис до фактичного домену (походження), який відвідує користувач. Якщо ви перебуваєте на справжньому example.com, підпис буде for example.com. Якщо вас обманом завели на evil-example.com, браузер створить підпис для evil-example.com, який справжній example.com не прийме. Зловмисник не може перехопити та відтворити облікові дані — немає секрету, який можна відтворити, як-от пароль або код TOTP.

Це та сама властивість, завдяки якій апаратні ключі FIDO2 захищені від фішингу, тепер поширюється на облікові дані, керовані ОС, для яких не потрібен окремий ключ.

Sync проти прив’язаний до пристрою

Існує два різновиди ключа доступу:

Синхронізовані ключі доступу. Зберігається в ланцюжку ключів ОС (iCloud Keychain, Google Password Manager, 1Password, Bitwarden) і синхронізується на ваших пристроях. Ви можете увійти зі свого ноутбука за допомогою ключа доступу, створеного на вашому телефоні. Найбільш зручний для споживача.
Паролі, прив’язані до пристрою. Залишайтеся на одному пристрої, як правило, це апаратний ключ. Вищі гарантії безпеки (не можна викрасти, навіть якщо ваш обліковий запис iCloud скомпрометовано) ціною необхідності кожного разу мати фізичний пристрій. Корпоративні та високозахищені випадки використання надають перевагу цим.

Вхід із різних пристроїв

Ви можете ввійти на пристрої, на якому немає вашого ключа доступу, використовуючи ключ доступу на пристрої поблизу. Стандартний процес: ноутбук показує QR-код, ви скануєте його телефоном, ваш телефон автентифікується за допомогою ключа доступу та надсилає твердження на ноутбук через перевірку близькості Bluetooth. Швидкий, не вимагає, щоб телефон був підключений до тієї самої мережі Wi-Fi, запобігає атакам на великій відстані, оскільки Bluetooth підтверджує фізичну близькість.

Прийняття в 2026 році

Розгортання ключа доступу просунулося швидше, ніж типові стандарти безпеки:

Apple, Google, Microsoft надали підтримку ключів доступу у своїх брелоках ОС з 2022–2023 рр.
1Password, Bitwarden, Dashlane додали синхронізацію ключів доступу між ОС у 2023 р.
Основні сайти з підтримкою ключів доступу включають Google, Apple, Microsoft, Meta, Amazon, GitHub, eBay, PayPal, Best Buy, Robinhood, сотні інших
Багато сайтів все ще за замовчуванням використовують пароль+2FA, але пропонують ключ доступу як опцію

Сигнал зараз пов’язаний здебільшого з адаптацією сайту та знайомством користувачів. Технологія встановлена.

Якщо не вистачає ключів доступу

Кілька чесних обмежень:

Відновлення облікового запису важче. Втративши всі свої пристрої та доступ до постачальника послуг синхронізації, ви можете втратити ключі доступу. Сайти, які підтримують ключі доступу, все ще потребують процесу відновлення облікового запису, часто повертаючись до електронної пошти чи SMS, що означає, що рівень безпеки все ще залишається постачальником послуг електронної пошти чи телефону.
Блокування за допомогою екосистеми. Apple iCloud Keychain добре синхронізує ключі доступу між пристроями Apple; для синхронізації між постачальниками потрібен сторонній менеджер паролів.
Захист від фішингу не є захистом від захоплення облікового запису. Ключ доступу не може бути підданий фішингу, але файли cookie сеансу після входу в систему все ще можуть бути викрадені зловмисним програмним забезпеченням.

Для більшості облікових записів ключі доступу краще, ніж паролі. Перенесення відбувається по одному великому сайту.

Часті запитання

Що станеться, якщо я втрачу свій телефон із ключем доступу?: Якщо ключ доступу було синхронізовано з вашим обліковим записом iCloud / Google, ви можете відновити його, увійшовши в цей обліковий запис на новому пристрої. Якщо він був прив’язаний до пристрою (апаратний ключ), зазвичай ви також реєстрували резервний пристрій — кожен сайт, який підтримує ключі доступу, рекомендує зареєструвати принаймні два. Потік відновлення повертається до електронної пошти/SMS, якщо обидва не вдаються.
Чи є ключі доступу такими ж, як біометричний вхід?: Не точно. Біометрія (Touch ID, Face ID) – це те, що розблокує ключ доступу на вашому пристрої. Сам ключ доступу є криптографічним ключем. Відбиток пальця ніколи не залишає ваш пристрій — сайт бачить лише підпис ключа у вашому безпечному анклаві. Біометрія дозволяє криптографію; це не передається.
Чи можна вкрасти ключ?: Приватний ключ знаходиться в захищеному апаратному забезпеченні (Secure Enclave, TPM, TitanM2) і розроблений таким чином, що його не можна витягувати. Ключі доступу, синхронізовані з хмарою, можуть бути розкриті, якщо ваш обліковий запис iCloud або Google зламано, тому ці облікові записи потребують власного надійного захисту (в ідеалі з апаратним ключем 2FA).
Чи всі веб-сайти працюють з ключами доступу?: Лише сайти, які реалізували WebAuthn. Застосування є широким, але нерівномірним — великі технічні та фінансові сайти зазвичай підтримують його, менші сайти часто ні. Якщо сайт не підтримує ключі доступу, ви повертаєтеся до пароля + 2FA, і це нормально.
Чи ключі доступу безпечніші за апаратні?: Приблизно еквівалентно властивості стійкості до фішингу. Апаратні ключі мають одну перевагу: облікові дані ніколи не можуть бути викрадені, навіть якщо ваш комп’ютер або хмарний обліковий запис скомпрометовано. Синхронізовані ключі доступу є більш зручними та такими ж захищеними від фішингу, але менш стійкими до повністю зламаного хмарного облікового запису. Для облікових записів із високими ставками використовуйте апаратний ключ. Для повсякденного використання синхронізовані ключі доступу є правильним балансом.