Узнайте о преимуществах использования ключей доступа вместе с локальной биометрией для оптимальной безопасности приложений и беспрепятственного доступа пользователей.
Vincent
Created: June 17, 2025
Updated: July 8, 2025
See the original blog version in English here.
Our mission is to make the Internet a safer place and passkeys provide a superior solution to achieve that. That's why we want to keep you updated with the latest industry insights here.
После того как биометрия на мобильных телефонах стала мейнстримом, многие нативные приложения начали использовать такие функции, как Face ID или Touch ID (или их аналог на Android), для защиты доступа к приложению. Эта локальная биометрическая защита значительно повышает удобство для пользователя, обеспечивая быстрый и беспрепятственный доступ. На первый взгляд, ключи доступа и локальная биометрия могут показаться избыточными, поскольку оба метода включают проверку пользователя. Но они служат принципиально разным целям. В этой статье мы рассмотрим:
К концу статьи мы лучше поймем, когда и как использовать эти решения вместе для создания более безопасного, удобного и бесшовного опыта использования приложения. Мы также опишем практические сценарии, в которых сочетание ключей доступа и локальной биометрии может повысить как безопасность, так и удобство, гарантируя, что разработчики смогут принимать обоснованные решения для эффективного удовлетворения потребностей пользователей.
Recent Articles
🏢
Ключи доступа PayPal: внедряйте ключи доступа, как PayPal
🔑
Лучшие аппаратные ключи безопасности FIDO2 в 2025 году
📖
Ключи доступа WebAuthn, QR-коды и Bluetooth: гибридный транспорт
👤
Как включить ключи доступа в Windows
📖
Ключи доступа в нативных приложениях: нативная реализация vs. реализация через WebView
Локальные методы биометрической аутентификации, такие как Face ID, Touch ID от Apple или биометрические возможности Android, используют уникальные физические характеристики (например, черты лица или отпечатки пальцев) для подтверждения личности пользователя. В отличие от традиционных PIN-кодов или паролей, которые основаны на том, что пользователь знает, биометрия основана на том, что присуще пользователю. Этот переход устраняет необходимость многократного ввода кода, значительно упрощая процесс и делая повседневный доступ к приложениям быстрым и безопасным.
До того как биометрия получила широкое распространение на мобильных телефонах, приложения, стремящиеся защитить конфиденциальный контент, часто просили пользователей вводить дополнительный PIN-код или пароль при каждом запуске. Хотя такой подход повышал безопасность, он также создавал дополнительные неудобства, особенно когда пользователь уже был аутентифицирован в начале сессии. Появление технологий распознавания лиц и сканирования отпечатков пальцев на устройствах упростило этот процесс. Вместо многократного ввода кода пользователь теперь мог разблокировать приложение быстрым сканированием лица или коротким прикосновением. Если по какой-либо причине биометрическая проверка не удается или пользователь предпочитает ее не включать, остается доступным резервный PIN-код, код-пароль или пароль. Такая схема обеспечивает как удобство, так и доступность без ущерба для безопасности.
Крайне важно отличать локальные биометрические проверки от полноценных событий удаленной аутентификации. Удаленная аутентификация происходит в начале новой сессии, проверяя личность пользователя в бэкенд-системах сервиса с использованием учетных данных, таких как пароли или ключи доступа. Этот шаг устанавливает доверие между пользователем и сервисом.
Локальная биометрия, напротив, сосредоточена на повторной проверке личности во время текущей, уже аутентифицированной сессии. Вместо того чтобы просить пользователя повторно вводить пароли или другие учетные данные, когда он ненадолго покидает приложение или блокирует телефон, локальная биометрия подтверждает, что тот же авторизованный пользователь по-прежнему контролирует устройство. Эта проверка, ориентированная на устройство, не требует подключения к интернету или взаимодействия с удаленными серверами, что делает ее быстрой, надежной и бесшовной в повседневном использовании.
Биометрические данные хранятся и обрабатываются в специальных аппаратных модулях безопасности, таких как Secure Enclave на iOS или Trusted Execution Environment (TEE) на Android. Эти доверенные модули предназначены для защиты конфиденциальных биометрических данных от взлома, извлечения или передачи.
Из-за этой привязки на аппаратном уровне биометрическую проверку нельзя легко передать между устройствами или сервисами. Биометрические шаблоны каждого устройства остаются уникальными для этого конкретного устройства, гарантируя, что если пользователь перейдет на новый телефон, ему придется повторно зарегистрировать свои биометрические данные с нуля. Хотя это добавляет небольшой шаг при смене устройства, это защищает от несанкционированного доступа и предотвращает удаленные атаки, которые могли бы использовать централизованно хранящиеся биометрические данные. Более того, локальная биометрия работает без подключения к интернету, что делает ее надежной даже в автономном режиме.
Локальная биометрия оптимизирует безопасность, проверяя, что человек, который в данный момент использует устройство, действительно является законным, уже аутентифицированным пользователем, без необходимости повторного ввода специального PIN-кода или пароля, если в приложении есть важные функции, такие как банковские операции, страхование или другие личные данные.
Они обеспечивают удобство, работая бесшовно и мгновенно на устройстве, функционируют в автономном режиме и полагаются на безопасные аппаратные анклавы для защиты конфиденциальных биометрических данных. Хотя они не могут заменить необходимость первоначальной удаленной аутентификации (например, с помощью ключа доступа или пароля) для установления личности пользователя, они очень хорошо справляются с управлением и защитой последующих, текущих сессий.
Их ограничения, такие как отсутствие переносимости и необходимость повторной регистрации на новых устройствах, являются компромиссами ради повышенного удобства и строгой безопасности на уровне устройства. В конечном счете, локальная биометрия служит мощным, удобным методом обеспечения непрерывного доверия в сессии приложения после того, как это доверие было первоначально установлено.
Ключи доступа меняют природу аутентификации, заменяя общие секреты, такие как пароли, асимметричными криптографическими учетными данными. В отличие от локальной биометрии, которая только локально проверяет уже аутентифицированного пользователя, ключи доступа служат основным методом идентификации пользователей для удаленного сервиса. Это обеспечивает безопасный, устойчивый к фишингу процесс входа даже в сценарии, когда пользователь и устройство изначально неизвестны бэкенду приложения.
До появления ключей доступа распространенным подходом к установлению доверия с удаленным сервисом были пароли — общие секреты, известные как пользователю, так и серверу. Хотя пароли просты в реализации, они уязвимы для таких угроз, как фишинг, подстановка учетных данных и повторное использование паролей.
Ключи доступа решают эти проблемы, используя пару криптографических ключей: закрытый ключ, надежно хранящийся на устройстве пользователя, и соответствующий ему открытый ключ, зарегистрированный в сервисе. При попытке входа сервис отправляет запрос (challenge), который может быть решен только с помощью закрытого ключа пользователя. Это гарантирует, что даже если злоумышленники перехватят данные или попытаются обманом заставить пользователей раскрыть учетные данные, они не смогут получить несанкционированный доступ.
Ключи доступа используют асимметричную криптографию:
Это особенно важно для систем, где помимо нативных приложений используются и веб-сайты, на которых фишинг является большой проблемой. Ключи доступа, созданные на мобильном устройстве, могут использоваться через межплатформенную аутентификацию также на веб-сайтах на настольном компьютере.
Одним из основных преимуществ ключей доступа является их бесшовная переносимость между устройствами пользователя. Современные операционные системы могут синхронизировать ключи доступа через безопасное облачное хранилище (например, Связка ключей iCloud, Менеджер паролей Google), позволяя пользователям входить в систему с нескольких устройств без повторной регистрации или запоминания паролей при первой установке приложения. Более того, ключи доступа также могут использоваться в сценариях, где требовался бы второй фактор, обеспечивая защиту, подобную двухфакторной, без создания дополнительных сложностей. Эта синергия позволяет быстро и безопасно входить в систему независимо от того, какое устройство выберет пользователь, укрепляя экосистему, в которой безопасная аутентификация является одновременно универсально доступной и простой в обслуживании.
Ключи доступа представляют собой мощный, устойчивый к фишингу метод аутентификации неизвестных пользователей для удаленных сервисов. Используя асимметричную криптографию и переходя от общих секретов к закрытым ключам, хранящимся на устройстве, они устраняют многие слабости, которые преследовали системы на основе паролей. Ключи доступа сочетают в себе надежную безопасность, глобальную переносимость и прямую интеграцию с аппаратными компонентами безопасности. В результате они служат прочной основой для установления личности пользователя — то, чего не может обеспечить одна лишь локальная биометрия. В контексте нативных приложений ключи доступа являются критически важным первым шагом в создании безопасной сессии, после чего для поддержания быстрого и удобного доступа пользователя может использоваться локальная биометрия.
Когда речь заходит об аутентификации в нативных приложениях, ключи доступа и локальная биометрия играют важные, но разные роли. Хотя оба метода улучшают пользовательский опыт и безопасность, они решают принципиально разные проблемы:
Понимание этих различий жизненно важно для разработчиков, стремящихся создать надежные потоки аутентификации, которые будут одновременно безопасными и удобными для пользователя.
Чтобы лучше понять различия и взаимодополняющие роли ключей доступа и локальной биометрии, в таблице ниже сравниваются их ключевые характеристики по различным параметрам, включая цель, сценарии использования, безопасность и переносимость. Это сравнение показывает, как эти технологии решают принципиально разные проблемы, работая вместе для повышения как безопасности, так и удобства пользователя.
Аспект | Ключи доступа | Локальная биометрия |
---|---|---|
Этап | После установки приложения Повторный вход Истечение сессии | Приложение установлено и выполнен вход |
Основная цель | Аутентификация неизвестного пользователя (первоначальный вход) | Проверка того, что текущий активный пользователь (который уже аутентифицирован) является законным владельцем устройства/приложения |
Защищает | Доступ к учетной записи пользователя | Доступ к приложению, в которое выполнен вход |
Сценарий использования | Идеально подходит для первого входа или после переустановки, установления доверия с сервисами и обеспечения межплатформенного, межплатформенного входа | Идеально подходит для повторной проверки, является ли владелец устройства его владельцем, быстрой разблокировки приложения без повторного ввода паролей/ключей доступа |
Модель аутентификации | Удаленная аутентификация: проверяет личность в бэкенд-системе | Локальная проверка: проверяет биометрические данные, надежно хранящиеся на устройстве, не связывается с удаленным сервером |
MFA | Да + устойчивость к фишингу | Нет |
Нативная биометрия | Да (например, Face ID, Touch ID, Android Biometrics) | Да (например, Face ID, Touch ID, Android Biometrics) |
Область применения и переносимость | Межплатформенное, межплатформенное, межприложенческое использование (нативные приложения + веб) благодаря безопасной облачной синхронизации ключей | Специфично для устройства, непереносимо: биометрические шаблоны должны быть повторно зарегистрированы на новых устройствах Нельзя легко перенести между платформами |
Хранение и безопасность данных | Закрытые ключи хранятся в безопасном анклаве Открытые ключи хранятся на стороне сервера Общие секреты не передаются Устойчивость к фишингу | Биометрические шаблоны хранятся в безопасном аппаратном анклаве на устройстве Никогда не покидают устройство Защищены аппаратным обеспечением устройства |
Требование к интернет-соединению | Требуется подключение к интернету для аутентификации с удаленным сервисом и регистрации ключей. | Не требуется подключение к интернету; проверка полностью локальна, что делает ее полезной даже в автономном режиме и если приложение имеет офлайн-сценарий использования |
Резервное копирование и восстановление | Ключи могут быть сохранены и восстановлены через облачную синхронизацию (например, Связка ключей iCloud, Менеджер паролей Google), обеспечивая легкое восстановление в случае утери или замены устройства | Нет встроенного механизма резервного копирования для биометрии; если устройство выходит из строя, пользователи должны повторно зарегистрировать свои биометрические данные на новом устройстве |
Интеграция с веб-сайтами и приложениями | Может использоваться как для нативных приложений, так и для веб-сайтов. Ключи доступа упрощают потоки входа, аутентифицируя пользователей без раскрытия учетных данных, повышая безопасность на всех платформах | Ограничено устройством и локально установленным приложением. |
Реализация для разработчиков | Интеграция с использованием веб-стандартов (WebAuthn, FIDO2) и нативных API платформ Бэкенд должен обрабатывать открытые ключи и запросы (challenges). | Использование SDK платформ (iOS, Android) для запросов биометрии Не требуется специальной обработки на бэкенде. |
Пользовательский опыт | После первоначальной настройки пользователи могут быстро входить в систему, не запоминая электронную почту или пароли, даже на новых устройствах Упрощенная регистрация с меньшими трудностями | Обеспечивает мгновенный, беспарольный повторный доступ к приложениям после того, как пользователь уже аутентифицировался. |
Хотя таблица подчеркивает основные различия, важно понимать, что ключи доступа и локальная биометрия — это не конкурирующие технологии, а взаимодополняющие. Вместе они обеспечивают многоуровневый опыт аутентификации:
Сочетая ключи доступа и локальную биометрию, разработчики могут предоставить безопасный, бесшовный и удобный для пользователя поток аутентификации.
Сочетая ключи доступа и локальную биометрию, разработчики могут создать надежный поток аутентификации, который:
Эта синергия гарантирует, что приложения могут обеспечивать как сильную аутентификацию, так и бесшовное удобство — выигрышная комбинация для современных ожиданий пользователей.
Чтобы лучше понять, как работают реальные примеры и комбинации, мы рассмотрим две разные реализации: одну, которая использует только ключи доступа, и другую, которая использует комбинированный подход.
Приложение Kayak демонстрирует реализацию ключей доступа для аутентификации пользователя. Ключи доступа бесшовно интегрированы в процесс входа, предлагая пользователям возможность аутентифицироваться без необходимости запоминать свой адрес электронной почты или пароль. Как показано на экране аутентификации, пользователи могут напрямую выбрать ключ доступа для входа. Этот подход значительно упрощает пользовательский опыт, снижая когнитивную нагрузку и устраняя трение, связанное с паролями.
После аутентификации с помощью ключа доступа пользователь получает неограниченный доступ к приложению без необходимости повторной аутентификации. Этот дизайн особенно подходит для Kayak, приложения для путешествий, которое в основном управляет историей бронирований и маршрутами, которые не считаются особо конфиденциальными или критически важными данными.
Ключевые моменты подхода Kayak:
Эта реализация демонстрирует, как ключи доступа могут упростить процесс аутентификации, устраняя необходимость в паролях и обеспечивая беспрепятственный опыт для пользователей. Однако в сценариях, где в приложении выполняются более конфиденциальные или критически важные действия, могут потребоваться дополнительные уровни безопасности, такие как локальная биометрия. Давайте рассмотрим, как GitHub использует как ключи доступа, так и биометрию для обеспечения безопасности без ущерба для удобства использования.
GitHub балансирует интеграцию ключей доступа для безопасного входа с локальной биометрией для защиты контента приложения в состоянии после входа. Ключи доступа предлагаются как быстрый, устойчивый к фишингу вариант входа, что особенно важно, учитывая требования GitHub к многофакторной аутентификации (MFA). Это избавляет пользователей от необходимости управлять паролями или одноразовыми кодами, обеспечивая бесшовный и безопасный опыт входа. Но для целей этой статьи мы не будем рассматривать их реализацию ключей доступа.
Дополнительный уровень безопасности GitHub с помощью локальной биометрии: Поскольку GitHub также предлагает конфиденциальные операции, такие как слияние pull-запросов, GitHub позволяет пользователям включать локальную биометрическую защиту, если они считают это необходимым. В этом примере Face ID используется для блокировки приложения на iOS, гарантируя, что только владелец устройства может получить доступ или выполнить действия в приложении GitHub. Приложение явно запрашивает необходимые привилегии у операционной системы для активации биометрии и предлагает настраиваемые интервалы (например, немедленно или после определенного тайм-аута).
Ключевые моменты подхода GitHub:
Вместе эти примеры иллюстрируют, как ключи доступа и локальная биометрия могут быть адаптированы к потребностям различных приложений, балансируя удобство пользователя с соответствующими мерами безопасности.
Ниже приведены четыре рекомендации, адаптированные к распространенным сценариям, в которых могут быть реализованы локальная биометрия и ключи доступа. Рекомендации структурированы таким образом, чтобы разработчики, менеджеры по продукту и лица, принимающие решения, могли быстро определить, какой подход лучше всего подходит для их ситуации. Далее следует сводная таблица, позволяющая легко сопоставить каждую рекомендацию с заданным сценарием:
Хотя приведенные выше рекомендации охватывают ряд распространенных сценариев, существует бесчисленное множество других ситуаций, в которых выбор внедрения локальной биометрии, ключей доступа или обоих может варьироваться. Каждое приложение имеет уникальные потребности в безопасности, удобстве использования и соответствии требованиям, и для разработчиков, менеджеров по продукту и бизнес-лидеров крайне важно тщательно оценить эти факторы, прежде чем остановиться на каком-либо подходе. Тщательно взвесив ваши конкретные сценарии использования, нормативные требования и ожидания пользователей, вы сможете разработать стратегию аутентификации, которая не только защитит ваших пользователей и их данные, но и обеспечит бесшовный, удобный для пользователя опыт, которого ожидают современные клиенты.
Как мы видели, локальная биометрия и ключи доступа играют принципиально разные, но взаимодополняющие роли в современных стратегиях аутентификации. Локальная биометрия упрощает проверку текущей сессии, используя присущие пользователю черты для быстрой проверки на устройстве, в то время как ключи доступа устанавливают безопасные и устойчивые к фишингу доверительные отношения с удаленными сервисами. Продуманно сочетая эти методы, разработчики могут создать пользовательский опыт, который будет одновременно беспрепятственным и высокозащищенным, эффективно удовлетворяя потребности разнообразного и требовательного цифрового ландшафта. Возвращаясь к вопросам из введения:
Признавая различные, но взаимовыгодные роли ключей доступа и локальной биометрии, разработчики и лица, принимающие решения, могут реализовать комплексный подход к аутентификации, который балансирует безопасность, удобство и удовлетворенность пользователей. Таким образом, приложения становятся более устойчивыми к угрозам, проще в навигации и более адаптируемыми к меняющимся требованиям пользователей и регуляторов, в конечном итоге создавая бесшовную и надежную цифровую среду.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.
Related Articles
Table of Contents