Ключи доступа без биометрии? Работает ли это?

Могут ли ключи доступа работать без биометрии?#

Да, ключи доступа могут работать без биометрии, используя локальные аутентификаторы, такие как PIN-коды, графические ключи или пароли устройства. Эти методы обеспечивают безопасную аутентификацию, когда биометрические опции, такие как отпечаток пальца или распознавание лица, недоступны. Ключи доступа полагаются на локальный аутентификатор устройства, который настраивается пользователем и не контролируется проверяющей стороной.

---

Как ключи доступа работают без биометрии#

Ключи доступа основаны на стандарте WebAuthn для беспарольной аутентификации. Обычно ключи доступа используют локальный аутентификатор для проверки пользователя. Когда биометрические данные, такие как отпечаток пальца или распознавание лица, недоступны, локальный аутентификатор предоставляет альтернативный метод аутентификации.

Что такое локальный аутентификатор?#

Локальный аутентификатор — это механизм на вашем устройстве, который подтверждает вашу личность. Примеры (все небиометрические):

• PIN-коды — числовой код, который вы вводите для разблокировки устройства.
• Графические ключи — узор, который вы рисуете на сенсорном экране.
• Пароли устройства — буквенно-цифровые пароли, используемые для доступа к устройству.
• Блокировка экрана — любой другой механизм, ограничивающий доступ к устройству.

Как это работает с ключами доступа?#

1. Настройка пользователем: Пользователь настраивает локальный аутентификатор на своем устройстве.
2. Создание ключа доступа: Устройство генерирует криптографическую пару ключей во время настройки учетной записи.
   • Приватный ключ надежно хранится на устройстве.
   • Публичный ключ передается сервису (проверяющей стороне).
3. Аутентификация: Когда пользователь пытается войти в систему:
   • Проверяющая сторона отправляет устройству запрос-вызов (challenge).
   • Устройство использует приватный ключ для подписи запроса-вызова.
   • Локальный аутентификатор (например, PIN-код, графический ключ) подтверждает личность пользователя перед подписью.

Преимущества использования ключей доступа без биометрии#

• Доступность: Позволяет пользователям без устройств с поддержкой биометрии использовать ключи доступа.
• Безопасность: Локальные аутентификаторы привязаны к устройству и не могут быть перехвачены удаленно.
• Контроль пользователя: Пользователи могут выбрать наиболее удобный для них метод, что повышает уровень внедрения.

Могут ли разработчики влиять на локальные аутентификаторы?#

Нет, разработчики и проверяющие стороны не могут напрямую контролировать тип используемого локального аутентификатора. Это определяется настройками устройства пользователя. Однако разработчики могут создавать пользовательские сценарии, которые четко объясняют процесс и помогают пользователям настроить локальный аутентификатор, если он еще не настроен.

Почему это важно?#

Ключи доступа без биометрии обеспечивают инклюзивность и гибкость. Не все пользователи имеют доступ к новейшим биометрическим технологиям, но они все равно могут воспользоваться безопасностью и удобством беспарольной аутентификации с помощью таких альтернатив, как PIN-коды и графические ключи.

---

О Corbado

Corbado — это Passkey Intelligence Platform для CIAM-команд, обеспечивающих аутентификацию пользователей в крупных масштабах. Мы показываем то, что не видят логи IDP и общие инструменты аналитики: какие устройства, версии ОС, браузеры и менеджеры учётных данных поддерживают passkey, почему регистрации не превращаются в логины, где сбоит WebAuthn-поток и когда обновление ОС или браузера тихо ломает вход — всё это без замены Okta, Auth0, Ping, Cognito или вашего собственного IDP. Два продукта: Corbado Observe добавляет наблюдаемость для passkey и любых других способов входа. Corbado Connect даёт managed passkey со встроенной аналитикой (рядом с вашим IDP). VicRoads использует passkey для более чем 5 млн пользователей с Corbado (+80 % активации passkey). Поговорить с экспертом по passkey →