Ключи доступа и FSA Японии: курс на MFA с защитой от фишинга (2026)

1. Введение: Почему страница FSA от 16 апреля 2026 года имеет значение#

Страница FSA Японии от 16 апреля 2026 года важна, поскольку она публично смещает фокус с обычной MFA на аутентификацию с защитой от фишинга. На странице ключи доступа и PKI называются предпочтительными примерами, отвергаются одноразовые пароли по email и SMS как достаточная защита от современного фишинга, а внутриотраслевое обсуждение соответствия требованиям превращается в рыночный сигнал для потребителей.

Анонс FSA Японии от 16 апреля 2026 года на первый взгляд выглядит скромно. Это не новый закон. Это не прямое принудительное действие. Он не устанавливает новых сроков для обеспечения соответствия требованиям. Вместо этого он запускает общественную кампанию с загружаемыми буклетами и плакатами.

Что Агентство финансовых услуг (FSA) сделало здесь, так это перевело обсуждение из отраслевого/нормативного канала в публичную плоскость. Регулятор больше не ограничивается указаниями банкам, брокерам и торговым ассоциациям усилить аутентификацию. Теперь он сообщает обычным пользователям, что:

• аутентификация только по паролю ненадежна,
• одноразовых паролей по email и SMS больше недостаточно,
• пользователям следует отдавать предпочтение MFA с защитой от фишинга, и
• ключи доступа и аутентификация PKI — это правильное направление.

Это серьезное изменение тона. А в жестко регулируемых отраслях, таких как банковское дело, изменение тона часто превращается в давление на внедрение задолго до появления текста следующего официального правила.

Эта публичная кампания также не возникла из ниоткуда. В собственном брифинге на английском языке за июнь 2025 года FSA уже предупреждало, что аутентификация только по ID/паролю уязвима, и что одноразовые пароли, отправляемые по email или SMS, недостаточно эффективны против фишинга. Тем временем, в отраслевых публикациях конца 2025 года сообщалось, что японский рынок насчитывает 64 организации в Рабочей группе FIDO Japan и более 50 провайдеров ключей доступа (уже работающих или планирующих запуск), что указывало на реальную динамику внедрения еще до апрельской публичной кампании 2026 года (статья CNET Japan). Более подробный обзор того, как японские банки, платформы и регуляторы переходят на беспарольную аутентификацию, можно найти в нашем обзоре ключей доступа в Японии.

2. Что на самом деле опубликовало FSA 16 апреля 2026 года#

Страница от 16 апреля — это скоординированный пакет публичной кампании, а не отдельный пресс-релиз. Он объединяет 9 материалов для повторного использования (5 буклетов в PDF и 4 рекламных видеоролика), согласовывает позиции банков, групп по ценным бумагам и полиции и сообщает потребителям, что MFA с защитой от фишинга должна заменить использование паролей и OTP для финансовых операций с высоким риском.

На официальной странице представлены ссылки на 5 буклетов в формате PDF, которые состоят из общего обзора и подробных версий по двум темам (MFA с защитой от фишинга и осведомленность о фишинговых письмах):

• Обзор (概要版)
• MFA с защитой от фишинга, обзор
• MFA с защитой от фишинга, подробно
• Осведомленность о фишинговых письмах, обзор
• Осведомленность о фишинговых письмах, подробно

Помимо PDF-файлов, на странице продвигаются 4 рекламных видеоролика на те же две темы. Они созданы в форматах дорамы и манги, чтобы кампания могла охватить разные возрастные группы и контексты, а не только тех, кто читает нормативные документы.

Кампания позиционируется как совместная инициатива FSA с:

• общенациональными банковскими ассоциациями,
• банками shinkin (кредитные кооперативы),
• кредитными союзами,
• банками труда,
• отраслевыми группами по ценным бумагам, и
• Национальным полицейским агентством.

Этот масштаб имеет значение. Это не нишевое предупреждение только для рынка ценных бумаг. Это скоординированное сообщение для всей розничной финансовой экосистемы Японии.

2.1 Главная политическая идея#

Ключевой термин, используемый в кампании — フィッシングに耐性のある多要素認証, что означает многофакторная аутентификация с защитой от фишинга.

В буклетах поясняется, что устаревшие методы аутентификации отстали от современной модели угроз:

• пароли могут быть похищены с помощью фишинга или использованы повторно,
• OTP по email / SMS могут быть украдены в реальном времени,
• вредоносное ПО может отслеживать или манипулировать пользовательской сессией, и
• поддельные сайты могут имитировать настоящий бренд настолько точно, что визуальный осмотр перестает быть надежной защитой.

Затем в кампании представлены два основных примера более надежной аутентификации:

1. Ключи доступа
2. Аутентификация на основе PKI

Вторая часть очень важна. Япония не позиционирует это как требование «все должны использовать ключи доступа». Регулятор определяет желаемый результат как аутентификацию с защитой от фишинга, и ключи доступа — один из самых понятных потребителям способов его достижения.

Чтобы конкретизировать это различие, формулировка FSA неявно разделяет методы аутентификации следующим образом:

2.2 Кампания также затрагивает поведение пользователей#

Материалы не фокусируются исключительно на технологиях аутентификации. Они также призывают пользователей:

• не входить в систему по ссылкам из email или SMS,
• использовать закладки или официальные приложения,
• не доверять незнакомым экранам и необычным запросам,
• отдавать предпочтение официальным магазинам приложений, и
• с осторожностью относиться к странным инструкциям в браузере, таким как неожиданные сочетания клавиш.

Другими словами, FSA не притворяется, что технология аутентификации сама по себе решает всю проблему. Оно сочетает технические меры противодействия с поведенческой гигиеной.

3. Что в этом нового, а что нет#

Страница от 16 апреля является новостью, потому что она меняет публичное восприятие, а не потому, что создает новый самостоятельный закон. Реальное развитие событий заключается в том, что регулятор Японии теперь публично объясняет, почему ключи доступа и PKI лучше, чем связка «пароль плюс OTP». Это дает финансовым учреждениям более веские основания для пересмотра аутентификации в пользу защиты от фишинга.

3.1 Что действительно нового#

Страница от 16 апреля содержит новшества по меньшей мере в четырех аспектах:

3.1.1 Ключи доступа теперь являются частью публичного словаря регулятора#

Многие регуляторы говорят о MFA в абстрактных терминах. FSA Японии делает нечто более конкретное: оно сообщает общественности, что ключи доступа — это более сильная защита от фишинга и подмены личности, чем старые модели входа.

Это важно, потому что публичное упоминание меняет решения по продуктам. Как только регулятор публично называет ключи доступа, финансовым учреждениям становится проще обосновать инвестиции внутри компании:

• команды по комплаенсу могут ссылаться на регулятора,
• команды по управлению рисками могут напрямую связать ключи доступа со снижением потерь от фишинга,
• продуктовые команды могут позиционировать ключи доступа как решение, соответствующее официальным указаниям, а не как необязательный инновационный проект.

3.1.2 FSA публично понижает статус OTP#

Это не тонкий намек. В материалах утверждается, что OTP, доставляемые по email или SMS, все еще могут быть скомпрометированы с помощью:

• фишинга в реальном времени,
• перехвата по принципу «человек посередине» (man-in-the-middle), и
• кражи с помощью вредоносного ПО.

Это звучит сильнее, чем стандартная рекомендация, в которой говорится, что OTP «менее безопасны». Это регулятор, сообщающий общественности, что MFA на основе OTP не обеспечивает значимой защиты от фишинга.

3.1.3 Сообщение носит межотраслевой характер#

Япония не ограничивает это одной вертикалью. Банки, брокеры и другие участники финансового рынка являются частью одного и того же публичного сигнала. Это повышает вероятность более широкой стандартизации в экосистеме:

• банки могут приучить пользователей ожидать более надежного входа,
• брокеры могут сделать более строгую аутентификацию настройкой по умолчанию для действий с высоким риском,
• пользователи будут сталкиваться со схожими формулировками в разных учреждениях вместо противоречивых объяснений.

3.1.4 FSA обучает потребителя напрямую#

Это самый важный пункт.

Существует огромная разница между:

• регулятором, указывающим финансовым учреждениям, что они должны внедрить, и
• регулятором, объясняющим клиентам, как теперь выглядит безопасная аутентификация.

Второй шаг снижает политические и UX-риски внедрения. Банк или брокер теперь может сказать: «Это не просто наша идея; это направление, которое продвигает сам регулятор».

3.2 Что не является новым#

Страница не создает сама по себе:

• нового самостоятельного предписания,
• новых сроков внедрения,
• подробной технической спецификации для ключей доступа,
• заявления о том, что ключи доступа — единственно приемлемая технология, или
• списка санкций, напрямую связанных с этой кампанией.

Это различие имеет значение, поскольку многие читатели будут преувеличивать значение анонса, утверждая, что «Япония только что сделала ключи доступа обязательными». Это недостаточно точно.

Лучше интерпретировать это так:

Это имеет стратегическое значение, даже если само по себе не является новым правилом.

4. Почему FSA право, сосредотачиваясь на MFA с защитой от фишинга, а не на обычной MFA#

FSA право, поскольку обычная MFA все еще оставляет основной путь мошенничества открытым. Пароль плюс OTP добавляет еще один многоразовый секрет, в то время как MFA с защитой от фишинга меняет протокол так, что поддельный сайт не может завершить аутентификацию, даже если пользователя обманом заставили попытаться войти.

4.1 OTP решает вчерашнюю проблему#

Одноразовые пароли по SMS и email были разработаны, чтобы усложнить повторное использование учетных данных. Они эффективны против некоторых старых схем атак, но современным злоумышленникам не нужно использовать код повторно спустя несколько часов. Они крадут его в реальном времени. Это имеет еще большее значение на рынке, где повторное использование паролей в Японии все еще крайне распространено, что означает компрометацию первого фактора еще до того, как начнется этап ввода OTP.

В этом заключается основная проблема фишинга в реальном времени:

1. Жертва попадает на поддельный сайт.
2. Жертва вводит имя пользователя и пароль.
3. Злоумышленник пересылает эти учетные данные на настоящий сайт.
4. Настоящий сайт запрашивает OTP.
5. Поддельный сайт просит жертву ввести OTP.
6. Злоумышленник немедленно использует его для завершения настоящего входа.

В этом процессе OTP не останавливает злоумышленника. Он просто становится еще одним секретом, который жертву можно заставить раскрыть.

4.2 Ключи доступа меняют модель доверия#

Ключи доступа работают иначе, поскольку они привязаны к источнику (origin-bound). Учетные данные могут быть использованы только на легитимном сайте, связанном с проверяющей стороной (relying party) ключа доступа. Техническая основа этого поведения описана в спецификации W3C WebAuthn и в документации по ключам доступа FIDO Alliance. Оба документа описывают модель «вызов-ответ» с привязкой к сайту, которая не позволяет поддельному домену повторно использовать учетные данные, созданные для настоящего.

Это означает, что поддельный домен не может просто попросить пользователя «ввести ключ доступа» так, как он запрашивает пароль или OTP. Вводить нечего (нет многоразового секрета), и браузер / операционная система проверяет контекст сайта, прежде чем аутентификация сможет продолжиться.

Вот почему ключи доступа занимают центральное место в аутентификации с защитой от фишинга:

• нет общего секрета, который нужно вводить повторно,
• от пользователя не требуется вручную передавать многоразовый код,
• закрытый ключ никогда не покидает устройство пользователя, и
• аутентификатор привязан к легитимному источнику.

Вот почему кампания от 16 апреля имеет значение. FSA не просто говорит «используйте лучшую MFA». Оно указывает на методы аутентификации, при которых фишинговый сайт терпит неудачу на уровне протокола, а не просит пользователя обнаружить мошенничество вручную.

4.3 PKI тоже имеет значение#

Кампания Японии также выделяет PKI и прямо упоминает, что учетные данные карты My Number могут быть использованы в контексте аутентификации.

Это не случайно. У Японии более глубокая институциональная история с моделями идентификации на основе сертификатов, чем у многих западных потребительских рынков. Таким образом, вероятное конечное состояние Японии — это не «только ключи доступа». Оно ближе к:

• ключам доступа для основного потребительского входа и процессов повышения уровня доступа (step-up),
• PKI / аутентификации на основе сертификатов для более высоких гарантий или сценариев идентификации, подобных тем, что применяются в государственном секторе,
• и более широким нормативным предпочтениям в пользу решений с защитой от фишинга.

Для продуктовых команд это означает, что правильное стратегическое сравнение — это не «ключи доступа против паролей». Оно больше похоже на:

• ключи доступа против OTP по email/SMS для потребительского входа,
• ключи доступа против программных токенов в приложении для банковского UX,
• ключи доступа против PKI для уровней гарантии и подтверждения личности.

5. Почему 16 апреля имеет еще большее значение в контексте предыдущих нормативных указаний Японии#

16 апреля имеет значение, потому что эта дата превращает надзорную тенденцию в общественную норму. После того, как в 2025 году FSA предупреждало, что аутентификация только по паролю и аутентификация с активным использованием OTP слишком слабы, кампания апреля 2026 года напрямую сообщает потребителям, как должна выглядеть замена: MFA с защитой от фишинга с использованием ключей доступа, PKI или и того, и другого.

К 2025 и началу 2026 года финансовый сектор Японии уже двигался в сторону более строгих мер контроля после инцидентов с компрометацией счетов из-за фишинга в секторе ценных бумаг и других финансовых онлайн-сервисах. Этому предшествовала череда громких утечек данных в Японии, которые удерживали вопросы перехвата учетных записей и кражи учетных данных в повестке дня регуляторов. В соответствующих материалах FSA и более поздних комментариях об изменениях в руководящих принципах регулятор провел более четкое различие между:

• «какой-нибудь MFA», и
• MFA с защитой от фишинга.

Эта разница решает все.

Обычная MFA все еще может оставить пользователей уязвимыми для:

• кражи OTP,
• переадресации на поддельные сайты,
• усталости от push-уведомлений / злоупотреблений подтверждениями,
• скомпрометированных конечных устройств,
• слабых процедур восстановления.

Напротив, MFA с защитой от фишинга явно пытается блокировать основной путь мошенничества, а не просто добавлять еще одно препятствие. Таким образом, кампанию от 16 апреля лучше всего рассматривать как публичную реализацию более широкого направления, уже формирующегося в Японии:

• финансовые сервисы не должны просто добавлять больше препятствий,
• они должны перейти к методам аутентификации, которые ломают экономику фишинга.

На первый взгляд, эта эволюция проходит через четыре вехи менее чем за год:

С указанием источников, эта же хронология выглядит так:

• Июнь 2025 г.: Англоязычное резюме проблем FSA заявляет, что аутентификация только по паролю ненадежна, а одноразовые пароли по email / SMS недостаточно эффективны против фишинга.
• 15 июля 2025 г.: Проект руководства JSDA продвигает MFA с защитой от фишинга для чувствительных действий с ценными бумагами, таких как вход в систему, вывод средств и изменение банковского счета.
• Конец 2025 г.: В отчетах о рынке сообщается о более 50 провайдерах ключей доступа и 64 организациях Рабочей группы FIDO Japan в Японии (CNET Japan).
• 16 апреля 2026 г.: Публичная кампания FSA доносит ту же идею защиты от фишинга напрямую до потребителей.

В этом смысле данная страница является в меньшей степени «информационным маркетингом», чем кажется. Это публичное лицо более глубокого регуляторного и экосистемного сдвига.

6. Что это означает для японских банков, брокеров и финтех-компаний#

Японским финансовым учреждениям следует рассматривать кампанию 16 апреля как повышение минимальных требований к входу в систему, восстановлению доступа и действиям с аккаунтом с высоким уровнем риска. Как только регулятор публично заявляет, что одноразовые пароли по email и SMS недостаточно эффективны, слабую MFA, во многом опирающуюся на резервные методы, становится сложнее защищать с точки зрения предотвращения мошенничества, продукта и надзора.

6.1 «Наличия MFA» больше недостаточно#

Предлагать SMS OTP в качестве резервного варианта и при этом позиционировать этот опыт как «безопасную MFA» становится все сложнее. Публичное сообщение регулятора теперь проводит более строгое различие: целью должна быть MFA с защитой от фишинга. Более широкая работа отрасли по внедрению обязательной MFA с ключами доступа указывает в том же направлении.

Это означает, что организации должны оценить:

• где все еще используются OTP по SMS/email,
• какие процессы связаны с высоким риском,
• являются ли ключи доступа необязательными или действительно поощряются,
• насколько сильна зависимость от резервных методов, подверженных фишингу.

6.2 Процессы с высоким риском требуют особого подхода#

Наиболее чувствительные процессы — это не только вход в систему. На практике учреждениям следует проанализировать каждую поверхность, уязвимую для фишинга:

• вход в систему,
• выплаты / снятие средств,
• изменение счета получателя,
• восстановление доступа и перепривязка устройства,
• изменение профиля и контактных данных,
• доступ к API или агрегации.

Многие учреждения до сих пор защищают страницу входа сильнее, чем процесс восстановления учетной записи. Это в корне неверно. Злоумышленники будут использовать самый слабый из доступных путей.

6.3 Восстановление доступа становится стратегической продуктовой проблемой#

Как только аутентификация с защитой от фишинга становится стандартом, восстановление становится самой сложной частью проектирования.

Внедрение ключей доступа все равно может провалиться на операционном уровне, если восстановление опирается на слабые email-потоки, социальную инженерию или процедуры поддержки, которые вновь вводят шаги, уязвимые для фишинга. Кампания FSA Японии не решает эту проблему проектирования, но делает невозможным ее игнорирование.

6.4 UX «официального доступа» должен стать частью дизайна продукта#

Одна из недооцененных деталей в буклетах — это призыв к использованию закладок и официальных приложений. Это указывает на более широкий продуктовый урок:

• одного лишь брендинга недостаточно,
• точки входа имеют значение,
• безопасная маршрутизация имеет значение,
• UX с защитой от фишинга является частью стека аутентификации.

Для финансовых учреждений это означает:

• обеспечение заметности путей входа через приложения,
• снижение зависимости от ссылок в email,
• четкое объяснение того, где начинается официальный вход,
• отношение к гигиене входящих ссылок как к части предотвращения мошенничества.

6.5 Программные токены не то же самое, что ключи доступа#

Некоторые учреждения отреагируют усилением подтверждения через приложение и сочтут проблему решенной. Это может повысить безопасность, но это не эквивалентно ключам доступа.

Почему?

• Многие проприетарные процессы с программными токенами все еще зависят от того, сможет ли пользователь отличить настоящий сайт от поддельного.
• Некоторыми процессами все еще можно злоупотребить посредством ретрансляции в реальном времени или манипулирования подтверждением.
• Переключение между приложениями и обработка кодов добавляют трения и путаницу.

Ключи доступа важны, поскольку они снижают как подверженность фишингу, так и усилия пользователя.

6.6 Планка для конкурентов только что поднялась#

Как только FSA начинает напрямую обучать потребителей, отстающие становятся более заметными. Компания, все еще полагающаяся на связку «пароль + OTP», вскоре может выглядеть устаревшей на фоне конкурентов, которые предлагают:

• ключи доступа,
• более надежную аутентификацию с привязкой к устройству,
• или четко брендированный процесс входа с защитой от фишинга.

Это меняет конкурентную среду, а не только ландшафт комплаенса.

По большей части это не является чем-то новым. Руководство по корпоративным ключам доступа шаг за шагом описывает оценку, согласование с заинтересованными сторонами, интеграцию и тестирование для масштабных потребительских внедрений, а статья о 10 ошибках при внедрении ключей доступа, которые совершают банки, собирает повторяющиеся сценарии сбоев, которые постоянно воспроизводятся при поспешном запуске в банковской сфере. Что добавляет кампания FSA, так это срочность и публичную поддержку, а не новую инструкцию.

7. Что это означает конкретно для ключей доступа#

Кампания Японии от 16 апреля помогает ключам доступа тремя конкретными способами: она позиционирует ключи доступа как средства контроля мошенничества, а не как функции удобства, расширяет базу заинтересованных сторон внутри компании для их внедрения и объясняет потребителям, что ключи доступа являются частью модели безопасного финансового входа, которую теперь предпочитает регулятор.

7.1 Это меняет представление о ключах доступа: контроль мошенничества, а не удобство#

Многие потребительские внедрения ключей доступа рекламируются как:

• более простой вход,
• отсутствие необходимости запоминать пароли,
• более быстрый вход.

Формулировки FSA гораздо более четкие:

• ключи доступа — это защита от выдачи себя за другое лицо (impersonation),
• ключи доступа помогают блокировать фишинг,
• ключи доступа снижают зависимость от многоразовых секретов.

Это именно та позиция, которая нужна банкам и брокерам внутри компании. Бюджеты на безопасность легче утвердить для снижения уровня мошенничества, чем только ради удобства.

7.2 Это расширяет аудиторию ключей доступа внутри финансовых учреждений#

Проект по аутентификации обычно должен получить поддержку от:

• продуктовой команды,
• отдела по борьбе с мошенничеством,
• службы безопасности,
• отдела комплаенса,
• юридического отдела,
• операционного отдела,
• и службы поддержки.

Страница FSA дает каждой из этих групп повод проявить интерес:

• отдел по борьбе с мошенничеством видит снижение уровня фишинга,
• служба безопасности видит криптографию с привязкой к источнику,
• отдел комплаенса видит соответствие требованиям регулятора,
• операционный отдел видит меньше проблем с OTP,
• продуктовая команда видит более сильную историю для потребителей.

7.3 Это помогает нормализовать ключи доступа для обычных пользователей#

Это может быть самым долгосрочным эффектом.

Когда национальный регулятор, финансовые ассоциации и полиция представляют ключи доступа как рекомендованную защиту, восприятие пользователей меняется. Продуктовой команде больше не нужно представлять ключи доступа как странную новую функцию. Они могут представить их как метод обеспечения безопасности, к которому сходится вся экосистема.

Это важно, потому что успех внедрения часто зависит не столько от криптографии, сколько от того, доверяют ли пользователи новому процессу настолько, чтобы его использовать.

7.4 Это расширяет аудиторию ключей доступа за пределы технически продвинутых сегментов#

Кампания FSA затрагивает не только банковские приложения, используемые технически продвинутыми потребителями. Она охватывает счета в ценных бумагах, банки труда, банки shinkin и кредитные кооперативы — те части финансовой системы Японии, на которые изо дня в день полагаются пожилые и менее технически подкованные клиенты. Это стратегически важно для ключей доступа. Как только эти клиенты сталкиваются с ключами доступа через своего брокера, банк труда или местный кооператив, знакомство с ними распространяется далеко за пределы сегмента ранних последователей и начинает становиться нормой для всей клиентской базы. Для внедрения ключей доступа потребителями в Японии это такой попутный ветер, который не купишь ни за какой чистый маркетинговый бюджет.

Но у этого есть и обратная сторона. Более широкая демографическая база также означает гораздо большее разнообразие устройств, версий ОС, встроенных браузеров и поведения менеджеров учетных данных, чем это было бы при внедрении только для технически продвинутой аудитории. Именно здесь ошибки ключей доступа в нативных приложениях становятся проблемой производственного уровня, а не крайним случаем. Банкам и брокерам, реагирующим на сигнал FSA, следует планировать работу с разнообразием устройств и сред приложений с первого дня, а не обнаруживать это во время всплесков обращений в службу поддержки после введения мандата.

8. Чему подход Японии учит другие страны#

Япония становится полезным примером для изучения, поскольку она последовательно сочетает в себе надзор, обучение населения и внедрение в экосистему. Другие рынки часто пересматривают руководящие принципы, не объясняя пользователям новую модель безопасности, что замедляет внедрение и заставляет сильную аутентификацию выглядеть как изолированное продуктовое препятствие, а не как обновление всей системы.

8.1 Публичные кампании могут ускорить технический переход#

Многие регуляторы пересматривают руководящие принципы, но останавливаются на полпути, не занимаясь обучением населения. Япония демонстрирует другую модель:

1. давление со стороны мошенников растет,
2. надзорные указания ужесточаются,
3. регулятор начинает публично называть методы с защитой от фишинга,
4. участники экосистемы получают обоснование для их более быстрого внедрения.

Такая последовательность может снизить трения при внедрении так, как чисто политический текст часто не может.

8.2 Целью должна быть защита от фишинга, а не только замена OTP#

Некоторые страны слишком узко фокусируются на «замене SMS OTP». Это помогает, но этого недостаточно.

Кампания в Японии выстроена лучше, потому что она задает более фундаментальный вопрос:

Именно это правильный критерий.

8.3 Потребительская аутентификация может стать гибридной#

Одновременный акцент Японии на ключах доступа и PKI указывает на более широкую истину, которую заново откроют для себя многие рынки:

• ключи доступа отлично подходят для массового внедрения среди потребителей,
• PKI остается важным для идентификации с высокой степенью гарантии,
• самые сильные экосистемы будут сочетать и то, и другое вместо того, чтобы заставлять одну технологию делать все.

Это особенно актуально в регулируемых секторах с национальными программами цифровой идентификации.

9. Практическая дорожная карта для команд, реагирующих на этот сигнал#

Правильной реакцией на сигнал от 16 апреля является поэтапная миграция, а не поспешная программа замены. Командам следует сначала составить карту уязвимых для фишинга процессов, затем решить, где ключи доступа подходят немедленно, где все еще требуется PKI или более сильная привязка к личности, и как можно перепроектировать восстановление без воссоздания слабых, удобных для фишинга исключений.

9.1 Шаг 1: составьте карту всех поверхностей аутентификации, уязвимых для фишинга#

Начните с:

• входа в систему,
• восстановления,
• изменений в аккаунте,
• подтверждения транзакций,
• изменений связанных счетов,
• точек входа по ссылкам из email,
• процессов переопределения (override) колл-центра.

9.2 Шаг 2: определите, где ключи доступа подходят немедленно#

Ключи доступа часто являются наиболее очевидным выигрышем для:

• розничного входа в систему,
• частой повторной аутентификации,
• собственных (first-party) процессов в приложениях/на веб-сайтах,
• потребительских браузерных сессий.

9.3 Шаг 3: решите, где все еще нужна PKI или более сильная привязка к личности#

Некоторые процессы могут потребовать:

• подтверждения личности на основе сертификата,
• привязки к национальному ID,
• более высоких гарантий при чувствительных изменениях,
• аппаратных или организационных средств контроля помимо потребительских ключей доступа.

9.4 Шаг 4: перепроектируйте восстановление, прежде чем форсировать внедрение#

Не запускайте строгую аутентификацию без разработки надежного процесса восстановления. В противном случае организация просто воссоздаст уязвимые для фишинга обходные пути через службу поддержки и исключения.

9.5 Шаг 5: научите пользователей тому, как работает официальный доступ#

Сообщение FSA «используйте закладки / используйте официальные приложения» должно стать частью онбординга и поддержки:

• покажите безопасный маршрут,
• объясните, почему ссылки для входа рискованны,
• сделайте путь официального доступа легко запоминающимся,
• сократите зависимость от небезопасных шорткатов для удобства.

10. Заключение#

16 апреля 2026 года не было днем, когда Япония законодательно обязала использовать ключи доступа. Это был день, когда FSA сделало аутентификацию с защитой от фишинга общественным ожиданием, публично понизило статус безопасности на основе OTP и дало банкам, брокерам и финтех-компаниям гораздо более четкий сигнал о том, что долгосрочная цель — это ключи доступа, PKI и другие модели входа без риска фишинга.

Страницу FSA Японии от 16 апреля 2026 года не следует ошибочно воспринимать как «Япония сегодня законодательно обязала использовать ключи доступа». Этого не произошло.

Но было бы в равной степени неправильно сбрасывать ее со счетов как легковесную информационную страницу.

То, что произошло, имеет более важное стратегическое значение:

• регулятор публично сообщил потребителям, что процессов только с паролем и на основе OTP больше недостаточно,
• он назвал ключи доступа и PKI в качестве примеров более надежной аутентификации,
• он согласовал этот посыл с финансовыми ассоциациями и полицией,
• и он перевел обсуждение на рынке с обычной MFA на аутентификацию с защитой от фишинга.

Это именно тот сигнал, который меняет приоритеты дорожной карты в финансовых сервисах.

Для Японии это усиливает аргументы в пользу более широкого внедрения ключей доступа в банках, у брокеров и в финтех-компаниях. Для остального мира это наглядный пример того, как регулятор может сделать больше, чем просто устанавливать правила: он может изменить саму парадигму аутентификации.

Если и можно сделать один вывод, то он таков:

Состояние будущего — это не «больше MFA». Состояние будущего — это аутентификация с защитой от фишинга. FSA Японии теперь заявляет об этом во всеуслышание.

О Corbado#

FSA Японии публично понизило статус связки «пароль плюс OTP», но когда регуляторы называют ключи доступа — это только половина дела. Банкам и брокерам по-прежнему необходимо отказаться от резервных методов, уязвимых для фишинга, в фрагментированном парке устройств, не блокируя при этом пользователей.

Corbado — это платформа аналитики ключей доступа для корпоративных команд CIAM. Она добавляет аналитику ключей доступа и элементы управления развертыванием поверх вашего существующего IDP, поэтому учреждения, соответствующие планке MFA с защитой от фишинга от FSA, могут поэтапно отказаться от OTP по SMS и email с прозрачностью на уровне аудита и аварийными выключателями (kill switches) на уровне устройств, а не слепыми мандатами.

Узнайте, как японские финансовые учреждения могут развернуть MFA с защитой от фишинга без необратимой блокировки. → Поговорите с экспертом по ключам доступа

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

FAQ#

Обязало ли FSA Японии использовать ключи доступа 16 апреля 2026 года?#

Нет. Страница, опубликованная 16 апреля 2026 года, представляет собой информационную кампанию, а не отдельный нормативный акт. Ее важность заключается в том, что Агентство финансовых услуг публично и недвусмысленно поддержало многофакторную аутентификацию с защитой от фишинга, выделив ключи доступа и PKI в качестве примеров, и согласовало этот посыл с банками, фирмами по ценным бумагам и Национальным полицейским агентством.

Почему FSA утверждает, что одноразовых паролей (OTP) по email и SMS больше недостаточно?#

В материалах кампании поясняется, что одноразовые пароли, отправляемые по email или SMS, все еще можно обойти с помощью фишинга в реальном времени, атак типа «человек посередине» и вредоносного ПО. Другими словами, добавления кода недостаточно, если злоумышленник может обманом заставить пользователя ввести его на поддельном сайте или украсть с конечного устройства.

Являются ли ключи доступа единственным вариантом с защитой от фишинга, разрешенным в финансовом секторе Японии?#

Нет. В материалах кампании FSA ключи доступа и аутентификация на основе PKI представлены как два основных примера MFA с защитой от фишинга. Это означает, что ключам доступа отдается предпочтение, но в целом нормативные требования направлены на достижение результатов по защите от фишинга при аутентификации, а не на какую-то одну обязательную потребительскую технологию.

Почему дата 16 апреля 2026 года важна, если нормативное руководство изменилось раньше?#

Потому что это знаменует переход от информирования отрасли регулятором к информированию общественности. Как только FSA начинает напрямую сообщать потребителям, что ключи доступа и PKI защищают их лучше, чем пароль и OTP, японские банки и брокеры получают более веские основания для пересмотра аутентификации клиентов в пользу методов с защитой от фишинга.