Как полностью перейти на беспарольную аутентификацию

1. Введение: почему внедрение ключей доступа — это еще не финал#

Внедрение ключей доступа представляет собой монументальный скачок в безопасности аутентификации, но это еще не конец пути. Если вы уже внедрили ключи доступа, то, вероятно, радуетесь улучшению показателей безопасности, но как на самом деле перейти от наличия ключей доступа к полностью беспарольной аутентификации?

Ключи доступа предлагают важнейшие преимущества в области безопасности благодаря своей архитектуре, устойчивой к фишингу, с использованием криптографии с открытым ключом, привязанной к конкретным доменам, что делает невозможным для злоумышленников заставить пользователей пройти аутентификацию на мошеннических сайтах. Они исключают повторное использование учетных данных, поскольку каждый ключ доступа уникален для определенного сервиса, а значит, компрометация одного сервиса не повлияет на другие. Кроме того, они обеспечивают иммунитет к атакам полным перебором (brute-force), заменяя запоминаемые секреты криптографическими ключами, которые невозможно угадать или взломать.

Однако эти мощные преимущества исчезают в тот момент, когда пользователь может обойти аутентификацию по ключу доступа и войти в систему с помощью пароля. Возникает важный вопрос: почему одних ключей доступа недостаточно для полной безопасности? Ответ кроется в понимании того, что до тех пор, пока дверь для пароля остается открытой, злоумышленники будут пытаться в нее войти. Еще более важным является вопрос: что делает восстановление аккаунта скрытой уязвимостью, которая может подорвать все ваше внедрение ключей доступа? Недавние громкие утечки данных показали, что злоумышленники все чаще нацеливаются на процессы восстановления, а не на первичную аутентификацию.

Эта статья проведет вас через весь путь от внедрения ключей доступа до достижения истинной беспарольной безопасности, ответив на каждый из этих важных вопросов с помощью практических решений и примеров из реальной жизни.

Что на самом деле означает «беспарольная»?#

Истинная беспарольная аутентификация означает полный отказ от паролей в вашей архитектуре безопасности. В беспарольной системе пользователи не могут устанавливать, сбрасывать или использовать пароли ни на одном этапе своей аутентификации. Вместо этого аутентификация полностью полагается на криптографические методы, такие как ключи доступа.

Многие организации заявляют, что они «беспарольные», сохраняя при этом пароли в фоновом режиме в качестве резервного варианта. Это не настоящая беспарольная аутентификация, а скорее просто отказ от обязательного использования паролей. Различие имеет значение, поскольку до тех пор, пока пароли существуют где-либо в вашей системе, включая процессы восстановления, они остаются уязвимостью, которую злоумышленники будут использовать.

2. Две лазейки, подрывающие безопасность ключей доступа#

Истинная беспарольная безопасность требует как устранения паролей из первичной аутентификации, ТАК И обеспечения такой же устойчивости процессов восстановления к фишингу.

2.1 Почему пароли в качестве резервного варианта представляют значительный риск для безопасности#

Сохранение паролей в качестве резервного варианта сохраняет все векторы атак, для устранения которых и предназначены ключи доступа. Злоумышленники просто перенаправляют свои фишинговые кампании на ввод пароля, в то время как атаки с подстановкой учетных данных и распылением паролей (password spraying) продолжают использовать украденные учетные данные из других утечек. Социальная инженерия остается эффективной, поскольку пользователей по-прежнему можно заставить раскрыть пароли поддельным агентам поддержки.

Пока существуют пароли, они остаются самым слабым звеном — единой точкой входа, которая полностью обходит устойчивую к фишингу безопасность ключей доступа.

2.2 Лазейка при восстановлении аккаунта#

Смотреть только на процесс входа тоже недостаточно. Критическим, но часто упускаемым из виду вектором атаки является процесс восстановления аккаунта. Даже организации, внедрившие ключи доступа, могут оставаться уязвимыми, если их процесс восстановления опирается на уязвимые для фишинга методы, такие как SMS-OTP или email magic links.

Рассмотрим громкую утечку данных в MGM Resorts в 2023 году, когда злоумышленники нацелились не на основную систему аутентификации, а использовали процесс восстановления аккаунта с помощью социальной инженерии, обойдя все основные меры безопасности. Аналогичным образом, взлом системы поддержки Okta продемонстрировал, как процессы восстановления могут стать самым слабым звеном, позволяя злоумышленникам сбросить учетные данные и получить несанкционированный доступ к средам клиентов.

Эти инциденты подчеркивают важнейшую истину: внедрение ключей доступа без защиты процесса восстановления похоже на установку стальной двери с открытыми окнами.

3. Путь к беспарольной аутентификации#

Достижение истинной беспарольной аутентификации — это не один шаг, а стратегический путь, требующий тщательного планирования, продуманного дизайна продукта и стратегии, постепенного внедрения и постоянной оптимизации:

3.1 Этап 1. Добавление ключей доступа#

Первый этап фокусируется на внедрении ключей доступа в качестве дополнительного метода аутентификации при сохранении существующих вариантов в качестве резервных. Этот основополагающий этап дает пользователям время понять новую технологию и довериться ей, сохраняя при этом знакомые методы, чтобы снизить трение.

Ключевые шаги реализации:

• Интеграция аутентификации по ключам доступа в существующий процесс аутентификации
• Включение создания ключей доступа для новых и существующих пользователей
• Сохранение паролей и других методов аутентификации в качестве альтернатив
• Отслеживание показателей создания ключей доступа и моделей их использования

Метрики успеха:

• Процент пользователей, создавших хотя бы один ключ доступа, превышает 50 %
• Уровень успешного создания ключей доступа превышает 95 %
• Начальное использование ключей доступа для аутентификации достигает 20–30 %

3.2 Этап 2. Повышение уровня использования ключей доступа#

После того как ключи доступа становятся доступными, акцент смещается на стимулирование их использования и превращение ключей доступа в предпочтительный метод аутентификации. На этом этапе ключи доступа переходят от альтернативного варианта к основному выбору аутентификации за счет стратегического вовлечения пользователей и оптимизации.

Ключевые шаги реализации:

• Сделать аутентификацию по ключам доступа опцией по умолчанию при входе в систему
• Внедрить интеллектуальные подсказки, поощряющие создание ключей доступа после успешного входа по паролю
• Просвещать пользователей о преимуществах безопасности и удобства с помощью сообщений внутри приложения
• Предоставлять стимулы для перехода на ключи доступа (более быстрое оформление заказа, эксклюзивные функции)
• Проводить A/B-тестирование различных подходов к обмену сообщениями и пользовательскому интерфейсу для максимальной конверсии
• Внедрить политики условного доступа, требующие ключей доступа для конфиденциальных операций

Метрики успеха:

• 60 %+ активных пользователей имеют хотя бы один ключ доступа
• 80 %+ входов в систему с использованием ключей доступа для аккаунтов с включенными ключами доступа
• Уровень неудачных попыток создания ключей доступа менее 2 %

3.3 Этап 3. Переход на беспарольную аутентификацию#

Именно здесь происходит настоящая трансформация безопасности: полный отказ от паролей для пользователей, которые постоянно используют ключи доступа. Этот этап устраняет основной вектор атаки путем деактивации паролей для пользователей, продемонстрировавших успешный переход на ключи доступа.

Ключевые шаги реализации:

• Анализ моделей аутентификации пользователей с помощью систем интеллектуального мониторинга
• Выявление пользователей, которые используют исключительно ключи доступа с несколькими устройствами, поддерживающими ключи доступа
• Предложение деактивации пароля с четким сообщением о преимуществах безопасности
• Проверка доступности резервных ключей доступа (синхронизированных с облаком или на нескольких устройствах)

Метрики успеха:

• 30 %+ соответствующих критериям пользователей добровольно удаляют пароли
• Нулевое увеличение показателей блокировки аккаунтов
• Поддержание или улучшение показателей удовлетворенности пользователей

3.4 Этап 4. Устойчивое к фишингу восстановление#

Последний этап устраняет последнюю уязвимость: преобразование восстановления аккаунта в процесс, устойчивый к фишингу. Этот этап гарантирует, что процессы восстановления соответствуют уровню безопасности первичной аутентификации, предотвращая атаки через бэкдоры.

Ключевые шаги реализации:

• Внедрение многофакторной аутентификации как минимум с одним фактором, устойчивым к фишингу
• Доступные факторы, устойчивые к фишингу:
  • Резервные ключи доступа: ключи доступа для восстановления, хранящиеся на дополнительных устройствах или в облачных сервисах, которые обеспечивают криптографическое доказательство личности (наиболее широко доступный вариант)
  • Digital Credentials API: стандарт W3C для криптографически подтвержденных заявлений о личности от доверенных провайдеров (развивающаяся технология, пока не получившая широкого распространения)
  • Аппаратные ключи безопасности: физические токены FIDO2, зарегистрированные как факторы восстановления, которые не могут быть подделаны или продублированы (требуют от пользователей покупки и обслуживания физических устройств)
  • Проверка документов, удостоверяющих личность, с определением живости (liveness detection): сканирование правительственных удостоверений личности в сочетании с биометрическими действиями в реальном времени для подтверждения физического присутствия

Примечание о вариантах восстановления: хотя Digital Credentials API и аппаратные ключи безопасности обеспечивают надежную защиту, они еще не получили широкого распространения: первое — это все еще развивающаяся технология, а второе требует от пользователей покупки физических устройств.

Когда резервные ключи доступа недоступны, проверка документов, удостоверяющих личность, с определением живости становится жизнеспособной альтернативой. Несмотря на возможные обходные пути для обхода проверок на живость без физического владения удостоверением личности, эти методы по-прежнему обеспечивают значительно более надежную защиту, чем традиционные одноразовые пароли (OTP), которые можно легко перехватить с помощью фишинга, подмены SIM-карты (SIM swapping) или атак типа «человек посередине» (man-in-the-middle).

Метрики успеха:

• 100 % процессов восстановления включают факторы, устойчивые к фишингу
• Ни одного успешного захвата аккаунта через процессы восстановления
• Уровень завершения восстановления поддерживается на уровне выше 90 %

4. Примеры компаний, которые начали отказываться от паролей#

Движение за беспарольную аутентификацию набирает обороты в технологической отрасли: ведущие компании отказываются от паролей.

4.1 Полностью беспарольные организации#

Несколько компаний уже достигли полного отказа от паролей для своих внутренних операций. Okta, Yubico и Cloudflare фактически достигли нулевого использования паролей внутри компаний, и их процессы входа в систему вообще не принимают пароли.

4.2 Компании в стадии активного перехода#

Технологические гиганты Google, Apple, Microsoft и X активно отказываются от паролей, но еще не устранили их полностью. Их подход уравновешивает улучшения безопасности с выбором пользователя в переходный период.

Google занял агрессивную позицию, включив опцию «По возможности пропускать пароль» по умолчанию для всех аккаунтов, что сделало ключи доступа предпочтительным методом аутентификации, при этом оставив пользователям возможность отказаться при необходимости. Этот подход с возможностью отказа создает сильный импульс для перехода на беспарольную аутентификацию, сохраняя при этом гибкость для пользователей, которые еще не готовы к переходу.

Microsoft идет на шаг дальше, позволяя пользователям полностью удалять свои пароли из аккаунтов уже сегодня, и планирует «в конечном итоге полностью прекратить поддержку паролей» в будущем. Эта четкая дорожная карта сигнализирует пользователям о том, что время паролей сочтено, поощряя раннее внедрение беспарольных методов.

Apple интегрировала ключи доступа во всю свою экосистему и активно продвигает их использование, хотя пароли Apple ID остаются доступными в качестве резервного варианта. Их подход использует бесшовную синхронизацию между устройствами Apple, чтобы сделать внедрение ключей доступа максимально плавным.

Эти компании не навязывают немедленные изменения, но посылают четкий сигнал: пароли исчезнут, как только уровень их использования достигнет критической массы. Их стратегии заключаются в том, чтобы сделать ключи доступа опцией по умолчанию, просвещать пользователей о преимуществах и постепенно сокращать функциональность паролей.

5. Когда следует начать отказываться от паролей?#

Решение об отказе от паролей не должно быть поспешным или применяться ко всем без исключения. Вместо этого придерживайтесь основанного на данных и постепенного подхода, который учитывает поведение пользователей, возможности устройств и профили рисков.

5.1 Кому следует немедленно начать путь к беспарольной аутентификации#

Секторам с высоким уровнем риска, которые сегодня подвергаются серьезным фишинговым атакам, следует немедленно начать переход на беспарольную аутентификацию, но при этом придерживаться постепенного стратегического развертывания:

• Банки и финансовые учреждения: главные мишени для кражи учетных данных. Для европейских банков ключи доступа также соответствуют требованиям PSD2 Strong Customer Authentication (SCA), обеспечивая устойчивую к фишингу многофакторную аутентификацию (MFA), которая соответствует нормативным требованиям и одновременно улучшает пользовательский опыт
• Платежные системы и финтех: прямой доступ к средствам клиентов делает их привлекательными для организованной киберпреступности
• Криптовалютные биржи: необратимые транзакции означают, что украденные учетные данные приводят к безвозвратным потерям
• Здравоохранение и страхование: сталкиваются как с нормативными требованиями, так и с рисками для безопасности пациентов из-за кражи медицинских личных данных
• Государственные учреждения и критически важная инфраструктура: становятся мишенью для правительственных хакеров, использующих сложные кампании целевого фишинга (spear-phishing)

Для этих организаций критически важны немедленные действия, но успех по-прежнему требует методичного, постепенного подхода к развертыванию. Начните сегодня, но развертывайте стратегически, чтобы обеспечить высокий уровень принятия и избежать блокировки пользователей.

5.2 Стратегия постепенного развертывания#

Начните с небольшой подгруппы: начните переход на беспарольную аутентификацию с пользователей, которые демонстрируют постоянное использование ключей доступа. Эти первопроходцы помогут вам выявить потенциальные проблемы перед более масштабным развертыванием.

Проанализируйте модели поведения пользователей:

• Частота входа и используемые методы
• Типы устройств и совместимость с ключами доступа
• Неудачные попытки аутентификации
• Использование процессов восстановления
• Паттерны аутентификации на разных устройствах

Пользователи, имеющие право на деактивацию пароля на основе этих моделей:

• Постоянно аутентифицируются с помощью ключей доступа — показывая, что им комфортно с этой технологией
• Используют ключи доступа на нескольких устройствах — что указывает на наличие у них резервных методов доступа
• Не использовали пароли или процессы восстановления в течение последних 30–60 дней — демонстрируя, что они не полагаются на аутентификацию на основе паролей

6. Как Corbado может помочь#

Corbado предоставляет комплексную платформу, которая поможет организациям пройти все четыре этапа пути к беспарольной аутентификации, описанные выше. От первоначального внедрения ключей доступа до полного отказа от паролей, решение Corbado берет на себя техническую сложность, предоставляя инструменты, необходимые для успешного принятия пользователями.

Поддержка этапов 1 и 2: Corbado предлагает бесшовную интеграцию ключей доступа с существующими стеками аутентификации, интеллектуальные подсказки, которые максимизируют уровень принятия, и подробную аналитику для отслеживания создания ключей доступа и моделей их использования. Функция платформы Passkey Intelligence автоматически оптимизирует пользовательский опыт на основе возможностей устройства и поведения пользователя, обеспечивая плавную адаптацию (onboarding).

Внедрение этапов 3 и 4: для организаций, готовых полностью отказаться от паролей, Corbado обеспечивает постепенную деактивацию паролей в зависимости от готовности пользователей, сохраняя при этом безопасные, устойчивые к фишингу процессы восстановления.

Управляя кросс-платформенной совместимостью, резервными механизмами и оптимизацией пользовательского опыта, Corbado ускоряет трансформацию в сторону беспарольной аутентификации с лет до месяцев, позволяя организациям сосредоточиться на своем основном бизнесе при достижении аутентификации, устойчивой к фишингу.

Заключение#

Путь к истинной беспарольной аутентификации отвечает на два важных вопроса, которые мы подняли в начале:

Почему одних ключей доступа недостаточно для полной безопасности? Потому что безопасность настолько сильна, насколько сильно ее самое слабое звено. Пока пароли остаются доступными, даже в качестве резервного варианта, злоумышленники будут просто переключаться на них с помощью фишинга, подстановки учетных данных (credential stuffing) или атак с понижением версии (downgrade attacks). Каждый пароль в вашей системе подрывает устойчивые к фишингу преимущества ключей доступа.

Что делает восстановление аккаунта скрытой уязвимостью? Процессы восстановления — это часто забытый бэкдор. Как показали утечки в MGM Resorts и Okta, злоумышленники все чаще обходят надежные реализации ключей доступа, используя более слабые методы восстановления, такие как SMS-OTP или email magic links. Это похоже на установку стальной двери с открытыми окнами.

Истинная беспарольная безопасность требует прохождения всего пути: внедрения ключей доступа, стимулирования их использования, полного отказа от паролей и защиты процессов восстановления с помощью методов, устойчивых к фишингу. Только закрыв все двери для паролей, включая те, которые скрыты в процессах восстановления, организации смогут достичь действительно безопасной аутентификации.

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →

Часто задаваемые вопросы#

Какие сигналы указывают на то, что пользователь готов к деактивации пароля при переходе на беспарольную аутентификацию?#

Пользователи имеют право на деактивацию пароля, когда они постоянно аутентифицируются с помощью ключей доступа на нескольких устройствах и не использовали пароли или процессы восстановления в течение последних 30–60 дней. Начало деактивации с этой когорты снижает риски и помогает выявить проблемы перед более широким развертыванием. Цель этапа 3 — добровольное удаление паролей 30 % или более подходящих пользователей.

Какие варианты восстановления, устойчивые к фишингу, существуют, когда резервные ключи доступа недоступны?#

Существует четыре фактора восстановления, устойчивых к фишингу: резервные ключи доступа на дополнительных устройствах, аппаратные ключи безопасности (физические токены FIDO2), Digital Credentials API (стандарт W3C, который все еще находится в стадии разработки) и проверка документов, удостоверяющих личность, с определением живости (liveness detection). Традиционные SMS-OTP и email magic links остаются уязвимыми для фишинга, подмены SIM-карт и атак «человек посередине», что делает их недостаточными для безопасных процессов восстановления.

Почему взлом MGM Resorts удался, несмотря на надежную первичную аутентификацию?#

Утечка данных в MGM Resorts в 2023 году увенчалась успехом благодаря тому, что мишенью стал процесс восстановления аккаунта с помощью социальной инженерии, а не основная система входа в систему, что позволило полностью обойти все основные меры безопасности. Это демонстрирует, что внедрение ключей доступа без защиты процессов восстановления оставляет открытым критически важный бэкдор, что равносильно установке стальной двери с открытыми окнами.

Каких показателей принятия должны достичь команды перед переходом от необязательных ключей доступа к полному удалению паролей?#

Прежде чем перейти к этапу 3, команды должны достичь того, чтобы у 60 % или более активных пользователей был хотя бы один ключ доступа, 80 % или более входов в систему осуществлялись с использованием ключей доступа для аккаунтов с включенными ключами доступа, а процент неудачных попыток создания ключей доступа был ниже 2 %. Успех этапа 3 измеряется тем, что 30 % или более соответствующих критериям пользователей добровольно удаляют пароли без увеличения показателей блокировки аккаунтов.