Passkeys от Finom: революция в банковской безопасности

Want to learn how top banks deploy passkeys? Get our 80-page Banking Passkeys Report (incl. ROI insights). Trusted by JPMC, UBS & QNB.

Get Report

Современному банкингу нужна первоклассная безопасность, которая при этом упрощает жизнь клиентов. Именно поэтому Finom, новаторский финтех-стартап из Амстердама, сделал значительный шаг вперед, внедрив Passkeys в качестве основного метода аутентификации в своем веб-приложении. Внедрение Passkeys в Finom — это свидетельство инновационного подхода. Оно не только бросает вызов традиционной парадигме паролей (и классической MFA через SMS OTP), но и отвечает растущему спросу на более безопасный, удобный и ориентированный на конфиденциальность пользовательский опыт. В этой статье мы подробно рассмотрим технические настройки и преимущества для конечных пользователей от внедрения Passkeys в Finom, а также разберемся, почему этот подход может ознаменовать новую эру для ключей доступа в банковской и финансовой сферах.

Passkeys — это смена парадигмы в аутентификации. Мы уходим от уязвимых систем на основе паролей к более безопасной и устойчивой к фишингу аутентификации. Веб-приложение Finom использует эту технологию, позволяя пользователям проходить аутентификацию с помощью различных устройств: компьютеров, смартфонов или аппаратных ключей безопасности (например, YubiKeys). Таким образом, поддерживаются и кроссплатформенные/переносимые аутентификаторы.

Finom has introduced passkeys

Join them

Finom обеспечивает широкую доступность, следуя отраслевым стандартам совместимости с браузерами и операционными системами. Следующие версии браузеров поддерживают Passkeys (согласно официальному FAQ по Passkeys от Finom):

• Chrome (v105+)
• Safari (v16+)
• Edge (v105+)

Вопреки официальному FAQ по Passkeys от Finom, аутентификация с помощью Passkeys во время нашего тестирования также работала в последней версии Firefox (v122) на Windows 11 23H2 и macOS Sonoma 14.2.1.

Что касается поддержки операционных систем в целом, мы успешно протестировали аутентификацию с помощью Passkeys на десктопных устройствах с Windows 11 и macOS Sonoma (в FAQ не указана официальная минимальная версия ОС).

Пользователи мобильных устройств должны убедиться, что их системы обновлены до iOS 16+ или Android 9+ для полной поддержки Passkeys. Хорошая новость в том, что большинство мобильных устройств (более 94%) уже поддерживают Passkeys.

Процесс создания Passkeys в Finom поддерживает весь спектр их возможностей, используя различные способы передачи, включая USB, NFC, BLE, гибридный и внутренние опции. Такая гибкость гарантирует, что у пользователей есть несколько вариантов аутентификации, соответствующих их личным предпочтениям или потребностям в конкретной ситуации.

Некоторые моменты, которые стоит выделить из настроек сервера WebAuthn и более глубокого анализа PublicKeyCredentialCreationOptions:

{
    "attestation": "direct",
    "authenticatorSelection": {
        "residentKey": "discouraged",
        "userVerification": "required"
    },
    "challenge": "JWi0v7X1X-O1UvXB_I5q2A",
    "excludeCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        },
        {
            "alg": -37,
            "type": "public-key"
        },
        {
            "alg": -35,
            "type": "public-key"
        },
        {
            "alg": -258,
            "type": "public-key"
        },
        {
            "alg": -38,
            "type": "public-key"
        },
        {
            "alg": -36,
            "type": "public-key"
        },
        {
            "alg": -259,
            "type": "public-key"
        },
        {
            "alg": -39,
            "type": "public-key"
        },
        {
            "alg": -8,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "app.finom.co",
        "name": "app.finom.co"
    },
    "user": {
        "displayName": "Vincent Delitz",
        "id": "dmluY2RlbGl0aaBhb2wuY29t",
        "name": "vincent@corbado.com"
    }
}

• Использование параметра excludeCredentials для предотвращения создания нового ключа доступа на устройстве, где уже есть другие.
• Relying Party ID установлен как app.finom.co для обеспечения безопасной аутентификации, привязанной к конкретному домену.
• Прямая аттестация (attestation) требует, чтобы устройства предоставляли заявления об аттестации, тем самым доказывая подлинность учетных данных для аутентификации.
• userVerification является обязательным, что гарантирует, что только законный пользователь может инициировать процесс аутентификации.
• Использование residentKeys не рекомендуется, поскольку Conditional UI еще не внедрен. Однако поведение при создании ключа доступа сильно зависит от аутентификаторов и того, учитывают ли они значение residentKeys (см. эту статью). Более того, Finom на самом деле выиграл бы, если бы уже создавал resident keys для будущей поддержки Conditional UI. С другой стороны, это решение экономит место на аппаратных ключах безопасности (например, YubiKeys), поскольку они часто имеют ограниченную емкость для resident keys.

PublicKeyCredentialRequestOptions не менее важны, поскольку они облегчают процесс аутентификации с помощью конфигураций, обеспечивающих гибкость и безопасность:

PublicKeyCredentialRequestOptions.json
{
    "allowCredentials": [
        {
            "id": "ARt1Ba2haVHZNrw8FhKLc_V1LFMVdrsHbezmQ8jMP59lXscBnkTLxABNNR9dd499EG5PWY0VYSFtbui_XmYeJtM",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "CaRVt041w10I948-OS6TBtAyVOUdak03b6BUyev3S3e7xOH99pS9GLgTURasdNH4HgKkazUmT0ejDbVpuDhAtQ",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        },
        {
            "id": "3nOhnTkXXdyiBAfC60K7E_-OgKwwk57uewpwGCgJe44",
            "transports": ["usb", "nfc", "ble", "hybrid", "internal"],
            "type": "public-key"
        }
    ],
    "challenge": "s4R8Fsy7iSxxWIgUr7iTLA",
    "rpId": "app.finom.co",
    "userVerification": "discouraged"
}

• Установлен параметр allowCredentials (все учетные данные устанавливаются независимо от устройства, используемого клиентом), чтобы гарантировать, что могут использоваться только зарегистрированные Passkeys.
• userVerification не рекомендуется, что интересно для процедуры входа, поскольку этот параметр является обязательным при создании ключа доступа.

Перспективным аспектом внедрения Passkeys в Finom является потенциал для обмена ключами доступа между устройствами. Анализируя файлы ассоциации, доступные по адресам https://app.finom.co/.well- known/assetlinks.json для Android и https://app.finom.co/.well-known/apple-app-site-association для iOS, становится очевидно, что Finom закладывает основу для бесшовной интеграции Passkeys между своим веб-приложением и нативными мобильными приложениями. Поддержку обмена между устройствами, например, использование ключа доступа macOS из веб-приложения также в нативном приложении для iOS через синхронизацию iCloud Keychain, можно быстро добавить. Эта инициатива обещает еще больше улучшить пользовательский опыт, обеспечивая легкую аутентификацию на разных платформах и устройствах.

В основе внедрения Passkeys в Finom лежит приверженность трем фундаментальным аспектам: непревзойденной безопасности, исключительной простоте и бескомпромиссной конфиденциальности данных.

• Безопасность: Система Passkeys от Finom разработана для создания барьера от киберугроз. В отличие от обычных паролей, Passkeys надежно привязаны к устройству пользователя и проверенному домену Finom, что практически исключает риск фишинга и мошеннического доступа.
• Простота: Простота аутентификации с помощью Passkeys в Finom проявляется в мгновенном процессе входа. Используя Face ID, Touch ID или Windows Hello, пользователи могут получить доступ к своим счетам за считанные секунды, без необходимости вводить сложные пароли. Этот оптимизированный процесс аутентификации не только повышает удобство для пользователей, но и значительно сокращает время входа, устанавливая новый стандарт простоты доступа в банковской отрасли.
• Конфиденциальность данных: Finom уделяет первостепенное внимание конфиденциальности и безопасности данных пользователей. Используя систему, в которой Passkeys остаются привязанными к устройству пользователя, Finom гарантирует, что личная информация, включая биометрические данные, остается под контролем пользователя и никогда не передается на сервер. Такой подход не только защищает конфиденциальность пользователей, но и дает им уверенность в том, что их личная и финансовая информация защищена от несанкционированного доступа и утечек.

На новых устройствах пользователю необходимо подтвердить создание ключа доступа либо в нативном приложении Finom для iOS / Android через push-уведомление, либо с помощью «магической» ссылки в электронном письме. Пока подтверждение не будет получено, пользователь не сможет создать ключ доступа.

Подтвердите запрос на создание ключа доступа по электронной почте:

В качестве альтернативы можно подтвердить запрос на создание ключа доступа через push-уведомление (здесь — нативное приложение для Android):

После успешного создания ключа доступа вы увидите это всплывающее окно:

Finom упрощает процесс входа, делая Passkeys методом аутентификации по умолчанию (подход Passkey-First). Как только пользователь вводит свой email и нажимает «Продолжить», ему предлагается войти с помощью ключа доступа (поле для пароля по умолчанию не отображается). Такой прямой подход улучшает пользовательский опыт, устраняя ненужный выбор и снижая приоритет паролей. Однако отсутствие Conditional UI является потенциальной областью для будущих улучшений.

При отмене процесса входа с помощью ключа доступа во всплывающем окне пользователь получает следующее предупреждение:

Если пользователь нажимает «Повторить», процесс входа с помощью ключа доступа запускается снова, и появляется всплывающее окно Passkeys (например, Face ID, Touch ID, Windows Hello), позволяющее пользователю повторно отсканировать биометрические данные.

Если пользователь нажимает «Попробовать другой способ», он перенаправляется на старую форму входа с полями для email и пароля:

Finom настоятельно не рекомендует использовать неличные или общедоступные устройства для аутентификации с помощью Passkeys (например, в публичных библиотеках). Неотъемлемый риск таких устройств заключается в их доступности: любой, кто может разблокировать устройство (с помощью пароля, блокировки экрана или биометрических данных, таких как отпечатки пальцев или распознавание лица, зарегистрированных на устройстве), потенциально может аутентифицироваться от вашего имени и получить доступ к вашему аккаунту.

Принимая во внимание многоустройственную реальность современных пользователей, Finom поддерживает аутентификацию между устройствами (гибридный транспорт) с использованием сканирования QR-кода и проверки близости по Bluetooth. Эта функция обеспечивает плавную аутентификацию на разных устройствах, облегчая бесшовный вход с помощью ключа доступа, хранящегося на мобильном устройстве, при попытке доступа к Finom с компьютера (подробнее об аутентификации между устройствами с помощью Passkeys см. также в этой статье).

Finom внедрил интуитивно понятные функции управления ключами доступа, которые позволяют пользователям настраивать и контролировать свои методы аутентификации. Эти функции, включая возможность переименовывать и удалять Passkeys, отражают глубокое понимание необходимости гибкости и безопасности в управлении цифровым доступом.

• Несколько ключей доступа для разных устройств: Finom рекомендует создавать несколько ключей доступа на разных устройствах пользователя. Такой подход гарантирует непрерывный доступ к сервисам Finom через Passkeys, обеспечивая бесшовный опыт на нескольких устройствах.
• Умное предотвращение дубликатов: Используя параметр excludeCredentials в PublicKeyCredentialCreationOptions, Finom предотвращает создание дублирующихся ключей доступа на одном и том же устройстве. Эта мера не только повышает безопасность, но и оптимизирует пользовательский опыт, гарантируя, что у каждого устройства есть уникальный ключ доступа.
• Подтверждение удаления ключа доступа требует аутентификации с помощью ключа доступа: Перед удалением ключа доступа пользователи должны подтвердить это действие с помощью другого ключа доступа. Этот дополнительный уровень безопасности подчеркивает важность, которую Finom придает защите доступа пользователей, и гарантирует, что только законный владелец может вносить такие значительные изменения.

Обратите внимание, что логика определения иконок не так умна, как может показаться на первый взгляд. Я сохранил ключ доступа для Менеджера паролей Google на своем Android, однако он отображается как Windows. То же самое относится и к кроссплатформенным/переносимым аутентификаторам, таким как YubiKeys, которые по своей природе не привязаны к определенной операционной системе.

После успешного создания ключа доступа пользователь получит уведомление по электронной почте:

Если пользователю необходимо сбросить пароль, удаляется не только привязка устройства в нативном приложении для iOS / Android, но и все ваши Passkeys. Точнее, публичные ключи Passkeys удаляются на стороне сервера, что делает вход с их помощью невозможным (даже после восстановления привязки устройства). Приватные ключи остаются на устройстве, но становятся бесполезными для последующих попыток входа.

Внедрение Passkeys в Finom — это не просто повышение безопасности и улучшение пользовательского опыта. Это стратегический шаг к сокращению расходов на традиционные SMS OTP и позиционированию себя как современного, цифрового финтех-проекта, уверенно конкурирующего с традиционными банками и финансовыми учреждениями. Текущий дизайн системы выглядит многообещающе, и есть возможности для расширения: поддержка в нативных приложениях, внедрение Conditional UI и подтверждение транзакций с помощью Passkeys.

Отказываясь от SMS OTP — метода, исторически известного своими пробелами в безопасности, — Finom закладывает основу для значительных преимуществ в своей стратегии аутентификации и MFA. Этот переход не только снижает риски, связанные с SMS OTP, но и соответствует миссии Finom по использованию передовых технологий для защиты данных пользователей, улучшения пользовательского опыта в банкинге и существенной экономии на MFA через SMS OTP.

В ходе нашего тестирования мы выявили несколько основных направлений для улучшений:

• Расширение поддержки Passkeys на нативные приложения: Признавая повсеместное распространение мобильного банкинга, Finom, надеемся, скоро внедрит поддержку Passkeys в своих нативных приложениях для iOS и Android, что также будет соответствовать их стратегии mobile-first. Для пользователя, особенно переходящего с десктопа macOS, вход в приложение на iPhone с использованием того же iCloud Keychain может быть значительно упрощен по сравнению с текущим процессом.
• Аутентификация только по ключу доступа: Со временем мы также ожидаем, что Finom будет продвигать Passkeys как первый и единственный фактор на устройствах, поддерживающих эту технологию. Это также включает создание новых аккаунтов с Passkeys в качестве единственного способа аутентификации (с некоторыми резервными вариантами).
• Внедрение Conditional UI: Внедрение Conditional UI стало бы еще одной серьезной оптимизацией пользовательского опыта, которая уже доказала свою эффективность для внедрения Passkeys у других игроков рынка.
• Использование Passkeys для подтверждения платежей: Во время нашего тестирования мы также совершили тестовый платеж, чтобы проверить, работает ли подтверждение платежа с помощью Passkeys. Однако Finom по-прежнему использует push-уведомления в нативном приложении и SMS OTP для подтверждения (последнее является существенным фактором затрат). Это может быть связано с регуляторными требованиями, но мы надеемся, что в будущем здесь также будут использоваться Passkeys.

Become part of our Passkeys Community for updates & support.

Join

Один вопрос в стратегии Finom по Passkeys все еще остается без ответа: какова позиция Finom по поводу соответствия PSD2 и SCA при использовании Passkeys? Этот вопрос в целом еще не до конца проработан, но было бы интересно узнать точку зрения Finom на этот счет. Для получения дополнительной информации и мыслей о соответствии Passkeys требованиям PSD2 обратитесь к этой статье в блоге.

Внедрение Passkeys в Finom — это яркий пример для банковского и финансового секторов, демонстрирующий, как финтех-компании могут быть лидерами во внедрении передовых мер безопасности, отвечающих потребностям современных пользователей. Предоставляя детальный анализ системы Passkeys от Finom, эта статья призвана помочь другим разработчикам программного обеспечения, менеджерам по продуктам и специалистам по безопасности узнать о внедрении Passkeys в финансовом и банковском секторе.