Решение проблем с ключами доступа: руководство по устранению ошибок

Ключи доступа быстро становятся стандартом безопасной и удобной аутентификации пользователей. Крупные технологические компании, такие как Amazon, WhatsApp, Coinbase и TikTok, уже внедрили эту технологию, а другие, например Facebook, LinkedIn и X/Twitter, скоро последуют их примеру. Однако, как и в случае с любой новой технологией, все еще существуют некоторые концепции UI/UX, такие как сообщения об ошибках, которые являются новыми для конечных пользователей. Пользователи часто сталкиваются с проблемами с ключами доступа, такими как «соответствующие ключи доступа не найдены» или «ключи доступа не работают». Более того, многие доверяющие стороны определяют свои собственные сообщения об ошибках, поскольку пока не так много устоявшихся лучших практик (кроме рекомендаций FIDO Alliance по UIX). В некоторых случаях, если сервис сообщает, что «на этом устройстве нет ключей доступа», может потребоваться перепроверить настройки вашего устройства, поскольку современные решения для ключей доступа нацелены на устранение этой путаницы.

Ключи доступа представляют собой смену парадигмы в аутентификации, перенося аутентификацию в целом с бэкенда на фронтенд, поскольку ключи доступа взаимодействуют через API операционной системы с безопасным анклавом (secure enclave), TPM или TEE устройства.

В результате эффективное взаимодействие с пользователем и обработка ошибок становятся важными. Пользователи, привыкшие к традиционным методам аутентификации, теперь сталкиваются с необходимостью освоения ключей доступа. Мы наблюдали частые ошибки с ключами доступа и много путаницы в ходе нашего общения на таких платформах, как X (ранее Twitter) и Reddit. Наша цель в этой статье — помочь большему числу пользователей, сталкивающихся с этими проблемами. Мы проанализируем распространенные проблемы с ключами доступа и предложим практические решения, тем самым улучшая пользовательский опыт и повышая доверие к ключам доступа. Если вы когда-нибудь обнаружите, что «ключ доступа Google не работает» на вашем устройстве, рассмотрите возможность проверки обновлений вашего браузера или системы.

Ключи доступа представляют собой огромный шаг в беспарольной аутентификации, используя API WebAuthn и поддерживаясь FIDO Alliance и Консорциумом Всемирной паутины (W3C). Более того, ключи доступа основаны на принципах криптографии с открытым ключом.

Представьте, что вы создаете учетную запись, и ваше устройство автоматически генерирует уникальную пару открытого и закрытого ключей. Эти ключи связаны между собой, подобно изготовленному на заказ ключу для определенного замка. Для успешной аутентификации необходимы оба элемента.

Самое интересное? Открытый ключ — это единственный компонент, который передается веб-сайту или приложению (доверяющей стороне). Закрытый ключ, в свою очередь, надежно хранится на вашем устройстве.

Процесс аутентификации очень удобен для пользователя. Когда вы пытаетесь войти в систему, веб-сайт или приложение отправляет запрос-вызов (challenge). Здесь вступаете в игру вы: используя биометрию или PIN-код вашего устройства (например, через Face ID, Touch ID или Windows Hello), вы разблокируете свой закрытый ключ. Затем ваше устройство использует этот ключ для подписи запроса-вызова и отправляет эту подпись обратно для проверки. Веб-сайт или приложение, имея в своем распоряжении открытый ключ, подтверждает подлинность этой подписи.

Что делает этот процесс по-настоящему бесшовным, так это его скорость и прозрачность. С точки зрения пользователя, вы просто подтверждаете свою личность с помощью Face ID. Тем временем, «под капотом» этот сложный механизм эффективно проверяет ваши учетные данные, предоставляя доступ к вашему аккаунту.

Связка ключей iCloud включена:

Для пользователей устройств Apple, использующих Safari, для работы с ключами доступа должна быть включена Связка ключей iCloud. Это необходимо для обмена паролями и их синхронизации между устройствами. Чтобы настроить Связку ключей iCloud, перейдите в настройки вашего устройства, выберите свой Apple ID, перейдите в iCloud, а затем включите Связку ключей iCloud (подробнее читайте здесь). В учетных записях iCloud с включенной Связкой ключей Apple принудительно требует защиты базовой учетной записи iCloud с помощью MFA.

Требуется iOS 16 или macOS Ventura:

Ключи доступа поддерживаются на устройствах под управлением iOS 16 или новее, либо macOS Ventura или новее. Эти новые операционные системы включают расширенные функции безопасности, необходимые для работы ключей доступа. Пользователи должны убедиться, что их устройства обновлены до этих версий или выше (подробнее читайте здесь).

Настройка Windows Hello:

На устройствах с Windows 10+ для использования ключей доступа необходимо настроить Windows Hello. Windows Hello — это технология на основе биометрии, которая позволяет пользователям аутентифицировать безопасный доступ к своим устройствам и приложениям с помощью отпечатка пальца, распознавания лица или PIN-кода. Чтобы настроить Windows Hello, перейдите в «Параметры», затем «Учетные записи» и в разделе «Варианты входа» следуйте инструкциям по настройке Windows Hello (подробнее читайте здесь).

Android версии 9 или новее:

Для поддержки ключей доступа требуется как минимум Android 9. Это связано с тем, что более новые версии Android имеют лучшую интеграцию с функциями безопасности, такими как биометрия и защищенное аппаратное хранилище, которые имеют решающее значение для ключей доступа.

Обновленные Сервисы Google Play:

Убедитесь, что Сервисы Google Play обновлены, так как они играют критическую роль в управлении процессами безопасности и аутентификации на устройствах Android. Если вы столкнулись с проблемой, когда «ключ доступа Google не работает» должным образом на вашем Android, проверка обновлений и настроек в Сервисах Google Play может решить проблему.

Кроме того, на всех платформах убедитесь, что используемый веб-браузер обновлен до последней версии. Браузеры, такие как Safari, Chrome и Edge, часто выпускают обновления, улучшающие функции безопасности, включая поддержку ключей доступа.

Ниже приведен список типичных ошибок с ключами доступа. Помимо указания причины ошибки, приводится потенциальное решение, которое помогло другим:

• Причина: Эта ошибка возникает, когда Связка ключей iCloud, необходимая для хранения ключей доступа на устройствах Apple, не включена.
• Решение: Включите Связку ключей iCloud, перейдя в панель Apple ID в Системных настройках. Убедитесь, что она правильно настроена для синхронизации ключей доступа между вашими устройствами.

• Причина: Эта ошибка обычно возникает, когда пользователь пытается получить доступ к сервису с помощью ключа доступа, который не хранится в его Связке ключей iCloud или не синхронизирован между его устройствами.
• Решение: Убедитесь, что Связка ключей iCloud включена и правильно синхронизирована на всех устройствах. Проверьте, действительно ли ключ доступа для конкретного сервиса сохранен в Связке ключей iCloud. Если вы видите подробное сообщение о том, что «в вашей Связке ключей iCloud нет сохраненных соответствующих ключей доступа», убедитесь, что вы повторно включили синхронизацию на всех устройствах.

• Причина: На текущем устройстве не найден ключ доступа, а сервер WebAuthn не разрешает межплатформенную аутентификацию с помощью ключа доступа. Это сообщение об ошибке подтверждает, что «ключи доступа недоступны», если система аутентификации не может их обнаружить, и может отобразить подсказку, например, «на этом устройстве нет ключей доступа».
• Решение: Проверьте, существует ли ключ доступа на вашем устройстве. Если вы удалили ключ доступа локально или на стороне клиента (например, в настройках Связки ключей iCloud или Менеджера паролей Google), вам также необходимо удалить ключ доступа на стороне сервера в настройках учетной записи вашей доверяющей стороны, чтобы система не продолжала ожидать его наличия.

• Причина: Это сообщение появляется при попытке зарегистрировать новый ключ доступа на устройстве, где уже есть один для той же учетной записи. Некоторые доверяющие стороны ограничивают пользователей одним ключом доступа на устройство (или экосистему, например, синхронизированную Связку ключей iCloud или 1Password) и учетную запись. Обычно этот параметр определяется в свойстве сервера WebAuthn excludeCredentials.
• Решение: Проверьте настройки вашего устройства, чтобы узнать, существует ли уже ключ доступа, и используйте его, или попробуйте добавить новый ключ доступа с другого устройства. В качестве альтернативы войдите в настройки учетной записи доверяющей стороны, удалите существующий ключ доступа для этого устройства и учетной записи и попробуйте создать новый.

• Причина: Ключ доступа привязан к определенной учетной записи и платформе (например, к устройству или к облачной синхронизированной учетной записи платформы, такой как Связка ключей iCloud). Если вы видите QR-код при попытке входа с помощью ключа доступа, это означает, что у вас еще нет ключа доступа на текущем устройстве/платформе, которое вы используете (но, возможно, он был настроен ранее на вашем смартфоне iOS или Android). Другая причина заключается в том, что сервер ограничивает разрешенные к использованию ключи доступа (через свойство сервера WebAuthn AllowCredentials), и эти ключи доступа недоступны на вашем устройстве.
• Решение: Если на устройстве, на котором вы ранее создали ключ доступа, есть камера, вы можете отсканировать QR-код для входа с помощью этого существующего ключа доступа (это называется межплатформенной аутентификацией с помощью ключа доступа). Если это предусмотрено, вы должны иметь возможность использовать альтернативный метод аутентификации для входа. После входа в систему вы можете настроить дополнительный ключ доступа для нового/текущего устройства, которое вы используете, в настройках учетной записи доверяющей стороны.

• Причина: Это сообщение появляется, когда для аутентификации требуется аппаратный ключ безопасности (например, YubiKey), возможно, из-за отсутствия TPM или отключенного Windows Hello. Другая причина заключается в том, что вы находитесь на устройстве без поддержки Bluetooth (например, на старом настольном компьютере), и на устройстве нет подходящих ключей доступа.
• Решение: Вставьте аппаратный ключ безопасности (например, YubiKey) в USB-порт. В качестве альтернативы включите Windows Hello, если вы хотите аутентифицироваться без аппаратного ключа безопасности (ключ доступа с Windows Hello должен быть создан заранее).

• Причина: Эта ошибка часто возникает, когда на устройстве Android, которое должно использовать ключ доступа, не активирована функция блокировки экрана. Наличие блокировки экрана является обязательным условием для использования ключей доступа в Android по соображениям безопасности.
• Решение: Чтобы решить эту проблему, включите функцию блокировки экрана на вашем устройстве Android. Обычно это можно сделать в настройках безопасности устройства. После активации блокировки экрана попробуйте использовать ключ доступа снова.

• Причина: Эта ошибка может возникнуть по нескольким причинам, таким как сбой в приложении или программном обеспечении, которое вы используете, временная проблема с сервером или несовместимые настройки устройства.
• Решение: Перезапустите приложение или устройство и попробуйте сгенерировать ключ доступа снова. Если проблема не устраняется, проверьте наличие доступных обновлений для приложения или операционной системы вашего устройства. Если это проблема на стороне сервера, возможно, вам придется подождать и попробовать снова позже.

• Причина: Многие подобные сообщения об ошибках возникают, если ключ доступа был удален вручную, будь то на стороне клиента или на стороне сервера. Даже если ваш локальный закрытый ключ остается, без соответствующего открытого ключа на сервере сработает ошибка «нам не удалось найти соответствующий ключ доступа».
• Решение: Попробуйте получить доступ к своей учетной записи с другого устройства или используйте альтернативный метод входа, который вы могли настроить ранее. Затем вы обычно можете создать новый ключ доступа в настройках учетной записи.

• Причина: Это ошибка, обычно указываемая PayPal или аналогичными платформами, которая предполагает, что используемое устройство или браузер не поддерживают или не имеют функциональности для создания или использования ключей доступа.
• Решение: Убедитесь, что ваше устройство и браузер обновлены. Если устройство или браузер по своей природе не поддерживают ключи доступа, рассмотрите возможность перехода на совместимый.

• Причина: Это может быть связано с неправильным вводом ключа доступа, временными проблемами связи между сервером и вашим устройством или сбоем в процессе аутентификации.
• Решение: Дважды проверьте вводимый ключ доступа. Если он правильный, попробуйте снова через некоторое время. Если проблема не устраняется, проверьте подключение к Интернету или рассмотрите возможность сброса ключа доступа, если это возможно.

• Причина: Эта ошибка обычно возникает, когда сервер слишком долго отвечает, возможно, из-за проблем с сетевым подключением или высокой нагрузки на сервер.
• Решение: Проверьте подключение к Интернету, чтобы убедиться в стабильном и сильном сигнале. Если с подключением все в порядке, проблема может быть на стороне сервера, и в этом случае вам следует попробовать снова позже, когда сервер будет менее загружен.

Ключи доступа прокладывают путь к более безопасному и удобному для пользователя цифровому ландшафту. Используя мощь криптографии с открытым ключом, они устраняют уязвимости традиционных паролей, предлагая надежный и бесшовный опыт аутентификации. По мере нашего продвижения вперед понимание и устранение распространенных ошибок с ключами доступа становится решающим. Эти знания не только повышают доверие пользователей, но и способствуют более широкому внедрению. Если вы хотите быть в курсе всех новостей о ключах доступа (включая обработку ошибок и устранение неполадок), присоединяйтесь к нашему сообществу по ключам доступа в Slack или подпишитесь на наш Substack о ключах доступа.