Как полностью перейти на беспарольную аутентификацию

Внедрение Passkeys — это огромный скачок вперед в безопасности аутентификации, но это еще не конец пути. Если вы уже развернули Passkeys, то, скорее всего, отмечаете улучшение показателей безопасности, но как на самом деле перейти от наличия Passkeys к достижению полностью беспарольной аутентификации?

Passkeys предлагают критически важные преимущества в области безопасности благодаря своему фишинг-устойчивому дизайну, использующему криптографию с открытым ключом, привязанную к конкретным доменам, что делает невозможным обман пользователей для аутентификации на мошеннических сайтах. Они исключают повторное использование учетных данных, поскольку каждый ключ доступа уникален для конкретного сервиса, а значит, компрометация одного сервиса не затрагивает другие. Кроме того, они обеспечивают неуязвимость к атакам методом перебора, заменяя запоминаемые секреты криптографическими ключами, которые невозможно угадать или взломать.

Однако все эти мощные преимущества исчезают в тот момент, когда пользователь может обойти аутентификацию по Passkey и войти в систему с помощью пароля. Это поднимает ключевой вопрос: Почему одних только Passkeys недостаточно для полной безопасности? Ответ кроется в понимании того, что пока дверь для паролей остается открытой, злоумышленники будут пытаться в нее войти. Еще более важен вопрос: что делает восстановление аккаунта скрытой уязвимостью, которая может подорвать все ваше внедрение Passkeys? Недавние громкие взломы показали, что злоумышленники все чаще нацеливаются на процессы восстановления, а не на первичную аутентификацию.

Эта статья проведет вас через весь путь от внедрения Passkeys до достижения истинной беспарольной безопасности, отвечая на каждый из этих критических вопросов с помощью практических решений и примеров из реальной жизни.

Настоящая беспарольная аутентификация означает полное исключение паролей из вашей архитектуры безопасности. В беспарольной системе пользователи не могут устанавливать, сбрасывать или использовать пароли ни на одном из этапов своего пути аутентификации. Вместо этого аутентификация полностью полагается на криптографические методы, такие как Passkeys.

Многие организации утверждают, что они «беспарольные», но при этом сохраняют пароли в фоновом режиме в качестве запасного варианта. Это не настоящая беспарольная система, а скорее система, где пароль необязателен. Различие имеет значение, потому что пока пароли существуют где-либо в вашей системе, включая процессы восстановления, они остаются эксплуатируемой уязвимостью, на которую будут нацелены злоумышленники.

Настоящая беспарольная безопасность требует как исключения паролей из первичной аутентификации, ТАК и обеспечения того, чтобы процессы восстановления были столь же устойчивы к фишингу.

Сохранение паролей в качестве запасного варианта оставляет все векторы атак, для устранения которых были разработаны Passkeys. Злоумышленники просто перенаправляют свои фишинговые кампании на ввод пароля, в то время как атаки credential stuffing и перебора паролей продолжаются с использованием украденных учетных данных из других утечек. Социальная инженерия остается эффективной, поскольку пользователей все еще можно обманом заставить раскрыть пароли поддельным агентам поддержки.

Пока пароли существуют, они остаются самым слабым звеном, единственной точкой входа, которая полностью обходит фишинг-устойчивую безопасность Passkeys.

Смотреть только на процесс входа в систему недостаточно. Критически важным, но часто упускаемым из виду вектором атаки является процесс восстановления аккаунта. Даже организации, внедрившие Passkeys, могут оставаться уязвимыми, если их процесс восстановления основан на подверженных фишингу методах, таких как SMS OTP или «магические ссылки» по электронной почте.

Вспомним громкий взлом MGM Resorts в 2023 году, когда злоумышленники не атаковали основную систему аутентификации, а использовали процесс восстановления аккаунта с помощью социальной инженерии, обойдя все основные меры безопасности. Аналогично, взлом системы поддержки Okta продемонстрировал, как процессы восстановления могут стать самым слабым звеном, позволяя злоумышленникам сбрасывать учетные данные и получать несанкционированный доступ к средам клиентов.

Эти инциденты подчеркивают важную истину: внедрять Passkeys, не защитив процесс восстановления, — это все равно что установить стальную дверь, но оставить окна открытыми.

Достижение настоящей беспарольной аутентификации — это не один шаг, а стратегический путь, который требует тщательного планирования, постепенного внедрения и постоянной оптимизации:

Первый этап фокусируется на внедрении Passkeys в качестве дополнительного метода аутентификации при сохранении существующих опций в качестве запасных. Этот основополагающий этап дает пользователям время понять и начать доверять новой технологии, сохраняя при этом знакомые методы для уменьшения трения.

Ключевые шаги внедрения:

• Интегрируйте аутентификацию по Passkeys в ваш существующий процесс аутентификации
• Включите создание Passkeys для новых и существующих пользователей
• Сохраняйте пароли и другие методы аутентификации в качестве альтернатив
• Отслеживайте показатели создания и использования Passkeys

Метрики успеха:

• Процент пользователей, создавших хотя бы один Passkey, превышает 50%
• Успешность создания Passkey превышает 95%
• Первоначальное использование Passkeys для аутентификации достигает 20-30%

Как только Passkeys становятся доступны, фокус смещается на стимулирование их внедрения и превращение Passkeys в предпочтительный метод аутентификации. На этом этапе Passkeys превращаются из альтернативного варианта в основной выбор для аутентификации благодаря стратегическому вовлечению пользователей и оптимизации.

Ключевые шаги внедрения:

• Сделайте аутентификацию по Passkeys опцией по умолчанию в процессах входа
• Внедрите интеллектуальные подсказки, которые поощряют создание Passkeys после успешного входа по паролю
• Информируйте пользователей о преимуществах безопасности и удобства через сообщения в приложении
• Предоставляйте стимулы для внедрения Passkeys (более быстрая оплата, эксклюзивные функции)
• Проводите A/B-тестирование различных сообщений и подходов к интерфейсу для максимизации конверсии
• Внедряйте политики условного доступа, требующие Passkeys для выполнения конфиденциальных операций

Метрики успеха:

• 60%+ активных пользователей имеют хотя бы один Passkey
• 80%+ входов в систему с использованием Passkeys для аккаунтов с включенными Passkeys
• Менее 2% неудачных попыток создания Passkey

Именно здесь происходит настоящая трансформация безопасности: полное удаление паролей для пользователей, которые постоянно используют Passkeys. Этот этап устраняет основной вектор атак путем деактивации паролей для пользователей, которые продемонстрировали успешное внедрение Passkeys.

Ключевые шаги внедрения:

• Анализируйте паттерны аутентификации пользователей с помощью интеллектуальных систем мониторинга
• Определяйте пользователей, которые используют исключительно Passkeys с нескольких устройств, поддерживающих Passkeys
• Предлагайте деактивацию пароля с четким сообщением о преимуществах безопасности
• Проверяйте наличие резервных Passkeys (синхронизированных в облаке или на нескольких устройствах)

Метрики успеха:

• 30%+ подходящих пользователей добровольно удаляют пароли
• Нулевой рост числа заблокированных аккаунтов
• Сохранение или улучшение показателей удовлетворенности пользователей

Заключительный этап устраняет последнюю уязвимость: преобразование восстановления аккаунта в фишинг-устойчивый процесс. Этот этап гарантирует, что процессы восстановления соответствуют уровню безопасности первичной аутентификации, предотвращая атаки через «черный ход».

Ключевые шаги внедрения:

• Внедрите многофакторную аутентификацию с как минимум одним фишинг-устойчивым фактором
• Доступные фишинг-устойчивые факторы:
  • Резервные Passkeys: Ключи доступа для восстановления, хранящиеся на вторичных устройствах или в облачных сервисах, которые предоставляют криптографическое подтверждение личности (наиболее широко доступный вариант)
  • Digital Credentials API: Стандарт W3C для криптографически проверенных утверждений личности от доверенных поставщиков (развивающаяся технология, пока не получила широкого распространения)
  • Аппаратные ключи безопасности: Физические токены FIDO2, зарегистрированные в качестве факторов восстановления, которые невозможно подделать или дублировать (требует от пользователей покупки и обслуживания физических устройств)
  • Проверка документов, удостоверяющих личность, с определением живости: Сканирование государственных удостоверений личности в сочетании с биометрическими действиями в реальном времени для подтверждения физического присутствия

Примечание по вариантам восстановления: Хотя Digital Credentials API и аппаратные ключи безопасности предлагают высокий уровень защиты, они еще не получили широкого распространения. Первая технология все еще находится в стадии разработки, а вторая требует от пользователей покупки физических устройств.

Когда резервные Passkeys недоступны, проверка документов с определением живости становится жизнеспособной альтернативой. Несмотря на потенциальные способы обхода проверок живости без физического владения удостоверением личности, эти методы все же обеспечивают значительно более надежную защиту, чем традиционные OTP, которые можно легко перехватить с помощью фишинга, SIM-свопинга или атак «человек посередине».

Метрики успеха:

• 100% процессов восстановления включают фишинг-устойчивые факторы
• Ноль успешных захватов аккаунтов через процессы восстановления
• Коэффициент успешного завершения восстановления поддерживается на уровне выше 90%

Движение за отказ от паролей набирает обороты в технологической индустрии, и ведущие компании отходят от использования паролей.

Некоторые компании уже достигли полного отказа от паролей для своих внутренних операций. Okta, Yubico и Cloudflare фактически свели использование паролей внутри компании к нулю, и их процессы входа в систему вообще не принимают пароли.

Технологические гиганты Google, Apple, Microsoft и X активно отказываются от паролей, но еще не устранили их полностью. Их подход сочетает улучшение безопасности с предоставлением пользователю выбора в переходный период.

Google занял агрессивную позицию, включив по умолчанию опцию «Пропускать пароль, когда это возможно» для всех аккаунтов, делая Passkeys предпочтительным методом аутентификации, но все же позволяя пользователям отказаться при необходимости. Такой подход с возможностью отказа создает сильный импульс к беспарольной аутентификации, сохраняя при этом гибкость для пользователей, еще не готовых к переходу.

Microsoft идет еще дальше, позволяя пользователям полностью удалить пароли из своих аккаунтов уже сегодня, с планами «в конечном итоге полностью прекратить поддержку паролей» в будущем. Эта четкая дорожная карта сигнализирует пользователям, что дни паролей сочтены, поощряя раннее внедрение беспарольных методов.

Apple интегрировала Passkeys во всю свою экосистему и активно продвигает их использование, хотя пароли Apple ID остаются доступными в качестве запасного варианта. Их подход использует бесшовную синхронизацию между устройствами Apple, чтобы сделать внедрение Passkeys максимально простым.

Эти компании не навязывают немедленные изменения, но посылают ясный сигнал: пароли исчезнут, как только уровень внедрения достигнет критической массы. Их стратегии включают превращение Passkeys в стандартный метод, информирование пользователей о преимуществах и постепенное сокращение функциональности паролей.

Решение об отказе от паролей не должно быть поспешным или применяться повсеместно. Вместо этого следует принять постепенный, основанный на данных подход, который учитывает поведение пользователей, возможности устройств и профили рисков.

Секторы с высоким риском, которые сегодня сталкиваются с серьезными фишинговыми атаками, должны начать свой переход на беспарольную аутентификацию немедленно, но все же следовать постепенному, стратегическому развертыванию:

• Банки и финансовые учреждения: Главные цели для кражи учетных данных. Для европейских банков Passkeys также соответствуют требованиям PSD2 по строгой аутентификации клиентов (SCA), обеспечивая фишинг-устойчивую MFA, которая соответствует нормативным требованиям и улучшает пользовательский опыт.
• Платежные провайдеры и финтех: Прямой доступ к средствам клиентов делает их привлекательными для организованной киберпреступности.
• Криптовалютные биржи: Необратимые транзакции означают, что украденные учетные данные приводят к необратимым потерям.
• Здравоохранение и страхование: Сталкиваются как с требованиями соответствия, так и с рисками для безопасности пациентов из-за кражи медицинских данных.
• Правительственные и критически важные инфраструктуры: Являются целями для государственных субъектов с изощренными кампаниями целевого фишинга.

Для этих организаций немедленные действия критически важны, но успех все еще требует методичного, постепенного подхода к развертыванию. Начинайте сегодня, но развертывайте стратегически, чтобы обеспечить высокий уровень внедрения и избежать блокировки пользователей.

Начните с небольшой подгруппы: Начните переход на беспарольную аутентификацию с пользователей, которые демонстрируют постоянное использование Passkeys. Эти ранние последователи помогут вам выявить потенциальные проблемы до более широкого развертывания.

Анализируйте паттерны поведения пользователей:

• Частота и методы входа в систему
• Типы устройств и совместимость с Passkeys
• Неудачные попытки аутентификации
• Использование процессов восстановления
• Паттерны аутентификации на разных устройствах

Пользователи, подходящие для деактивации пароля на основе этих паттернов:

• Постоянно аутентифицируются с помощью Passkeys — что показывает, что они освоили технологию.
• Используют Passkeys на нескольких устройствах — что указывает на наличие у них резервных методов доступа.
• Не использовали пароли или процессы восстановления в последние 30-60 дней — что демонстрирует их независимость от аутентификации на основе паролей.

Corbado предоставляет комплексную платформу для сопровождения организаций на всех четырех этапах пути к беспарольной аутентификации, описанных выше. От первоначального внедрения Passkeys до достижения полного отказа от паролей, решение Corbado справляется с технической сложностью, предоставляя инструменты, необходимые для успешного внедрения пользователями.

Поддержка на 1-м и 2-м этапах: Corbado предлагает бесшовную интеграцию Passkeys с существующими стеками аутентификации, интеллектуальные подсказки, которые максимизируют уровень внедрения, и подробную аналитику для отслеживания создания и использования Passkeys. Функция Passkey Intelligence платформы автоматически оптимизирует пользовательский опыт на основе возможностей устройства и поведения пользователя, обеспечивая плавный онбординг.

Реализация 3-го и 4-го этапов: Для организаций, готовых полностью отказаться от паролей, Corbado обеспечивает постепенную деактивацию паролей на основе готовности пользователя, сохраняя при этом безопасные, фишинг-устойчивые процессы восстановления.

Управляя кросс-платформенной совместимостью, механизмами резервирования и оптимизацией пользовательского опыта, Corbado сокращает время перехода к беспарольной аутентификации с нескольких лет до нескольких месяцев, позволяя организациям сосредоточиться на своем основном бизнесе, достигая при этом фишинг-устойчивой аутентификации.

Путь к настоящей беспарольной аутентификации отвечает на два критических вопроса, которые мы задали в начале:

Почему одних только Passkeys недостаточно для полной безопасности? Потому что безопасность сильна настолько, насколько сильно ее самое слабое звено. Пока пароли остаются доступными, даже в качестве запасного варианта, злоумышленники будут просто переключаться на них, используя фишинг, credential stuffing или атаки на понижение уровня безопасности. Каждый пароль в вашей системе подрывает фишинг-устойчивые преимущества Passkeys.

Что делает восстановление аккаунта скрытой уязвимостью? Процессы восстановления — это часто забытый «черный ход». Как показали взломы MGM Resorts и Okta, злоумышленники все чаще обходят надежные реализации Passkeys, используя более слабые методы восстановления, такие как SMS OTP или «магические ссылки» по электронной почте. Это все равно что установить стальную дверь, но оставить окна открытыми.

Настоящая беспарольная безопасность требует прохождения полного пути: внедрение Passkeys, стимулирование их принятия, полный отказ от паролей и защита процессов восстановления с помощью фишинг-устойчивых методов. Только закрыв все двери для паролей, включая те, что скрыты в процессах восстановления, организации могут достичь действительно безопасной аутентификации.