Vincent
Created: June 17, 2025
Updated: July 1, 2025
Ключи доступа по своей сути значительно безопаснее традиционных паролей, и их гораздо сложнее взломать благодаря их криптографической природе. Однако, как и любая технология, они не полностью защищены от определенных уязвимостей.
Ключи доступа созданы на основе стандарта WebAuthn и используют криптографию с открытым ключом для аутентификации пользователей без использования традиционных паролей. Это делает их по своей природе более защищенными от распространенных угроз, таких как фишинг, атаки с подстановкой учетных данных и брутфорс-атаки. Вот почему ключи доступа считаются безопасными:
Инфраструктура открытых ключей: Ключи доступа используют пару из открытого и закрытого ключей, где закрытый ключ никогда не покидает устройство пользователя, что делает его перехват злоумышленниками практически невозможным.
Отказ от паролей: Поскольку ключи доступа не основаны на общих секретах (таких как пароли), они устраняют риск повторного использования учетных данных — распространенной уязвимости в системах на основе паролей.
Защита от фишинга: Фишинговые атаки неэффективны против ключей доступа, потому что ключ доступа всегда привязан к источнику (идентификатору доверяющей стороны), для которого он был создан.
Нет атак с подстановкой учетных данных: Ключи доступа уникальны для каждого сервиса, и на стороне сервера хранится только открытый ключ. Это означает, что в случае взлома одной доверяющей стороны это не окажет никакого влияния на другие доверяющие стороны.
Нет брутфорс-атак: Ключи доступа основаны на асимметричной криптографии и не могут быть угаданы, что делает их неуязвимыми для брутфорс-атак.
Нет атак «человек посередине»: Атаки «человек посередине» невозможны с ключами доступа, поскольку закрытый ключ, используемый для аутентификации, никогда не покидает устройство пользователя, гарантируя, что никакая конфиденциальная информация, которую можно было бы перехватить или изменить, не передается.
НЕТ атак повторного воспроизведения: Атаки повторного воспроизведения невозможны с ключами доступа, потому что каждая сессия аутентификации генерирует уникальный, одноразовый криптографический вызов, который не может быть повторно использован или воспроизведен злоумышленником.
Однако, хотя ключи доступа обеспечивают превосходную безопасность, они не полностью защищены от взлома:
Атаки на цепочку поставок: Скомпрометированное на уровне производителя устройство потенциально может быть изменено для утечки криптографических ключей.
Социальная инженерия: Хотя фишинг менее эффективен, злоумышленники все еще могут использовать методы социальной инженерии, чтобы обманом заставить пользователей создавать ключи доступа для вредоносных веб-сайтов.
Кража сессии: Ключи доступа делают процесс аутентификации безопасным и простым для пользователей. Однако, в зависимости от реализации на стороне доверяющей стороны, сессия все еще может быть украдена и использована в злонамеренных целях.
Enjoyed this read?
🤝 Join our Passkeys Community
Share passkeys implementation tips and get support to free the world from passwords.
🚀 Subscribe to Substack
Get the latest news, strategies, and insights about passkeys sent straight to your inbox.